Савельев А.И.
Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Список сокращений
ЕСПЧ – Европейский суд по правам человека
Суд ЕС – Европейский суд справедливости
ГК РФ – Гражданский кодекс Российской Федерации (часть первая от 30 ноября1994 г. № 51-ФЗ; часть вторая от 26 января 1996 г. № 141-ФЗ; часть третья от 26 ноября 2001 г. № 146-ФЗ; часть четвертая от 18 декабря 2006 г. № 230-ФЗ)
Закон об информации ‒ Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Закон о персональных данных ‒ Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Директива 1995 г. – Директива 95/46/ЕС от 24 октября 1995 г. о защите прав физических лиц применительно к обработке персональных данных и о свободном движении таких данных
КоАП РФ – Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ
Конвенция 1981 г. ‒ Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Заключена в г. Страсбурге (Франция) 28 января 1981 г.
Минкомсвязи России ‒ Министерство связи и массовых коммуникаций Российской Федерации
ОЭСР – Организация по экономическому сотрудничеству и развитию Регламент 2016 г. – Регламент ЕС 2016/679 от 27 апреля 2016 г. о защите прав физических лиц применительно к обработке персональных данных, о свободном движении таких данных и об отмене Директивы 95/46/ЕС (General Data Protection Regulation, GDPR)
Роскомнадзор ‒ Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
Руководящие принципы ОЭСР ‒ Руководящие принципы ОЭСР по защите частной жизни и трансграничного обмена персональными данными 1980 г. (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)
ТК РФ – Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ
УК РФ – Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ
УПК РФ ‒ Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. № 174-ФЗ
Введение
Законодательство о персональных данных и практика его применения в Российской Федерации претерпели значительную эволюцию за последние годы. То, что ранее не вызывало особого интереса у большей части участников оборота и воспринималось ими как очередная бюрократическая формальность, сейчас превратилось в одно из наиболее обсуждаемых на самых различных площадках и самом высоком государственном уровне направлений развития законодательства. Во многом это связано с общим курсом государства на обеспечение цифрового суверенитета, в рамках которого регулирование оборота информации приобретает ключевое значение. Одним из проявлений данного курса стали нашумевшие поправки о локализации отдельных процессов обработки персональных данных российских граждан. Данные поправки спровоцировали не только шквал дискуссий и различных интерпретаций, но и необходимость переосмысления базового терминологического аппарата законодательства в контексте новых технологических реалий: понятия персональных данных, понятия оператора и лица, осуществляющего обработку персональных данных по его поручению, трансграничной передачи данных, обезличенных данных и т.п. Кроме того, особую актуальность приобрели вопросы обеспечения электронного взаимодействия оператора и субъекта персональных данных, в частности, при получении согласия на обработку таких данных, предоставлении необходимой информации о порядке ее обработки и т.п.
В связи с вышеизложенным при подготовке данного комментария были учтены не только судебная практика по вопросам применения законодательства о персональных данных, но и общедоступные разъяснения Минкомсвязи России и Роскомнадзора. При этом особое внимание уделяется определению сферы применения законодательства о персональных данных, в том числе в сети «Интернет», а также существующим интерпретациям ключевых дефиниций законодательства о персональных данных, сфере применения предусмотренных законом оснований для обработки персональных данных различных категорий и обязанностям, возлагаемым на оператора. Кроме того, в комментарии учтены недавние изменения в КоАП РФ, касающиеся увеличения ответственности операторов за нарушение законодательства о персональных данных, а также положения соответствующих нормативных-правовых актов, регламентирующих порядок осуществления контрольно-надзорной деятельности в сфере законодательства о персональных данных.
При этом следует отметить, что законодательство о персональных данных развивается не только в России, но и в Европе, где совсем недавно был принят новый Общеевропейский регламент по защите персональных данных (General Data Protection Regulation), который в 2018 г. сменит устаревшую, но все еще выступающую своего рода эталоном законодательного регулирования защиты персональных данных Директиву ЕС 1995 г.
В ходе данной реформы было затронуто множество вопросов, связанных с вызовами, которые бросают новые технологии защите частной жизни граждан: распространение персональных данных в сети «Интернет» социальными сетями, использование инструментов аналитики «больших данных» и профайлинга, трансграничный характер обработки персональных данных при использовании «облачных» сервисов, информационная «перегруженность» потребителей и пр. Существует достаточно большой пласт решений Европейского Суда Справедливости по вопросам применения отдельных положений законодательства о персональных данных, где многие из указанных проблем были предметом глубокого анализа. В этой связи европейский опыт может быть особенно полезным для России, учитывая не только общность проблем, но и общность законодательства, обусловленную общими корнями – положениями Конвенции Совета Европы 1981 г. № 108 «О защите физических лиц при автоматизированной обработке персональных данных». Европейское законодательство представляет интерес для российского читателя еще и потому, что оно носит экстерриториальный характер и распространяется на только на европейских операторов, но и на иностранных лиц, что особенно актуально, принимая во внимание трансграничный характер электронной коммерции.
В связи с вышеизложенным в настоящем комментарии осуществлено сравнение ряда положений российского законодательства с европейскими нормами: как с ныне действующими, так и с вступающими в силу в 2018 г. При этом в комментарии также приводятся и правовые позиции Европейского Суда Справедливости, которые, по мнению автора, могут быть применимы и в российских реалиях в силу сходства соответствующих правовых норм. Это позволяет обеспечить комплексный и сбалансированный подход к рассмотрению проблем применения законодательства о персональных данных в цифровой среде.
Автор выражает признательность коллегам по Консультативному Совету при Роскомнадзоре, в особенности ‒ заместителю руководителя Роскомнадзора Антонине Аркадьевне Приезжевой и начальнику Управления по защите прав субъектов персональных данных Юрию Евгеньевичу Контемирову, без которых этот комментарий вряд ли был бы написан. Особо хотелось бы поблагодарить и другого коллегу по Консультативному Совету ‒ доцента кафедры теории и истории государства и права СПбГУ Владислава Владимировича Архипова за ценные дискуссии и высказанное мнение по ряду вопросов, отраженных в данном комментарии.
Настоящий комментарий подготовлен в ходе проведения исследования в рамках Программы фундаментальных исследований Национального исследовательского университета «Высшая школа экономики» (НИУ ВШЭ) с использованием средств субсидии в рамках государственной поддержки ведущих университетов Российской Федерации «5-100». Высказанные в работе суждения являются личным мнением автора и могут не совпадать с официальной позицией компании IBM, НИУ ВШЭ или какой-либо иной организации.
27 июля 2006 года № 152-ФЗ
РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
ПринятГосударственной Думой8 июля 2006 годаОдобренСоветом Федерации 14 июля 2006 года(В ред. федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ, от 29.11.2010 № 313-ФЗ, от 23.12.2010 № 359-ФЗ, от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ, от 05.04.2013 № 43-ФЗ, от 23.07.2013 № 205-ФЗ, от 21.12.2013 № 363-ФЗ, от 04.06.2014 № 142-ФЗ, от 21.07.2014 № 216-ФЗ, от 21.07.2014 № 242-ФЗ, от 03.07.2016 № 231-ФЗ, от 22.02.2017 № 16-ФЗ)
Глава 1. Общие положения
Статья 1. Сфера действия настоящего федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее – государственные органы), органами местного самоуправления, иными муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) утратил силу. – Федеральный закон от 25 июля 2011 № 261-ФЗ;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
1. Несмотря на название комментируемая статья определяет лишь предметную сферу действия комментируемого Закона, а именно отношения, на которые он распространяется, а также перечень изъятий из сферы его действия. Сфера действия данного Закона во времени определяется в его ст. 25. К сожалению, комментируемый Закон никак не конкретизирует сферу своего действия в пространстве, что особенно актуально для определения круга иностранных лиц, на которых распространяются его требования. Как следствие, территориальная сфера действия настоящего Закона определяется посредством системного толкования положений иных законов и конкретизирована в разъяснениях Минкомсвязи России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных и уполномоченным на дачу разъяснений по указанным вопросам1. Данные разъяснения опубликованы на официальном сайте Минкомсвязи России2 и будут предметом подробного анализа далее.
1.1. Предметная сфера действия законодательства РФ о персональных данных определена в комментируемой статье посредством указания на два основных признака правоотношений:
1) наличие связи таких отношений с процессами обработки персональных данных;
2) использование средств автоматизации или иных средств, которые по своему характеру схожи с ними и позволяют осуществлять поиск персональных данных в соответствии с заданным алгоритмом.
Первый признак имеет место всегда, когда положительно решен вопрос о квалификации выступающей объектом правоотношения информации в качестве персональных данных, поскольку существующая дефиниция обработки персональных данных охватывает любые действия, совершаемые с ними (о понятиях персональных данных и их обработки см. комментарий к ст. 3 Закона о персональных данных).
Второй признак имеет место во всех случаях автоматизированной обработки, т.е. использования средств вычислительной техники для обработки персональных данных (компьютеров, планшетов, смартфонов, «умных часов», устройств, подключенных к сети «Интернет», и т.п.). Фактически об автоматизированной обработке персональных данных можно вести речь всегда, когда такие данные выражены в цифровой форме.
Кроме того, рассматриваемый признак имеет место при осуществлении «неавтоматизированной» обработки персональных данных, удовлетворяющей в совокупности следующим условиям (далее – квази-автоматизированная обработка):
а) поиск и (или) доступ к таким данным осуществляется в соответствии с определенным алгоритмом, что предполагает наличие систематизации соответствующих документов по конкретным критериям (например, по фамилиям в алфавитном порядке и (или) по годам);
б) использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека независимо от того, хранятся такие сведения в информационной системе персональных данных или нет3.
1.2. В отсутствие систематизации документов по определенным критериям невозможно осуществление действий с ними по определенному алгоритму, а следовательно, такие действия не могут по своему характеру соответствовать действиям, осуществляемым при автоматизированной обработке, и не подпадают под действие Закона о персональных данных. При этом следует подчеркнуть, что буквальное толкование ч. 1 комментируемой статьи позволяет сделать вывод о том, что требование о наличии алгоритма установлено в виде альтернативы применительно как к поиску, так и к доступу к соответствующим данным, а не только к поиску, как иногда указывается в литературе4. Кроме того, настоящий Закон прямо указывает на то, что речь идет о доступе к «таким данным», отсылая тем самым к предыдущей фразе, в которой речь идет о «зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных». Иными словами, к хранению и иным видам обработки несистематизированных персональных данных без использования средств автоматизации Закон о персональных данных не применяется, даже если к таким сведениям возможен последующий доступ третьих лиц.