Данный комментарий
содержит анализ текста Федерального закона от 27 июля 2006 г. N 152-ФЗ
"О персональных данных" (в редакции от 25 июля 2011 г.) с точки
зрения здравого смысла, логики и методологии научной и законотворческой
деятельности. Опыт проведения анализа закона под таким углом зрения является
уникальным. Попытка, предпринятая автором, обусловлена огромным количеством
правовых коллизий, которые породил и продолжает порождать сам закон и
подзаконные акты, уже вышедшие и выходящие в его развитие.
Для облегчения
восприятия автор полностью воспроизводит текст анализируемого закона, в котором
выделяет курсивом фразы, на которые считает необходимым обратить внимание с
целью дальнейшего анализа. Текст комментария предваряется пометкой
«Комментарий», печатается курсивом и размещается сразу после комментируемого
пункта (подпункта) закона.
Глава
1. Общие положенияСтатья
1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным
законом регулируются отношения, связанные
с обработкой [здесь и далее выделено мной – Г.А.] персональных данных,
осуществляемой федеральными органами государственной власти, органами
государственной власти субъектов Российской Федерации, иными государственными органами (далее -
государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы),
юридическими лицами и физическими лицами с использованием средств
автоматизации, в том числе в
информационно-телекоммуникационных сетях, или без использования таких средств,
если обработка персональных данных без использования таких средств
соответствует характеру действий (операций), совершаемых с персональными
данными с использованием средств автоматизации, то есть позволяет осуществлять
в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных
на материальном носителе и содержащихся в картотеках или иных
систематизированных собраниях персональных данных, и (или) доступ к таким
персональным данным.
Комментарий:
1) Все
социальные отношения, так или иначе, связаны с обработкой персональных данных,
тем более с учетом формулировки, приведенной в законе: «… с использованием
средств автоматизации … или без использования таких средств …». Таким образом,
из данного варианта текста следует, что
настоящий закон призван регулировать все социальные отношения.
2) В качестве субъектов, отношения которых
регулируются Законом, перечислены:
- федеральные органы государственной власти;
- органы государственной власти субъектов Российской
Федерации;
- иные государственные органы;
- органы местного самоуправления;
- иные муниципальные органы;
- юридические лица;
- физические лица.
Здесь допущено грубейшее нарушение логического
закона деления, который гласит, что при проведении классификации (перечисление
– простейший вид классификации) основание (признак, по которому осуществляется
идентификация) должен оставаться неизменным. Здесь же федеральные органы
государственной власти, органы государственной власти субъектов Российской
Федерации, иные государственные органы, органы местного самоуправления, иные
муниципальные органы - понятия территориально-административные, юридические и
физические лица - понятия хозяйственно-юридические. Все органы власти состоят
из юридических и физических лиц. Кого согласно данному закону следует
рассматривать в качестве субъекта – министерство или его структурные
подразделения, имеющие статус юридического лица; орган государственной власти
субъекта РФ или департаменты, комитеты, управления, из которых он, собственно,
и состоит?
3) Термин «государственные органы» следует
признать крайне неудачным. Это термин обыденного (разговорного) языка. Под ним
здесь понимаются органы государственной
власти. Однако даже такая трактовка не исключает еще одной методологической
ошибки: отождествление части (органы государственной власти) с целым
(государственные органы). В государстве все «органы» государственные, но не все
«государственные органы» - органы власти.
4) Термин «муниципальные органы» также является
термином обыденного языка и, по закону, синонимом термина «органы местного самоуправления»[1]. Поэтому,
перечисление «органами местного самоуправления, иными муниципальными органами»
является тавтологией.
5) Согласно правил русского языка уточнение «в
том числе в информационно-телекоммуникационных сетях» относится к последнему подлежащему,
т.е. «средствам информатизации». Поэтому фраза «с использованием средств
автоматизации, в том числе в информационно-телекоммуникационных сетях», есть ни
что иное, как абсурд. Кроме того, понятие «информационно-телекоммуникационная
сеть» является родовым по отношению к понятию «средства автоматизации». Или,
проще, средства информатизации входят в состав
информационно-телекоммуникационных сетей, но не наоборот. Поэтому уточнение «в
том числе в информационно-телекоммуникационных сетях» абсолютно излишне. Кроме
того, обработка информации осуществляется не в «сетях», а в «системах»[2].
6) Вторая половина текста статьи – «… с
использованием средств автоматизации, в том числе в
информационно-телекоммуникационных сетях, или без использования таких средств,
если обработка персональных данных без использования таких средств
соответствует характеру действий (операций), совершаемых с персональными
данными с использованием средств автоматизации, то есть позволяет осуществлять
в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных
на материальном носителе и содержащихся в картотеках или иных
систематизированных собраниях персональных данных, и (или) доступ к таким
персональным данным» - с точки зрения стиля и логики изложения представляет собой
элементарную белиберду. Кроме того, неясно кем и какой может быть задан
алгоритм и почему речь идет только о поиске и доступе. Уточнение
«зафиксированных на материальном носителе и содержащихся в картотеках или иных
систематизированных собраниях персональных данных» абсолютно лишне: нет, и не
может быть ни персональных, ни любых других данных, не зафиксированных на
материальном носителе. Информация без носителя не существует! И все ее носители
материальны! Неясно, почему далее речь идет о картотеках и/или
систематизированных собраниях персональных данных. И вообще неясно, что это
такое - «систематизированные собрания персональных данных». Это понятие нигде
не раскрыто.
2.
Действие настоящего Федерального закона не распространяется на отношения,
возникающие при:
1)
обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов
персональных данных;
Комментарий:
1) Закон не раскрывает
понятия «личные и семейные нужды». Поэтому, если появится «личная нужда»
совершить в отношении субъекта персональных данных преступление, то закон как
бы и ни при чем: пожалуйста, обрабатывайте его данные. Если совершение
преступления задумано группой, состоящей только из членов одной семьи, которая
обрабатывает персональные данные будущей жертвы (семейные нужды), то
получается, что они закон не нарушают. Но как только они захотят привлечь к
этому грязному делу соседа или друга, сразу вступят в конфликт с законом: это
уже нельзя.
2) Если у Вас дома есть телефонная
книга, Вы, согласно данному закону, не имеете права показывать ее друзьям,
соседям, родственникам, приехавшим к вам в гости и т.д. Потеряли мобильный
телефон с базой данных друзей, партнеров, клиентов и т.д., значит, согласно
Закону, Вы распространили персональные данные, т.е. совершили «действие,
направленное на раскрытие персональных данных неопределенному кругу лиц»: Вы же
не знаете, кто его найдет. Значит, Вы – нарушитель закона, а то и преступник.
Всё будет зависеть от того, какая информация о друзьях-товарищах была в Вашем
телефоне «забита».
2)
организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного
фонда Российской Федерации и других архивных документов в соответствии с законодательством об
архивном деле в Российской Федерации;
В каком значении здесь
употреблено слово «использования»? Что имели ввиду разработчики закона под
«использованием содержащих персональные данные документов Архивного фонда
Российской Федерации и других архивных документов»? Ис-пользовать – значит
извлечь пользу, употребить/применить с пользой. Использовать документы можно
по-разному. Например, вместо туалетной бумаги. А можно продать. Тоже польза
будет.
3)
утратил силу с 1 июля 2011 г.;
4) обработке
персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5)
предоставлении уполномоченными органами информации о деятельности судов в
Российской Федерации в соответствии с Федеральным законом
от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к
информации о деятельности судов в Российской Федерации".
Статья 2. Цель настоящего
Федерального закона
Целью
настоящего Федерального закона является обеспечение
защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на
неприкосновенность частной жизни, личную и семейную тайну.
Комментарий:
1) Целью закона объявлено «обеспечение защиты
прав и свобод человека и гражданина». Что примечательно: не «защита», а «обеспечение
защиты», не самого человека и гражданина, как это принято, например, в Европе и
закреплено в Конвенции
Совета Европы, что видно даже из ее названия: «О защите физических лиц при
автоматизированной обработке персональных
данных»,
а «прав и свобод». Получается, что российскому законодателю на человека
(гражданина) просто наплевать. Главное – «права и свободы», а не их носители и
обладатели. Правда, и с этим полнейшая неясность: законодатель собирается
обеспечивать защиту прав и свобод кого – человека или гражданина? Множества
«человеки» и «граждане» не тождественны. Не каждый человек гражданин, но каждый
гражданин – человек. У «человека» одни права и свободы, у «гражданина» -
другие. «Человек» - понятие биологическое, «гражданин» - юридическое.
2) Законодатель ставит своей целью «обеспечение
защиты прав и свобод человека и гражданина» не вообще, а только … «при
обработке его персональных данных»!? «Обеспечение защиты … при обработке» - это
как?
3) В
законе продекларирована защита прав на «неприкосновенность частной жизни,
личной и семейной тайны». В то же время в российском законодательстве нет таких
понятий. Нет упоминания о них больше и в тексте данного закона.
Статья 3. Основные
понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального
закона используются следующие основные понятия:
Комментарий:
Понятия, как известно, есть форма мышления и,
следовательно, в законе использована быть не может. В документе (тем более в
законе) используются термины и их определения! Понятия используют бандиты на
«стрелках» и «разборках».
1) персональные
данные - любая
информация, относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту персональных данных);
Комментарий:
В данной версии закона по сравнению с предыдущей в
определение термина «персональные данные» внесены серьезные изменения. По
тексту – появилась формулировка «прямо или косвенно» и исключено уточнение «в
том числе …». По содержанию – это привело к существенному расширению понятия. И
без того нечетко определенное понятие стало еще менее определенным и потому
невероятно широким. Теперь все, что бы не было сказано/написано одним субъектом
о неважно ком, относится к персональным данным или может быть причислено в
таковым. Все басни Крылова, прочитанные вслух, теперь можно отнести к
персональным данным, потому что по данным в них характеристикам героев можно
косвенно определить конкретных лиц. По фразе: «Рыжая бестия, развалившая РАО
ЭС», - легко понять о ком идет речь и отнести эту информацию к персональным
данным этого господина. Другими словами, если раньше, чтобы отнести информацию
о субъекте к «персональным данным» требовалась хоть какая-то конкретика, то
теперь анекдоты, шутки, поговорки, рассказанные с намеком на конкретного
человека, – персональные данные, потому что их можно легко отнести к
какому-нибудь (прямо или косвенно определенному или определяемому) физическому
лицу.
2) оператор - государственный орган, муниципальный орган,
юридическое или физическое лицо, самостоятельно или совместно с другими
лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели
обработки персональных данных, состав
персональных данных, подлежащих обработке, действия
(операции), совершаемые с персональными данными;
Комментарий:
1) Получается,
что отныне «оператором» можно (по закону) называть только того субъекта,
который обрабатывает персональные данные. Термины «оператор котельной» или
«оператор машинного доения» отныне вне закона. И логики. Чтобы понять это,
подставим, например, в термин «оператор машинного доения» определение термина
«оператор», приведенное в данном законе. Получим: «оператор машинного доения -
государственный орган, муниципальный орган, юридическое или физическое лицо,
самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели
обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными,
осуществляющие машинное доение
коров, овец, кобыл на животноводческих фермах.
Термин
«оператор персональных данных», естественно, превращается в тавтологию:
«оператор» - это уже тот, кто обрабатывает персональные дванные.
2) В
комментарии к ч. 1 ст. 1 уже было написано о том, что термины
«государственный орган», «муниципальный орган», «юридическое лицо», «физическое
лицо» обозначают разносущностные понятия, что является грубейшим нарушением
законов логики и методологии научной и законотворческой деятельности. Кого
следует считать оператором: государственный орган – Правительство Российской
Федерации или государственный орган – министерство здравоохранения;
государственный орган – министерство здравоохранения или поликлинику –
юридическое лицо; поликлинику – юридическое лицо или врача – физическое лицо?
Если
следовать законам логики, то в данном примере, - министерство. Поясним.
Оператором согласно закону может называться только тот, кто:
а)
организует и (или) осуществляет обработку персональных данных;
б)
определяет цели обработки персональных данных;
в)
определяет состав [обрабатываемых] персональных данных;
г)
определяет действия (операции), совершаемые с персональными данными.
Между
этими четырьмя составляющими определения стоит запятая, которую следует читать
как знак конъюнкции («И»). Другими словами, к категории «оператор» может быть
отнесен только тот субъект (из перечисленных в законе), в отношении которого
выполняются все четыре условия. Если хоть одно из условий не выполняется,
субъект не должен быть отнесен к категории «оператор». Это по законам логики и
исходя из методологии законотворческой деятельности (т.е. из того, как следует
правильно читать и трактовать законы). На деле же уполномоченный орган по
защите прав субъектов персональных данных, которым на данный момент является
Роскомнадзор, относит пока юридических лиц, на очереди – ПБЮЛ. Не за горами,
видимо, то время, когда к категории «оператор» отнесут всех граждан и лиц без
гражданства, проживающих на территории Российской Федерации, ведь термин
«физическое лицо» тоже не имеет однозначного определения. Под ним в зависимости
от ситуации понимается либо «граждане Российской Федерации, иностранные
граждане и лица без гражданства»[3], либо «индивидуальные
предприниматели, которые приобрели трудовую правосубъектность с момента их
регистрации в качестве таковых и осуществляющие предпринимательскую
деятельность без образования юридического лица»[4]. В то же время ни
юридические лица – предприятия, организации, учреждения, ни физические лица –
работодатели не определяют ни цели обработки персональных данных, ни их состав,
ни, как правило, действия с ними. Все это задают органы государственной власти.
Следовательно, только они – органы государственной власти – и должны быть
отнесены к категории «оператор» и, соответственно, нести всю полноту
ответственности, в т.ч. финансовой, за действия по защите тех персональных
данных, обработку которых регламентируют.
3) обработка
персональных данных - любое
действие (операция) или совокупность действий (операций), совершаемых с
использованием средств автоматизации или без использования таких средств с
персональными данными, включая сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных;
Комментарий:
1) Закон трактует обработку
как «любое действие (операция) или
совокупность действий (операций)», в то время как практически все словари
русского языка под обработкой понимают только действия, приводящие к изменению
объекта воздействия. По законам логики жизненный цикл персональных данных,
равно как и любого другого объекта, состоит из следующих этапов: сбора,
обработки, хранения, передачи, уничтожения.
Информация, в т.ч. персональные данные, онтологически ни чем не
обличаются от других объектов реальной действительности, например, шишек. Так,
шишки собирают, хранят, обрабатывают и передают другому субъекту или
уничтожают. Никому не приходит в голову назвать сбор шишек их обработкой. Равно
как и хранение. Передача – это тоже не обработка. А у кого повернется язык
назвать уничтожение обработкой? В отношении шишек всем все ясно, но в отношении
информации почему-то отказывает логика.
2) Термины,
перечисленные в законе после слова «включая», представляют собой
разносущностные понятия. Так «запись» - это метод, который может быть применен
при сборе, систематизации, накоплении, уточнении, извлечении персональных
данных. Как можно осуществлять сбор персональных данных, если не методом
записи? Накопление - сложный процесс, включающий сбор и хранение. Нельзя
накопить не храня и не добавляя. «Уточнение» не является синонимом ни
обновления, ни изменения. Это целая процедура, которая может включать и сбор, и
сравнение, и запись, и еще массу различных операций. «Извлечение» – это
промежуточная процедура (набор действий) в процессе обработки, но не обработка.
«Обезличивание» - это метод, а не действие. Он осуществляется посредством
модификации (изменения) имеющихся данных. Блокировать можно доступ к
информации, но не информацию. «Блокирование информации» - термин обыденного
(разговорного) языка. Применение таких терминов в законе недопустимо.
«Передача» – это предоставление информации конкретному лицу или по конкретному
каналу связи (например, передача по каналам связи), а «распространение» -
передача информации широкому крегу лиц и не обязательно неопределенному.
Распространяться информация (в т.ч. персональные данные) может и среди
определенного круга лиц. В законе же распространение, предоставление и доступ
перечислены как синонимы термина «передача», что является грубой
методологической ошибкой. «Удаление» – термин компьютерного сленга, способ,
позволяющий сделать информацию, хранящуюся на машинном носителе, невидимой для
штатных средств операционной системы.
3) Особо
хочется остановиться на термине «использование». Какое действие или
совокупность действий он обозначает, совершенно неясно. Как представляется,
такого действия - «использование информации» - нет и быть не может.
Наиболее близким по значению к термину «использование» в контексте данного
закона следует считать термин «применение». Очевидно, что «применение» не есть
действие, это атрибут действия.
4) Фраза
«с использованием средств автоматизации или без использования таких средств»
противоречит ст. 1 данного закона, т.к. неоправданно расширяет множество
возможных способов обработки персональных данных, регулируемых законом. В
ст. 1 указано, что действие закона распространяется на обработку персональных
данных без использования средств автоматизации только в картотеках и иных
систематизированных собраниях персональных данных. Не ясно, что следует
понимать под систематизированными собраниями персональных данных, но ясно, что
сфера действия закона ограничена некоторым условием. И игнорирование этого
ограничения в рассматриваемом определении неправомерно.
4) автоматизированная обработка персональных
данных - обработка
персональных данных с помощью средств
вычислительной техники;
Комментарий:
Понятие
«автоматизированная обработка» значительно шире понятия «обработка с
использованием средств вычислительной техники». В русском языке
«автоматизированной» называется любая обработка с применением автоматических
устройств (автоматов). Поэтому любая обработка данных с помощью средств
вычислительной техники - это автоматизированная обработка, но не любая
автоматизированная обработка есть обработка с помощью средств вычислительной
техники. Искусственное уменьшение объема понятия не может не породить серьезных
коллизий.
5) распространение
персональных данных - действия, направленные на раскрытие персональных данных
неопределенному кругу лиц;
Комментарий:
1) Трактовка
«распространения» через «раскрытие» является грубым
нарушением законов логики. Приходится в очередной раз констатировать, что здесь
опять используются разносущностные понятия. «Распространение» предполагает
перемещение объекта в пространстве, «раскрытие» - термин, обозначающий открытие
чего-то ранее скрытого (закрытого).
2) Распространяться
могут и открытые (общедоступные) данные. В этом случае исходя из приведенного
определения получится «раскрытие
открытого»?
Информация
(в т.ч. персональные данные) может распространяться как среди неопределенного круга лиц, так и среди
определенного. Так, например, можно распространить информацию (в т.ч.
персональные данные) среди сотрудников своего подразделения, т.е. совершенно
определенного круга лиц. Поэтому правильнее было бы трактовать «распространение
персональных данных» как «передача персональных данных по инициативе обладателя.
6) предоставление
персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Комментарий:
1) То
же, что и к предыдущему.
2) Предоставление
– действие по доставке информации потенциальному потребителю по его запросу,
просьбе. Пре-доставление – доставка по предварительному запросу. Данные могут
быть предоставлены как определенному лицу (кругу лиц), так и неопределенному.
Звоня в службу «09» потребитель просит предоставить ему некую информацию не
называя ни имени, ни фамилии, ни своего адреса, т.е. оставаясь «неопределенным
лицом». И оператор службы предоставляет информацию (при ее наличии)
потребителю. Почему разработчики данного закона изменили значение слова «предоставление»,
наполнили его несвойственным ему смыслом, остается загадкой.
7) блокирование
персональных данных -
временное прекращение обработки
персональных данных (за исключением
случаев, если обработка необходима для
уточнения персональных данных);
Комментарий:
1) Как уже было отмечено
выше, блокировать персональные данные невозможно. Персональные данные – объект,
а не действие. Блокировать можно доступ к информации, содержащей персональные
данные, к средствам их обработки, но не сами персональные данные.
2) Блокирование
(постановка блока) – действие по пресечению действия другого субъекта.
Т.е. создание препятствия – блока, – предотвращающего действие оппонента.
Прекращение – атрибут действия, осуществленного самим субъектом.
Определять действия через атрибут действия, да еще другого субъекта, по меньшей
мере, грубая методологическая ошибка.
3) Уточнение,
приведенное в скобках, иначе, как абсурдным, назвать нельзя. Почему уточнять
данные можно, а все остальное, в т.ч., например, уничтожать, нельзя? Кроме
того, согласно определению термина «обработка персональных данных»,
приведенному в настоящем законе, «уточнение» входит в состав понятия
«обработка». Получается «обработка необходима для … обработки»?
8) уничтожение
персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются
материальные носители персональных данных;
Комментарий:
1) Что
является содержанием персональных данных? Содержанием файла, обрабатываемого
или хранящегося в информационной системе, являются персональные данные. Но
почему должно стать невозможным восстановление именно содержания персональных данных конкретно в информационной системе, да еще в информационной системе
персональных данных? А если не в информационной системе персональных данных их
восстанавливать, а просто в информационной системе или любом другом месте,
например, в помещении, в лаборатории и т.п.? А зачем, например, уничтожать
школьную доску – материальный носитель, – на которой были написаны чьи-то
персональные данные, если их можно легко и просто стереть тряпкой? И зачем
уничтожать USB-флеш-накопитель,
если можно гарантированно уничтожить содержащуюся на ней информацию при помощи специальных программ?
2) Действием,
в результате которого «становится невозможным восстановить содержание
персональных данных» (с единственным уточнением – для других) является,
например, шифрование. Тогда что, шифрование – это уничтожение? Если исходить из
приведенного в законе определения, да. По логике и здравому смыслу – нет!
Уничтожение – это не действие и не действия, это определенный набор действий,
выполненных в соответствии с некоторым алгоритмом, или, иначе, процедура. Тогда
уничтожение персональных данных – это процедура, по завершении которой
становится невозможным восстановление персональных данных (а не их содержания,
как это написано в законе).
9) обезличивание
персональных данных - действия,
в результате которых становится невозможным без использования дополнительной
информации определить принадлежность
персональных данных конкретному субъекту
персональных данных;
Комментарий:
1) «Обезличивание» это не «действия».
Это метод! Метод, позволяющий деперсонифицировать персональные данные.
2) Если исходить из
этимологии слова «обезличивание», то любая информация о человеке без его
фотографии, является обезличенной. А если ее [фотографии] там не было, то и
обезличивать нечего.
3) В различных ситуациях для
определения принадлежности каких-либо данных конкретному субъекту необходима
различная информация.
Если вы не знаете человека в
лицо, то даже вся информация, перечисленная в определении «персональные данные»
в предыдущей версии закона в совокупности, не позволит
однозначно идентифицировать человека. Но, если будет указано только имя
человека под его фотографией, то это сразу позволит его идентифицировать. Не
стопроцентно, но с очень высокой степенью вероятности. А если человек вам был
знаком, то малейший намек позволит однозначно определить принадлежность этих
данных к нему. Это можно продемонстрировать на таком примере: «Этого
«наноначальника» ненавидит вся страна». Вопрос: это обезличенные данные или
оличенные? Личность субъекта, о котором идет здесь речь, может быть установлена
однозначно? Человеком, хоть иногда смотрящим телевизор и читающим газеты -
однозначно. Жителем таежной глубинки или бомжом – вряд ли. Таким образом
совершенно очевидно, что процедура определения принадлежности персональных
данных субъекту персональных данных напрямую и самым непосредственным образом
зависит от тезауруса определяющего субъекта.
Так что прежде, чем давать
определение «обезличиванию» персональных данных, необходимо дать определение,
что есть «оличивание» персональных данных. Тогда что есть «обезличивание»
станет ясно само собой.
10)
информационная
система персональных данных - совокупность содержащихся в базах данных персональных данных и
обеспечивающих их обработку информационных технологий
и технических средств;
Комментарий:
1) Общепризнанная единая
формулировка термина «база данных» на сегодняшний день отсутствует. Определение
этого термина, данное в законах РФ «Об авторском праве и смежных правах» и «О
правовой охране программ для ЭВМ и баз данных», с точки зрения методологии
науки не выдерживает никакой критики. В каком смысле этот термин использован в
данном законе? И, главное, зачем? Если исключить из рассматриваемого
определения слова «содержащихся в базах данных», его уже можно было бы читать.
2) Информационные
технологии – это способы создания, фиксации, переработки и распространения
информации[5]. Поэтому «технологии» в состав
системы входить не могут по определению самого понятия.
3) К техническим средствам,
обеспечивающим обработку персональных данных, можно отнести все, что угодно,
например, лампочку в кабинете сотрудника, обрабатывающего персональные
данные, стул на котором он сидит,
телефонный аппарат, по которому он говорит, и т.д. и т.п. Все эти и многие
другие технические средства обеспечивают обработку (в т.ч. и персональных)
данных.
4) Система, по науке,
состоит из трех компонентов:
1) элементов; 2) связей; 3)
отношений
или в терминах современной науки:
1) структуры; 2) коммуникаций; 3)
смыслов.
Элементами (структуру)
информационной системы являются (образуют) средства вычислительной техники.
Связи (коммуникации) этих элементов обеспечивают средства связи и
телекоммуникации. Отношения (смыслы) обеспечивают программные средства. Таким
образом, согласно науке, информационная система состоит из:
1) средств вычислительной
техники;
2) средств связи и
телекоммуникации;
3) программных средств
(программного обеспечения).
В результате получаем вполне
научное определение:
информационная
система персональных данных – это совокупность средств вычислительной техники, средств связи и
телекоммуникаций, а так же программного обеспечения, при помощи которых
обрабатываются персональные данные.
Определение понятия
«информационная система персональных данных»,
приведенное в настоящем законе, противоречит науке и здравому смыслу, исходя из
чего его следует признать крайне неудачным.
11) трансграничная
передача персональных данных - передача персональных данных на территорию иностранного государства
органу власти иностранного государства, иностранному физическому лицу или
иностранному юридическому лицу.
Комментарий:
Определение стилистически
построено так, что передача персональных данных любому из перечисленных
субъектов, находящихся на территории России, под него не подпадает. Поэтому
передача персональных данных посольствам иностранных государств, отделениям и
филиалам иностранных компаний, представительствам и прочим организациям и
предприятиям, а так же иностранцам, находящимся в момент передачи таких данных
на территории России, не считается трансграничной. Вопрос о том, сделано это
специально или по недомыслию, остается открытым.
Статья 4.
Законодательство Российской Федерации в области персональных данных
1.
Законодательство Российской Федерации в области персональных данных
основывается на Конституции
Российской Федерации и международных договорах
Российской Федерации и состоит из
настоящего Федерального закона и других
определяющих случаи и особенности обработки персональных данных федеральных законов.
Комментарий:
1) Законодательство состоит
не только из законов, но и из подзаконных актов, нормативных правовых актов,
издаваемых Президентом РФ, Правительством РФ, другими органами власти.
2) Законодательство в
области персональных данных и, в первую очередь, рассматриваемый закон,
противоречит Конституции РФ и практически никак не коррелированно с
международными правовыми актами по данному направлению[6].
2. На
основании и во исполнение федеральных законов государственные органы, Банк
России, органы местного самоуправления в пределах своих полномочий могут принимать
нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные
правовые акты) по отдельным вопросам, касающимся обработки персональных данных.
Такие акты не могут содержать положения, ограничивающие права субъектов
персональных данных, устанавливающие не предусмотренные федеральными законами
ограничения деятельности операторов или возлагающие на операторов не
предусмотренные федеральными законами обязанности, и подлежат официальному
опубликованию.
3.
Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами
и иными нормативными правовыми актами Российской Федерации с учетом
положений настоящего Федерального закона.
Комментарий:
Если строго следовать букве
данного положения, то ни законов, ни подзаконных актов, устанавливающих
особенности обработки персональных данных с использованием средств
автоматизации, больше нигде быть не должно. Всё только в этом законе!
4. Если
международным договором Российской Федерации установлены иные правила, чем те,
которые предусмотрены настоящим Федеральным законом, применяются правила
международного договора.
Глава 2. Принципы и условия обработки персональных
данных
Статья 5.
Принципы обработки персональных
данных
Комментарий:
Принцип (лат. principium — первоначало, основа) — 1) исходное, не
требующее доказательств положение теории (то же, что аксиома или постулат); 2)
внутреннее убеждение, неизменная позиция или правило поведения (то же, что
максима или заповедь)[7].
Какие постулаты и заповеди могут
быть в законе? В научной теории, в уставе политической партии, в концепции, еще
где угодно, но только не в законе!
1.
Обработка персональных данных должна осуществляться на законной и справедливой
основе.
Комментарий:
Закон устанавливает принцип
законности!? А принцип справедливости – это вообще для программы политической
партии, политической прокламации, листовки, для митинга, но не для закона. В
юриспруденции говорят о «праве справедливости»[8], но не о «принципе
справедливости» и уж, тем более, не о «справедливой основе», да еще в форме
нормы закона.
2.
Обработка персональных данных должна ограничиваться
достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных,
несовместимая с целями сбора
персональных данных.
Комментарий:
1) «Обработка … должна
ограничиваться достижением … целей» - оборот обыденной речи. «Обработка» никому
ничего не должна. Чтобы ограничить нечто, необходимо знать физические
параметры, которые нужно о-граничивать. Какие физические параметры «обработки»
обязывает соблюдать настоящий закон? Об этом в законе ни слова.
Обработку может и должен
ограничивать субъект (в данном законе – оператор): а) по срокам обработки и
хранения; б) по виду (спектру) собираемых данных; в) по количеству субъектов,
данные о которых собираются и обрабатываются.
2) Что следует понимать под
термином «законные цели»? Какие цели законные, а какие нет? Цель «оказать помощь
малоимущему гражданину» законна? Как она «ограничивает» обработку персональных
данных?
3) «Цели сбора» и «цели
обработки» не тождественны. Как правило, целью сбора персональных данных
является их последующее внесение в какие-то документы (в т.ч. базы данных).
Получается, что как только собрали персональные данные и внесли их в базу (т.е.
достигли цели сбора), сразу же должны всё и уничтожить!?
3. Не
допускается объединение баз данных,
содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Комментарий:
1) Что означает термин
«объединение баз данных»?
2) Нельзя объединять только
«базы данных»? Разрозненные файлы, отчуждаемые носители машинной информации,
разные базы данных на одном носителе и т.п. – можно?
3) Что такое «несовместимые
цели»? Цели создания баз данных, как правило, одни и те же – совершенствование
процессов управления. А вот задачи, для решения которых они создаются,
различны.
4. Обработке
подлежат только персональные данные, которые отвечают целям их обработки.
Комментарий:
1) Целью обработки любого
материала, в т.ч. персональных данных, является получение нового продукта с
нужными качествами. Персональные данные обрабатываются с целью их актуализации,
повышения оперативности и обеспечения удобства их использования. А это делается
с целью обеспечения принятия соответствующим лицом правильного и своевременного
решения. А решение принимается с целью совершения действия. А действие совершается
с целью удовлетворения потребности. А потребность удовлетворяется с целью
сохранения (обеспечения) жизни и здоровья
индивида (индивидов). О какой из этих целей идет речь в законе?
Корректнее было бы введение
ограничений через задачи, решаемые
оператором, или функции, возложенные на него, но никак не через цели.
2) В подавляющем большинстве
случаев обработке подлежат те персональные данные, которые предписывают
нормативно-правовые акты, издаваемые органами государственной власти.
3) Целями обработки
персональных данных могут быть:
1) поиск
и идентификация индивида;
2) выявление
и верификация качеств индивида и фактов его жизни.
Задачи же необыкновенно
разнообразны. Например:
1) выплата заработной платы:
собираются те персональные данные, перечень которых предписан налоговым
кодексом;
2) выплата пенсий, пособий,
субсидий: перечень собираемых персональных данных определяет пенсионный фонд и
налоговая инспекция;
3) сбор компромата: собирается
максимально возможная информация об индивиде и фактах его жизни, и т.д. и т.п.
Но ни выплата заработной платы,
пособий пенсий, субсидий и т.п., ни сбор компромата и т.д. не могут быть
целями. Это – средства решения задачи!
Для пояснения этого положения
приведем следующий пример: для достижения своей главной цели – оказания помощи
малоимущим гражданам – структурному подразделению администрации муниципалитета
достаточно, чтобы человек пришел и сказал, что он малоимущий и нуждается в
помощи. Но налоговые органы, пенсионный фонд, прокуратура, и другие органы
государственной власти требуют, чтобы администрация собирала о данном человеке
столько и такой информации, чтобы однозначно его идентифицировать и установить
с определенной степенью достоверности его материальное положение. Однако, еще
раз приходится констатировать, что сбор и обработка этой информации, не
является, да и не может являться, целью. Это средство решения поставленной
государственными органами власти задачи.
Поэтому собираться,
обрабатываться, храниться, передаваться должны только те персональные данные,
которые необходимы для решения стоящих перед «оператором» задач, а не
«целей», да еще «обработки».
5. Содержание и объем обрабатываемых
персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Комментарий:
1) То же, что и к
предыдущему пункту.
2) Что в персональных данных
содержание, а что объем?
3) Избыточность – количественная
характеристика. Она не может быть применена к понятию цели. К цели может быть
применено понятие релевантности: соответствие/несоответствие цели.
6. При
обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки
персональных данных. Оператор должен принимать необходимые меры либо
обеспечивать их принятие по удалению
или уточнению неполных или неточных
данных.
Комментарий:
1) Применение понятия
«точность» к понятию «персональные данные» с точки зрения правил русского языка
недопустимо. К данным, в т.ч. персональным, может быть применен термин
«достоверность»!
2) Что касается
«достаточности по отношению к целям», то см. пример, приведенный в комментарии
к ч.4 данной статьи.
«Достаточность … по отношению к целям
обработки» - это абсолютная глупость. Данные должны быть достаточны: а) для
принятия правильного (верного) решения или 2) выполнения установленных законами
требований.
3) Требование актуальности в
законе – явно избыточно, а уточнение «в необходимых случаях» тем более.
4) Требование «удалять»
прежде чем «уточнять» вызывает недоумение.
7.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели
обработки персональных данных, если срок хранения персональных данных не установлен
федеральным законом, договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект персональных данных. Обрабатываемые
персональные данные подлежат уничтожению
либо обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено федеральным
законом.
Комментарий:
1) Как следует понимать
термин «определить субъекта»? Как субъекта можно «определить»? Можно определить,
кем является субъект, как его зовут и т.п., но определить субъекта невозможно.
«Определить субъекта» - это идиоматический оборот.
2) Что необходимо делать:
«хранить персональные данные в форме, позволяющей определить субъекта
персональных данных» или «хранить персональные данные не дольше, чем этого
требуют цели обработки»?
3) Форм представления
(хранения) персональных данных, позволяющих «определить» субъекта персональных
данных, довольно мало. Одну из них, например, использует полиция на стендах «Их
разыскивает полиция». Другие – «Почетные граждане города» или «Передовики
производства», – практически, сошли на нет. Другие, наиболее распространенные
формы хранения персональных данных, – бланки, анкеты, карточки и т.д. –
определить субъекта не позволяют, если на них отсутствуют фотографии субъекта.
И уж совсем невозможно определить субъекта персональных данных в случае
хранения их в форме электрических сигналов, электрических и магнитных полей,
намагниченных кластеров и т.д. и т.п.
Статья 6. Условия обработки персональных данных
1.
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка
персональных данных допускается в следующих
случаях:
Комментарий:
1) Если принципы данным
законом действительно предусмотрены (?), то о правилах здесь нет ни слова.
2) В заголовке статьи –
«условия», но в самой статье речь идет о чем угодно, только не об условиях –
случаях, правах, ответственности. Это грубейшее нарушение методологии и
научной, и законотворческой деятельности.
1)
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его
персональных данных;
Комментарий:
С учетом того, что данным законом
к персональным данным отнесена любая информация о субъекте персональных
данных, то любое прямое или косвенное упоминание любой информации о субъекте,
без его на то согласия, должно быть исключено. В том числе, например,
упоминание фамилии и инициалов автора статьи при ее цитировании. Ведь фамилия и
инициалы – прямо относятся к субъекту, а текст статьи (книги, монографии)
раскрывает его политические, философские, религиозные взгляды. Отныне
электронные библиотеки, форумы, на которых обязательна регистрация под
истинными реквизитами, энциклопедии (Википедия, в первую очередь) и т.д. и т.п.
– все вне закона, если нет (а, как правило, нет) согласия субъекта в письменном
виде на размещение его статей, выступлений, сведений о нем самом. А если уж
«зреть в корень» этого закона, то нельзя даже называть фамилию субъекта без его
на то письменного согласия. Произнесение фамилии – обработка персональных
данных без использования средств автоматизации, а данным
законом запрещена любая обработка персональных данных без согласия субъекта
этих данных, причем (согласно ст.9 п.1. данного закона) в любой позволяющей
подтвердить факт его получения форме.
2)
обработка персональных данных необходима для достижения целей, предусмотренных международным
договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской
Федерации на оператора функций, полномочий и обязанностей;
Комментарий:
1) Для достижения целей необходимы
персональные данные, а не их обработка!
2) Стиль изложения
просто кошмарный! Это грубое попрание правил русского языка, что в федеральном
законе представляется недопустимым. Функции осуществляются, полномочия
реализуются, а обязанности выполняются, а в тексте закона всё свалено в одну
кучу. Получилась терминологическая свалка.
3) Законодательство РФ
не может возлагать на операторов функции, полномочия и обязанности! Функции
операторов прописываются в Уставах или Положениях, обязанности, как правило, в
инструкциях и договорах, полномочия могут предоставляться и разграничиваться
законодательством, но не возлагаться. Возлагаемые данным законом обязанности –
это «обязанности оператора», а не «обязанности, возложенные законодательством».
Законодательством могут быть возложены и другие обязанности, а не только эти.
3)
обработка персональных данных необходима для осуществления правосудия,
исполнения судебного акта, акта другого органа или должностного лица,
подлежащих исполнению в соответствии с законодательством
Российской Федерации об исполнительном производстве (далее - исполнение
судебного акта);
4)
обработка персональных данных необходима для предоставления государственной или
муниципальной услуги в соответствии с Федеральным законом от
27 июля 2010 года N 210-ФЗ "Об организации предоставления
государственных и муниципальных услуг", для обеспечения предоставления
такой услуги, для регистрации субъекта персональных данных на едином портале
государственных и муниципальных услуг;
5)
обработка персональных данных необходима для исполнения договора, стороной
которого либо выгодоприобретателем или поручителем по которому является субъект
персональных данных, а также для заключения договора по инициативе субъекта
персональных данных или договора, по которому субъект персональных данных будет
являться выгодоприобретателем или поручителем;
6)
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта
персональных данных, если получение согласия субъекта персональных данных
невозможно;
Комментарий:
Какие интересы «жизненно важные»,
а какие нет? Кто и где это определил? Понятие «жизненно важные интересы
субъекта» не определено ни наукой, ни законами. Для наркомана, например, не
просто «жизненно важно», а «жизненно необходимо» «уколоться». А чтобы купить
дозу, ему необходимы деньги. А ему никто не дает. Он идет и убивает. Но прежде,
чем это сделать, он собирает о будущей жертве необходимые для совершения
преступления сведения – персональные данные – на законных основаниях: для него
ведь это «жизненно важно»!
7)
обработка персональных данных необходима для осуществления прав и законных
интересов оператора или третьих лиц либо для достижения общественно
значимых целей при условии, что при этом не нарушаются права и свободы субъекта
персональных данных;
Комментарий:
1) Права и интересы нельзя
осуществлять! Права можно реализовывать, интересы удовлетворять.
2) Понятие «законные
интересы» ни в российском законодательстве, ни в российской науке не раскрыты.
Что следует понимать под термином «законные интересы»? Интересы, прописанные в
законах? Все остальное «незаконные интересы»? Какие интересы прописаны в
законах? Интерес к представителю противоположного пола – законный? Получается,
что если для реализации этого интереса один субъект начинает собирать данные о
другом – интересующем его, – то данный закон это разрешает. А иметь о своем
контрагенте достоверную информацию – это законный интерес субъекта? Тогда все
можно?
8)
обработка персональных данных необходима для осуществления профессиональной
деятельности журналиста и (или) законной деятельности средства массовой
информации либо научной, литературной или иной творческой деятельности при
условии, что при этом не нарушаются права и законные
интересы субъекта персональных данных;
9)
обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением
целей, указанных в статье 15
настоящего Федерального закона, при условии обязательного обезличивания
персональных данных;
Комментарий:
На недопустимость раскрытия
«обработки» через «цели», мы обращали внимание выше. Здесь отметим, что
«статистические цели» и «исследовательские цели» - это, в лучшем случае,
идиоматические обороты. Кроме того, «статистические цели» не являются
исследовательскими и потому употребление слова «иные» (с точки зрения стиля
изложения) не совсем уместно.
10)
осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе
(далее - персональные данные, сделанные
общедоступными субъектом персональных данных);
Комментарии
1) Доступ не может
предоставляться! Доступ осуществляется. Предоставляется право доступа.
2) «Предоставлен доступ» и
«сделанные общедоступными» не тождественные понятия и даже не синонимы. Здесь
опять допущена грубая методологическая ошибка.
3) Что означает «сделанные
общедоступными»? Как субъект может сделать свои персональные данные
общедоступными? Процедура «делания своих персональных данных субъектом
общедоступными» в законе не уточняется. Нет и определения общедоступности.
11)
осуществляется обработка персональных данных, подлежащих опубликованию или
обязательному раскрытию в
соответствии с федеральным законом.
Комментарий:
Что означает термин «раскрытие»?
Каким федеральным законом это «раскрытие» регламентировано? В данном законе
термин «раскрытие» не раскрыт.
2.
Особенности обработки специальных
категорий персональных данных, а также биометрических персональных данных
устанавливаются соответственно статьями 10
и 11 настоящего Федерального закона.
Комментарий: см. комментарий к ст. 10.
3.
Оператор вправе поручить обработку персональных данных другому лицу с согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом,
на основании заключаемого с этим лицом договора, в том числе государственного
или муниципального контракта, либо путем принятия государственным или
муниципальным органом соответствующего акта (далее - поручение оператора).
Лицо, осуществляющее обработку персональных данных по поручению оператора,
обязано соблюдать принципы и правила
обработки персональных данных, предусмотренные настоящим Федеральным законом. В
поручении оператора должны быть
определены перечень действий (операций) с персональными данными, которые будут совершаться
лицом, осуществляющим обработку персональных данных, и цели обработки, должна
быть установлена обязанность такого лица соблюдать конфиденциальность
персональных данных и обеспечивать безопасность персональных данных при их
обработке, а также должны быть указаны требования к защите обрабатываемых
персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Комментарий:
1) Глава 2 настоящего закона
предусматривает «принципы и условия
обработки персональных данных», но не «принципы
и правила обработки персональных данных»! «Правила обработки персональных
данных» настоящим законом не предусмотрены!
2) В начале речь идет о
«поручении» как действии, совершаемом на основании договора, в конце – о
«поручении» как объекте (документе). Т.е. произошла подмена понятий.
3) Перечень действий
(операций) с персональными данными должен быть предусмотрен в договоре, а не в
поручении.
4.
Лицо, осуществляющее обработку персональных данных по поручению оператора, не
обязано получать согласие субъекта персональных данных на обработку его
персональных данных.
5. В случае,
если оператор поручает обработку персональных данных другому лицу,
ответственность перед субъектом персональных данных за действия указанного лица
несет оператор. Лицо, осуществляющее обработку персональных данных по поручению
оператора, несет ответственность перед оператором.
[1] См., например, Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономический словарь. - ИНФРА-М, 2006.
[2] Федеральный
закон от 27.07.2006 N 149-ФЗ (ред. от 06.04.2011, с изм. от 21.07.2011)
"Об информации, информационных технологиях и о защите информации".
[3] Налоговый кодекс
Российской Федерации (часть первая)" от 31.07.1998 N 146-ФЗ (ред. от
07.06.2011).
[4] Кайль А.Н., Новиков Е.А.
Комментарий к федеральному закону от 27 июля 2006 г. n 152-ФЗ "О
персональных данных"/СПС «КонсультантПлюс».
[5] См., например, Яндекс›Словари›Энциклопедия
социологии, 2003.
[6] Об этом подробнее:
[7] Новая философская
энциклопедия, 2003 г. – Режим доступа: http://www.terme.ru/dictionary/.
[8] http://dic.academic.ru/dic.nsf/enc_colier/4758
--------------------------------------------------------------------------------------------------------------------------
Библиографическая ссылка: Атаманов Г. А. Комментарий к федеральному закону № 152-ФЗ "О персональных данных" // Защита информации. INSIDE. 2012. № 1. С. 39-49.
--------------------------------------------------------------------------------------------------------------------------
Библиографическая ссылка: Атаманов Г. А. Комментарий к федеральному закону № 152-ФЗ "О персональных данных" // Защита информации. INSIDE. 2012. № 1. С. 39-49.
Большой толковый словарь
ОтветитьУдалить"Перечень действий (операций) с персональными данными должен быть предусмотрен в договоре, а не в поручении."
ПОРУЧЕНИЕ, -я; ср. 1. к Поручить - поручать. Говорить по чьему-л. поручению. Вручить подарок от имени и по поручению кого-л. 2. Дело, порученное кому-л.; задание. Дать, выполнить п. Общественное п. П. купить хлеба. Послать с поручением. 3. Спец. Договор, по которому одна сторона обязуется совершить за счёт и от имени другой стороны порученные ей действия. 4. Спец. Документ, согласно которому банк перечисляет деньги клиента на указанный счёт. Денежное п. Оформить п. банку. Получить деньги по поручению. <Порученьице, -а; ср. Уменьш. (2 зн.).