Быстро оценим недвижимость. И любые другие активы

Закон о персональных данных: последствия для делопроизводства



Храмцовская Н.А., ведущий эксперт по управлению документацией компании “Электронные Офисные Системы”, член Гильдии Управляющих Документацией и ARMA International
Источник: Объединённая редакция деловых журналов
добавлено: 17-04-2007
просмотров: 126872

Ищем первопричину

Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных» был принят 27 июля 2006 года и на фоне других ярких событий ушедшего года остался почти незамеченным. Формальным поводом для его принятия послужили многочисленные факты кражи баз персональных данных в государственных и коммерческих структурах и их повсеместная продажа. На самом же деле основной целью принятия данного закона явилась необходимость устранения определенных барьеров в торговле со странами Евросоюза.

Справка

Франция запретила публикацию фактов о частной жизни и установила штрафы для нарушителей в 1858 г.

Норвежский уголовный кодекс запретил публикацию информации, ­касающейся «персональных или частных дел», в 1889 г.

Отечественный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ начал свое действие 26 января этого года (в соответствии с частью 1 статьи 25 закон вступает в силу по истечении 180 дней после дня официального опубликования, которое состоялось 29.07.2006 г. в «Российской газете»).

Согласно Директиве 95/46/ЕС Евросоюза1 персональные данные могут передаваться только в страны, обеспечивающие такой же уровень защиты, как и в Европе. Это существенно тормозило обмен сведениями европейских госучреждений и компаний со своими зарубежными партнерами, делая невозможными многие коммерчески перспективные проекты. Такие ограничения испытывали на себе не только Россия и страны третьего мира, но и такой экономический монстр, как США. Итак, наше Правительство решило преодолеть этот барьер. Посмотрим, как ему это удалось и чего это будет всем нам стоить.

Принятие российского закона о персональных данных стало следст­вием присоединения Российской Федерации к Европейской Конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах. Эта Конвенция и последовавшие за ней несколько Директив Евросоюза сформулировали в общих чертах те задачи, которые национальное законодательство должно решать при ­регулировании работы с персональными данными:

  • защита персональных данных от несанкционированного доступа к ним со стороны других лиц, в том числе представителей государственных органов и служб, не имеющих на то необходимых полномочий;
  • обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе при передаче по каналам связи;
  • обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий персональных данных;
  • обеспечение контроля над использованием персональных данных со стороны самого гражданина;
  • создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав гражданина на защиту его персональных данных (например, создание должности Уполномоченного по защите персональных данных).

Наш закон во многом повторяет основные положения европейского законодательства в данной сфере, которое считается одним из самых жест­ких2 в мире. Хотя в 2006 году о законе достаточно часто говорили, но в содержание его положений мало кто внимательно вчитывался. А ведь для того чтобы обеспечить соблюдение его требований, придется существенно изменить работу с информацией и документацией, содержащих персональные данные. Попробуем разобраться, что же нового появляется в области управления документами и информацией в организации?

  • Во всех организациях возникает новый, достаточно объемный пласт документации. Это документы, связанные с получением согласия физических лиц на обработку их персональных данных, с регистрацией баз данных в уполномоченном органе, с документированием всех операций с персональными данными и т.д.
  • Возникает необходимость выделения содержащих персональные данные документов и информации; их особой маркировки как на бумажных, так и на электронных носителях; ведения отдельного учета и отслеживания доступа к ним. Можно говорить о появлении еще одного вида грифа доступа к документам.
  • Принципиально изменяется подход к установлению сроков хранения документов и информации. Впервые в отечественной практике устанавливается максимальный срок хранения, причем срок условный, который достаточно непросто будет соблюдать и отслеживать.
  • При работе с персональными данными необходимо заранее четко продумать и зафиксировать в нормативных документахвсе, что связано с их обработкой. В противном случае организация может быть привлечена к ответственности, и, что еще более неприятно, возможны многочисленные судебные иски от самих субъектов ­персональных данных3.
  • Законом вводятся весьма жесткие сроки исполнения всех обращений граждан, связанных с обработкой персональных данных.

Остановимся теперь подробнее на наиболее важных положениях закона и оценим, что необходимо будет предпринять организациям и учреждениям для его исполнения. Кроме того, попытаемся проанализировать некоторые положения закона с точки зрения правильности и четкости их формулировок.

Область применения закона

Самый первый вопрос: на кого же распространяется данный закон? Отвечая на него, можно смело сказать, что он распространяется на всех без исключения (на госучреждения, юридические и физические лица). Вот перечень из статьи 1:

  • федеральные органы государственной власти,
  • органы государственной власти субъектов Российской Федерации,
  • иные государственные органы,
  • органы местного самоуправления,
  • не входящие в систему органов местного самоуправления ­муниципальные органы,
  • юридические лица,
  • физические лица.

Второй важный вопрос — сфера действия закона.

Фрагмент документа

Статья 1 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ

Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных… с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), ­совершаемых с персональными данными с использованием средств автоматизации.

Формулировка данной статьи — пример того, как не надо писать законы. Получилось нечто непонятное, допускающее самые разные интерпретации. Как на основе подобного текста ответить, например, на вопрос о том, подпадают ли под действие закона данные, записанные в свободной форме в деловой записной книжке? Если же такая записная книжка хранится в компьютере или в мобильном телефоне — считается ли это ­«использованием средств автоматизации»?

Европейское законодательство в этом отношении более четкое:

Фрагмент документа

Директива Евросоюза 95/46/EC 1995 года

Статья 2 «Определения»:

(c) «системой хранения персональных данных»4 («системой хранения») является любой структурированный набор персональных данных, доступ к которым может осуществляться в соответствии с определенными критериями, — вне зависимости от способа организации набора данных, будь то централизованный, децентрализованный или распределенный на функциональной или географической основе…

Статья 3 «Область применения»:

1. Настоящая Директива относится к обработке персональных данных при помощи автоматических средств (полностью или частично), а также к обработке средствами, отличными от автоматических, персональных данных, составляющих или предназначенных составлять часть систем хранения.

В современной компьютерной терминологии под «структурированными данными» понимаются, в первую очередь, базы данных. В бумажном делопроизводстве к ним можно отнести картотеки и архивы персональных дел. Таким образом, европейские требования относятся:

  • к автоматической обработке персональных данных и
  • к использованию (неважно, в автоматическом или ином режиме) содержащих персональные данные бумажных и электронных баз данных, картотек и т.п., имеющих механизм поиска, позволяющий легко выделить сведения о конкретном человеке.

Почему это нельзя было написать русским языком и в нашем законе, остается непонятным?

Следует обратить внимание и на различие в терминологии: «автоматическая обработка» — это одно, а обработка «с использованием средств ­автоматизации» — совсем другое понятие, гораздо более широкое и расплывчатое.

В законе предусмотрены только четыре исключения, а именно, действие закона не распространяется на отношения, возникающие:

  • при обработке персональных данных для личных и семейных нужд;
  • при обработке персональных данных в документах Архивного фонда РФ;
  • при обработке персональных данных для включения их в Единый государственный реестр индивидуальных предпринимателей (ЕГРИП);
  • при обработке персональных данных, отнесенных к государственной тайне.

Один из этих пунктов требует более детального изучения. Для начала процитируем закон:

Фрагмент документа

Статья 1 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

2) организации хранения, комплектования, учета и использования, содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.

Напомним вам два определения, закрепленные законом «Об архивном деле в Российской Федерации» № 125-ФЗ от 22.10.2005 г.:

  • архивный документ — материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства;
  • документ Архивного фонда Российской Федерации — архивный документ, прошедший экспертизу ценности документов, поставленный на государственный учет и подлежащий постоянному хранению.
    Получается, что если документу или базе данных установлен постоянный срок хранения и они включены в состав Архивного фонда Российской Федерации, то на них действие данного закона не распространяется. Эта брешь позволяет государственным органам, ведущим хоть сколько-нибудь серьезные базы данных, избежать исполнения нового закона о персональных данных.

Вот пример того, как это можно сделать. Согласно Федеральному закону «Об архивном деле в Российской Федерации» (часть 2 статьи 18) Правительством РФ утверждается перечень федеральных органов исполнительной власти и организаций, осуществляющих депозитарное хранение документов Архивного фонда РФ, находящихся в федеральной собственности. Новый перечень5 этих ведомств и организаций был утвержден в конце 2006 года. Одновременно этим организациям было предписано заключить с Росархивом договор об условиях хранения документов. Если при заключении договора особо оговорить, что все документы, кроме оперативных, считаются документами, переданными на депозитарное хранение, то можно основную массу документов подвести под данное исключение.

Для других государственных организаций одним из вариантов может стать оперативное согласование описей дел с государственными архивами, что фактически и будет означать включение документов в состав Архивного Фонда РФ и опять-таки уход из «зоны действия» закона о персональных данных.

Директивы Евросоюза подобного исключения не содержат, однако оно имеется, например, в Своде законов США6, где дана более корректная формулировка, не допускающая двусмысленности: законодательство о персональных данных в основном не распространяется на документы, уже переданные на хранение в государственные архивы, но оно распространяется на документы, переданные в государственные архивы каким-либо агентством на депозитарное хранение.

Непонятно также, почему из многочисленных государственных баз данных нашим законом исключение было сделано именно для Единого государственного реестра индивидуальных предпринимателей (ЕГРИП). Было бы логично тогда распространить исключение и на другие государственные реест­ры, также содержащие персональные данные (например, ЕГРЮЛ включает сведения об учредителях и первых лицах всех юридических лиц страны).

Персональные данные и способы их обработки

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (согласно статье 3 закона «О персональных данных»).

Законом предусмотрены следующие способы обработки персональных данных (для ряда из них в статье 3 даны подробные разъяснения):

  • сбор;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • использование — «действия (операции) с персональными данными, совершаемые оператором7 в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта ­персональных данных или других лиц»;
  • распространение (в том числе передача) — «действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом»;
  • обезличивание — «действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных»;
  • блокирование — «временное прекращение сбора, систематизации, накопления, использования, распространения персональных ­данных, в том числе их передачи»;
  • уничтожение персональных данных — «действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных».

Особого внимания заслуживают такие способы обработки, как блокировка и уничтожение персональных данных. В законе весьма неплохо сказано об уничтожении — именно такой подход сейчас рекомендуется отечественными и зарубежными стандартами. Что касается блокирования персональных данных, то такой способ обработки в отечественной практике введен впервые, и его исполнение может значительно осложнить жизнь организациям, использующим ранее разработанные информационные системы и базы данных, в которых подобная операция не предусмотрена.

Принципы и условия обработки персональных данных

Положения закона направлены прежде всего на предотвращение незаконного сбора и использования персональных данных. Данное желание законодателя привело к появлению нового для делопроизводственной практики положения:

Фрагмент документа

Пункт 2 статьи 5 Федерального закона РФ «О персональных данных» от 27.07. 2006 г. № 152-ФЗ

Персональные данные должны храниться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки персональных данных, или утраты необходимости в их достижении.

В данном случае законодательство, пожалуй, впервые устанавливает для информации и документов максимальный и к тому же условный срок хранения — «по достижении целей обработки». Организации должны будут установить сроки хранения содержащих персональные данные документов, причем необходимо будет заранее продумать обоснование выбранных сроков хранения. Это достаточно сложный вопрос, который может вызвать много споров и проблем.

Кроме того, специалистам ДОУ необходимо обратить внимание на следующее: поскольку цели сбора и обработки персональных данных, согласно требованию закона, должны быть определены еще до начала работы, необходимо тщательно продумать их формулировки. В противном случае организация сама может «подставить» себя: цели будут выполнены, а персональные данные не будут уничтожены.

Одним из самых неприятных для организаций, осуществляющих сбор и обработку персональных данных, является требование статьи 6 о необходимости получить согласие субъекта на их обработку. Не требуется получения согласия лишь в следующих случаях:

  • на основании федерального законодательства;
  • в целях исполнения договора с субъектом персональных данных;
  • в статистических или научных целях;
  • для защиты жизни, здоровья субъекта персональных данных;
  • для доставки почтовых отправлений организациями почтовой связи;
  • в ходе профессиональной деятельности журналиста, ученого и т.д.;
  • данных, подлежащих опубликованию в соответствии с ­федеральными законами;
  • в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения ­обороны страны и безопасности государства.

У нас уже имеется ряд федеральных законов, которые описывают обработку персональных данных, например, при ведении Единых государственных реестров налогоплательщиков (ЕГРН) и юридических лиц ­(ЕГРЮЛ). Единственным условием для использования исключения из общего требования о получении согласия является изложение в соответствующем законодательстве следующих вопросов:

  • цели,
  • условий получения персональных данных,
  • круга субъектов, персональные данные которых подлежат обработке,
  • полномочий оператора, осуществляющего сбор данных.

Пока непонятно, что будет происходить с теми законами, которые содержат нормы, связанные со сбором и обработкой персональных данных, но не выполняют при этом указанное условие.

Первыми на проблемы, связанные с соблюдением нового закона, обратили внимание страховые компании. По их мнению, закон о персональных данных способен серьезно затруднить реализацию закона об обязательном страховании автогражданской ответственности (ОСАГО) из-за запрета передавать третьим лицам полученные при заключении договора ОСАГО персональные данные клиента без его согласия. В результате страховая компания не сможет получить полную информацию о своих клиентах из единой базы данных (да и ведение такой базы также оказывается под вопросом), в данной ситуации риски страховщиков повышаются.

Уже сейчас страховые компании пытаются решить эту важную для них проблему, рассматривая следующие варианты:

  • Внесение соответствующих поправок в закон об ОСАГО и обязание страховщиков обмениваться данными о страховых случаях.
  • Определение части персональных данных как публичных. Сведения, которые физическое лицо указывает при оформлении договора ОСАГО, по мнению страховщиков, являются публичными. Однако закон «О персональных данных» требует получать согласие и на сбор публичных данных.
  • Комитет Всероссийского союза страховщиков (ВСС) по противодействию страховому мошенничеству уже подготовил два законопроекта, которые планируется внести на рассмотрение в Государст­венную Думу в начале 2007 года. По словам главы комитета Евгения Потапова, один из этих законопроектов внесет изменения в закон «Об организации страхового дела в РФ». Он разрешит страховщикам создавать на базе своих ассоциаций и объединений автоматизированные информационные системы, которые будут содержать данные о страховых случаях и выплатах8.

Вызывает сомнения пункт 6 статьи 6 о предоставлении права обрабатывать персональные данные журналистам, ученым и представителям иных творческих профессий без согласия субъекта. Вполне реально (особенно в коммерческих структурах) ввести штатную должность «представителя творческой профессии» и «записать на нее» все базы данных, содержащие персональную информацию.

Например, в Англии в аналогичной норме закона дополнительно оговаривается, что в этом случае целью обработки данных должна быть публикация соответствующего материала; что такая публикация должна соответствовать общественным интересам (в том числе в реализации права на самовыражение представителя творческой профессии)9.

Кроме того, интересно, как у нас будет определяться, кто является журналистом или писателем, а кто нет. Не секрет, что многие из пишущей братии не имеют ни соответствующих дипломов, ни служебных удостоверений. Здесь нам может быть полезен подход, применяемый в США: там журналистами признают всех тех, кто пишет статьи для публичного ­распространения, даже если они публикуются только в Интернете.

Пример 1

В США в январе 2007 года начался судебный процесс над бывшим высокопо­­ставленным сотрудником администрации Джорджа Буша Льюисом «Скутером» Либби. В зале суда для прессы было отведено сто мест, и два из них официально получили авторы интернет-дневников.


Пример 2

Американское общество редакторов газет при разработке проекта федерального закона о предоставлении журналистам права не раскрывать конфиденциальную информацию во время судебных процессов предлагают, чтобы этот закон распространялся на всех без исключения и охватывал тех, кто собирает информацию для дальнейшего распространения. А под это определение попадают и авторы интернет-дневников — «блоггеры»10.

Теперь разберемся, каким образом новый закон предполагает получение согласия субъекта на обработку его персональных данных.

Фрагмент документа

Пункт 1 статьи 9 Федерального закона РФ «О персональных данных» от 27.07. 2006 г. № 152-ФЗ

Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе… Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Кроме того, в пункте 3 статьи 9 содержится достаточно неприятное для операторов условие. Им придется либо накапливать доказательства того, что собранные ими данные взяты из общедоступных источников, либо получать согласие от субъекта персональных данных и затем хранить этот документ на случай, если «субъект» вдруг решит подать на оператора в суд за нарушение его прав.

С общедоступными данными также не все так просто. Статья 8, определяя, что подразумевается под общедоступными источниками персональных данных (справочники, адресные книги и т.д.), подчеркивает, что туда персональная информация может включаться только с письменного согласия субъекта. Более того, «сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов».

С другой стороны, если какая-либо организация воспользовалась общедоступными источниками персональных данных при сборе информации, то она должна будет задокументировать, откуда она получила эти сведения и убедиться, что у «источника» имеются требуемые законодательством письменные согласия.

Фрагмент документа

Федеральный закон РФ «О персональных данных» от 27.07. 2006 г. № 152-ФЗ

Пункт 12 статьи 3. Основные понятия, используемые в настоящем ­Федеральном законе

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не ­распространяется требование соблюдения конфиденциальности.

Пункт 1 Статьи 8. Общедоступные источники персональных данных

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

Пункт 3 статьи 9. Согласие субъекта персональных данных на обработку своих персональных данных

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

Получается, чтобы защитить себя, организациям придется просить официальные подтверждения по каждому гражданину.

Как должно быть оформлено письменное согласие субъекта? Оказывается, подписи гражданина под общей фразой «Я согласен на сбор и обработку своих персональных данных» будет недостаточно.

Фрагмент документа

Пункт 4 статьи 9 Федерального закона РФ «О персональных данных» от 27.07. 2006 г. № 152-ФЗ

…письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

  1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  3. цель обработки персональных данных;
  4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  6. срок, в течение которого действует согласие, а также порядок его отзыва.

Это означает, что перед тем как «изловить» субъекта персональных данных и попытаться получить его согласие, оператору необходимо разработать ­специальный бланк документа, который бы содержал все необходимые сведения.

Права субъекта персональных данных

Прежде всего субъект персональных данных вправе получить следующую информацию:

  • сведения об операторе,
  • сведения о месте нахождения оператора,
  • сведения о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных,
  • субъект также имеет право на ознакомление со своими ­персональными данными, имеющимися у оператора.

От оператора субъект персональных данных может потребовать:

  • уточнения своих персональных данных,
  • их блокирования или уничтожения в случае если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Немало сложностей для организаций-операторов создаст пункт 2 статьи 14 закона, который требует, чтобы сведения о наличии персональных данных предоставлялись субъекту оператором в доступной форме и чтобы в них не присутствовали сведения, относящиеся к другим субъектам ­персональных данных.

Пример 3

Большой резонанс получило дело «Дюрант против Управления по контролю за оказанием финансовых услуг»11, разбиравшееся в Апелляционном суде Англии в декабре 2003 года. Решение суда существенно сузило трактовку понятия «персональные данные». В частности, суд указал, что простого упоминания данного лица в тексте документа недостаточно, чтобы считать документ содержащим персональные данные. Кроме того, суд подтвердил, что право на ознакомление со своими персональными данными не должно нарушать прав третьих лиц и что, соответственно, персональные данные третьих лиц должны удаляться из предоставляемых по запросу копий документов (за исключением лишь особых стечений обстоятельств).

В ноябре 2004 года Правительство отказало в праве доступа работникам в Великобритании к их персональным данным вне зависимости от того, держит ли их работодатель в бумажном или в электронном виде, если они хранятся в системе, которая не позволяет четко структурировать информацию по каждому человеку. Тем самым из-под действия требования закона о предоставлении доступа к персональной информации фактически были выведены системы хранения бумажных дел (за исключением персональных досье), т.к. в них сложно выделить информацию о конкретном человеке.

Для получения доступа к своим персональным данным нашим соотечественникам необходимо:

  • обратиться лично либо
  • прислать запрос, который должен содержать:
    • номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя,
    • сведения о дате выдачи указанного документа и выдавшем его органе и
    • собственноручную подпись субъекта персональных данных или его законного представителя.

Данный запрос может быть направлен в электронной форме и подписан электронной цифровой подписью. Таким образом, формально закон предоставляет возможность обратиться за своими персональными данными по электронным каналам связи. Вот только физических лиц, имеющих собственную ЭЦП, соответствующую закону об ЭЦП, у нас пока нет (в подавляющем большинстве случаев ЭЦП в нашей стране используется в соответствии со статьей 160 Гражданского кодекса, предусматривающей предварительное соглашение сторон).

Объем информации, который может запросить субъект персональных данных, демонстрирует заботу о наших гражданах. Организациям, ведущим содержащие персональные данные базы данных, рекомендуется обратить особое внимание на пункт 4 статьи 14 нового закона, чтобы заранее продумать и закрепить во внутренних нормативных актах порядок предоставления информации:

  1. о факте обработки персональных данных оператором, а также целях такой обработки;
  2. о способах обработки персональных данных, применяемых оператором;
  3. о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ (чтобы быть в состоянии отчитаться в том, кому и какие персональные данные предоставлялись, необходимо наладить работу по учету персональных данных и контролю доступа к ним, иначе организации-оператору будет довольно сложно выполнить данное требование);
  4. перечень обрабатываемых персональных данных и источники их получения;
  5. сроки обработки персональных данных, в том числе сроки их хранения (стоит обратить особое внимание на это требование, т.к. фактически оно обязывает оператора закреплять внутренними нормативными документами сроки обработки и хранения, которые могут различаться в зависимости от целей обработки персональных данных);
  6. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных (чтобы выполнить данное требование, организациям стоит заранее поручить своим юристам сформулировать обоснования всех возможных юридических последствий обработки персональных данных)

Вопросу обработки персональных данных «в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации» посвящена специальная статья (ст. 15). Теперь коммерческие и политические организации, прежде чем посылать рекламу, должны получать предварительное согласие гражданина, причем обработка ПД «признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено». Для некоторых коммерческих структур это требование может оказаться очень неудобным!

Отныне «запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы» (статья 16).

Данная норма является необходимой и своевременной. Но наши законодатели, формулируя ее, спутали два разных понятия: «автоматический» (т.е. идущий без участия человека) и «автоматизированный» (т.е. идущий с участием человека). В результате данная статья вместо того, чтобы устанавливать дополнительные ограничения в тех и только тех случаях, когда информационная система принимает какие-либо решения без участия человека (например, о начислении штрафа, о запрете выезда за пределы страны и т.д.), может толковаться как устанавливающая ограничения на все виды обработки персональных данных, поскольку под автоматизированной обработкой можно понимать даже использование калькулятора!

В этой же статье нового закона сказано, что оператор сможет принимать решения на основании только «автоматизированной» обработки, если:

  • получит на это согласие в письменной форме от субъекта ­персональных данных или
  • если данные правила установлены федеральными законами.

В некоторых нормативных документах данные требования закона уже учтены. Так, в образцах заявлений о выдаче паспорта нового поколения содержится специальный раздел, в котором заявитель дает свое согласие на «автоматизированную» обработку указанных в заявлении данных. Звучит он следующим образом: «С автоматизированной обработкой, передачей и хранением данных, указанных в заявлении, в целях изготовления, ­оформления и контроля паспорта в течение срока его действия согласен»12.

Оператор также должен будет предварительно предоставить гражданину следующую информацию:

  • порядок принятия решения на основании исключительно «автоматизированной» обработки его персональных данных и
  • возможные юридические последствия такого решения;
  • порядок защиты субъектом персональных данных своих прав и ­законных интересов;
  • возможность заявить возражение против такого решения.

В случае спора именно оператор должен будет доказать, что он выполнил все требования закона. Это означает, что ему придется тщательно собирать и хранить подтверждающие документы.

Обязанности оператора

В обязанности оператора, согласно статье 18, прежде всего входит предоставление по просьбе гражданина информации о его персональных данных. Кроме того, оператор должен «разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные», если эта обязанность установлена федеральным законом.

Статья 20 устанавливает для операторов очень жесткие сроки исполнения запросов от субъектов персональных данных (они гораздо жестче, например, тех, что предусмотрены в недавно вышедшем законе «О порядке ­рассмотрения обращений граждан Российской Федерации»):

  • предоставление данных — в течение 10-ти рабочих дней с даты ­получения запроса;
  • мотивированный отказ — в течение 7-ми рабочих дней.

Еще больше вопросов возникнет у оператора при необходимости устранения нарушений законодательства в сроки, предусмотренные статьей 21 нового закона. Блокировкаданных должна быть осуществлена с момента обращения или с момента получения запроса, а устранение нарушений — в течение 3-х рабочих дней.

В ряде случаев оператор обязан в течение 3-х рабочих дней уничтожить персональные данные, а именно:

  • в случае невозможности устранения допущенных нарушений,
  • в случае достижения цели обработки персональных данных,
  • в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных.

И блокировку, и уничтожение персональных данных может быть непросто (а иногда и невозможно) реализовать в эксплуатируемых в настоящее время информационных системах и базах данных, в которых прежде не предусматривалась такая возможность.

Еще тяжелее придется оператору, если он получил персональные данные не от самого гражданина, а от третьего лица.

Фрагмент документа

Пункт 3 статьи 18 Федерального закона РФ «О персональных данных» от 27.07. 2006 г. № 152-ФЗ

Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

  1. наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
  2. цель обработки персональных данных и ее правовое основание;
  3. предполагаемые пользователи персональных данных;
  4. установленные настоящим Федеральным законом права субъекта ­персональных данных.

За этими словами стоит дополнительная трудоемкая работа. Например, может встать вопрос, каким способом нужно предоставить данную информацию субъекту? Можно ли направлять ее по почте и будет ли информация считаться предоставленной, если субъект соответствующее письмо не получил?

Обязанностью оператора, согласно статье 19, является также обеспечение безопасности персональных данных при их обработке.Чтобы не было неприятностей, организации-оператору желательно заранее разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, которые она готова предпринять для защиты персональных данных, содержащихся в ее информационных системах.

Государственная регистрация систем обработки персональных данных

Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны заранее уведомлять об этом уполномоченный орган (статья 22), который будет вести учет операторов в специальном реестре. Уполномоченным органом, согласно статье 23, является Мининформсвязи России, который в настоящее время осуществляет «функции по контролю и надзору в сфере информационных технологий и связи». В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными. Любые изменения в отношении обработки персональных данных в обязательном порядке также должны ­сообщаться в уполномоченный орган.

Разрешается вести обработку персональных данных, не уведомляя уполномоченный орган, в следующих случаях:

  • при наличии трудовых отношений;
  • при заключении договора, стороной которого является субъект персональных данных;
  • если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией;
  • если персональные данные являются общедоступными;
  • если персональные данные включают в себя только фамилии, имена и отчества субъектов;
  • при оформлении пропусков;
  • если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и ­общественного порядка;
  • если персональные данные обрабатываются без использования средств автоматизации.

* * *

В заключение дадим ряд рекомендаций организациям-операторам. Исполнить требования закона о персональных данных будет не столь уж трудно, если данную работу начать сейчас, не дожидаясь поступления ­первых заявлений и жалоб. Начать можно со следующих очевидных мер:

  • Желательно назначить ответственного сотрудника для рассмотрения всех вопросов, связанных с исполнением данного закона в организации, а для крупных компаний может быть оправдано создание специальной комиссии.
  • Для всех информационных ресурсов организации, содержащих персональные данные, необходимо:
    • определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по ­собст­венной инициативе и т.д.);
    • уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
    • установить сроки хранения и сроки обработки данных в ­каждом информационном ресурсе;
    • определить способы обработки;
    • определить лиц, имеющих доступ к данным;
    • сформулировать юридические последствия;
    • определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.

В этой статье анализ нового закона о защите персональных данных произведен с точки зрения специалистов в области управления документацией, которым он еще попортит немало крови. Его эффективность покажет практика, а пока, как «субъект персональных данных», я прикидываю список органов государственной власти, куда могла бы послать запрос на предоставление мне, во исполнение требований закона, соответствующей информации. Теперь имею право!


1) Статья 25 главы IV Директивы 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных.

2) Интересно, что даже США не соответствуют строгим европейским требованиям, и американские компании вынуждены использовать так называемые «зонтичные» соглашения.

3) Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются.

4) «personal data filing system»

5) В перечень федеральных органов исполнительной власти и организаций, осуществляющих депозитарное хранение документов Архивного фонда РФ, находящихся в федеральной собственности, включены 18 организаций: МВД России, МИД России, Минобороны России, СВР России, ФСБ России, ФСКН России, ФСИН России, Росатом, Роскартография, Российская академия сельскохозяйственных наук, Российская академия медицинских наук, Российская академия образования, Российская академия художеств, Российская академия архитектуры и строительных наук, Государственное учреждение «Всероссийский научно-исследовательский институт гидрометеорологической информации — Мировой центр данных», Федеральное государственное учреждение «Государственный фонд телевизионных и радиопрограмм», Федеральное государственное унитарное научно-производственное предприятие «Российский федеральный геологический фонд», Федеральное государст­венное унитарное предприятие «Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия».

6) 5 U.S. C. § 552a (k)(1) «Документы на отдельные лица — Особые исключения — Архивные документы».

7) Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

8) http://gzt.ru/auto/2006/12/03/220017.html

9) Data Protection Act 1998, статья 32.

10) http://www.newsru.com/world/11jan2007/blog.ht

11) Durant vs Financial Services Authority (FSA).

12) Приложение № 1 к Инструкции о порядке оформления и выдачи паспорта гражданина Российской Федерации, дипломатического паспорта и служебного паспорта, являющихся основными документами, удостоверяющими личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащих электронные носители ­информации (утв. приказом МВД РФ, МИД РФ и ФСБ РФ от 6 октября 2006 г. № 785/14133/461).

Яндекс.Метрика
Facebook Вконтакте