понедельник, 3 марта 2014 г.

Комментарий к федеральному закону 152-фз "О персональных данных" ЧАСТЬ 2


Данный комментарий содержит анализ текста Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (в редакции от 25 июля 2011 г.) с точки зрения здравого смысла, логики и методологии научной и законотворческой деятельности. Опыт проведения анализа закона под таким углом зрения является уникальным. Попытка, предпринятая автором, обусловлена огромным количеством правовых коллизий, которые породил и продолжает порождать сам закон и подзаконные акты, уже вышедшие и выходящие в его развитие.
Для облегчения восприятия автор полностью воспроизводит текст анализируемого закона, в котором выделяет курсивом фразы, на которые считает необходимым обратить внимание с целью дальнейшего анализа. Текст комментария предваряется пометкой «Комментарий», печатается курсивом и размещается сразу после комментируемого пункта (подпункта) закона.

Статья 7. Конфиденциальность персональных данных
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Комментарий:
1) Доступ нельзя получить. Его можно осуществить. Получить можно право доступа.
2) Доступ к персональным данным не означает ознакомления с ними. Можно осуществить доступ к информации и не знакомиться с ней. Кроме того, оператор не «получает доступ». Оператор осуществляет сбор, обработку, хранение персональных данных и, следовательно, сам регламентирует доступ к ним.
3) Если строго следовать положениям, изложенным в ст.3 данного закона, «не раскрывать третьим лицам и не распространять» есть тавтология. «Раскрывать третьим лицам» - это может быть и «распространять», и «предоставлять», в зависимости от того, кто эти «третьи лица».

Статья 8. Общедоступные источники персональных данных
Комментарий:
«Общедоступные источники персональных данных» или «источники общедоступных персональных данных»? Справочники, адресные книги и им подобные документы, практически, никогда не бывают общедоступными. Это – источники информации регламентированного доступа. Кроме того, перечисленные документы не являются «источниками персональных данных». Это источники справочной информации, в которых присутствуют некоторые персональные данные о некоторых гражданах (должностных лицах).  
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Комментарий:
 «Информационное обеспечение» может быть только кого-либо или чего-либо, в противном случае этот термин превращается в универсалию, а вся фраза – в абсурд. 
2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Комментарий:
Пункт носит абсолютно декларативный характер. Требования данного пункта, практически, не могут быть выполнены. Так, невозможно исключить информацию о субъекте из периодического издания (газеты, журнала), в котором они были опубликованы. Возможно, но абсолютно глупо по требованию одного сумасшедшего (обиженного, специально внедрённого конкурентами и т.д.) сотрудника перепечатывать телефонный справочник организации и многие другие документы. Оператор - коммерческое предприятие, будет вынужден заниматься только перепечаткой документов и корректировкой баз данных и рано или поздно разорится, оператор-орган власти не сможет просто работать.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Комментарий:
1) Назвать решение субъекта о предоставлении персональных данных свободным может только очень циничный человек. Закон ставит субъекта в такое положение, что он вынужден давать согласие в подавляющем большинстве случаев. Не даст – останется без работы, субсидии, кредита, собственности, в конце концов.
2) Информированным и сознательным может быть только субъект, но не согласие! Согласие может быть осознанным, но никак не сознательным. Здесь нарушены элементарные правила русского языка.
3) Формой согласия, позволяющей подтвердить факт его получения, например, является устная в присутствии свидетелей. Но ч.1 ст.8 данного закона уже делает это невозможным. Почему-то в «общедоступные источники персональных данных» персональные данные  могут включаться только с письменного согласия субъекта.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
Комментарий:
 Отзыв согласия согласно данному закону тождественен требованию о прекращении обработки персональных данных: нет согласия субъекта – нельзя обрабатывать его персональные данные. Поэтому данный пункт закона противоречит п.2 ст.8, где по требованию субъекта обработка должна быть прекращена «в любое время».
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
Комментарий:
1) Данная статья, по мнению специалистов[1], устанавливает презумпцию виновности оператора и, следовательно, противоречит Конституции РФ.
2) Доказательства не предОставляют, а представляют.
3) Предложение не согласовано: не «обязанность предОставить доказательство …», а «обязанность представления доказательств …».
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
Комментарий:
Данный пункт порождает массу вопросов:
1) О каком федеральном законе здесь идет речь? О данном, т.е. 152-ФЗ? Тогда почему нет фразы «настоящим»? Если о любом другом, тогда почему в единственном числе?
2) При таком построении фразы «с согласия в письменной форме субъекта …» «в письменной форме» относится к субъекту, а не к согласию. В результате получается очередной абсурд: субъект в письменной форме?! Правильнее было бы «с согласия субъекта персональных данных, данного в письменном виде»;
3) Письменной формы быть не может! Форма – документ на бумажном носителе. Письменный – вид представления информации.
4) «Электронный документ» - это не форма, это вид представления информации. Форма – файл, картинка на мониторе и т.п.
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
Комментарий:
По законам логики термин «адрес» здесь относится только к «фамилию, имя, отчество», т.к. сначала выполняется операция умножения (конъюнкции), символом которой в высказывании является союз «и», а затем сложения (дизъюнкции), символом которой является союз «или». Т.о. получается, что, если оператором является юридическое лицо, в согласии должно быть указано только его наименование, если физическое лицо - фамилия, имя, отчество и адрес.
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
Комментарий:
Перечень действий с данными и способы их обработки сегодня могут меняться довольно часто. Поэтому глупо требовать их перечисления в согласии. Тем более, что субъекту персональных данных это ничего не даёт. Оператору придется в любом случае перечислять все возможные действия (какие только придут в голову) с персональными данными и все возможные способы их обработки. В то же время, совершенно непонятно, какие способы обработки персональных данных имели в виду разработчики закона.
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
Статья 10. Специальные категории персональных данных
Комментарии:
Категории (от греч. kategoría - высказывание, обвинение; признак) – философское понятие. Там это «наиболее общие и фундаментальные понятия, отражающие существенные, всеобщие свойства и отношения явлений действительности и познания»[2]. О каких категориях идет речь в законе? По логике, сначала необходимо определить, что следует понимать под термином «категории персональных данных», а затем дать их классификацию. Ведь, если есть «специальные категории», то должны быть и неспециальные? Какие категории персональных данных вообще существуют?
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Комментарий:
1) Категории, чего бы то ни было, не могут обрабатываться! Обрабатываются персональные данные!
2) Какие «категории» персональных данных касаются того, что перечислено в этом пункте? Рост, цвет кожи, цвет волос, форма носа и т.п. – это категории? Они «касаются» расовой принадлежности? А какие «категории» еще имеют (или не имеют) к этому отношение? А какие «категории» персональных данных имеют отношение к национальной принадлежности субъекта? Особый интерес вызывает вопрос, какие персональные данные касаются интимной жизни субъекта. Фамилия, имя, отчество касается интимной жизни? Или сюда следует отнести данные о размерах половых органов субъекта? А другие его антропометрические данные касаются интимной жизни? Фамилия любовницы (любовника) субъекта персональных данных имеет отношение к его интимной жизни? К интимной жизни субъекта, скорее всего, имеет, а вот к его персональным данным – нет!
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные сделаны общедоступными субъектом персональных данных;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
Комментарий:
1)   О «специальных категориях» и «письменной форме» см. выше.
2)   «Персональные данные сделаны общедоступными …» - это как? Как можно сделать персональные данные пусть даже и общедоступными? Субъект может отнести какие-то данные о себе к категории общедоступных, но «сделать персональные данные общедоступными» - это не совсем по-русски (или совсем не по-русски).
3)   Оборот «необходима в связи» - это по Ф.Бэкону «идол рынка», т.е. оборот обыденной, «базарной» речи. Кроме того он неоправданно расширяет объём понятия, т.к. «необходима для …» не тождественно «необходима в связи …». Для выполнения конкретной задачи необходимы конкретные сведения, но в мире всё находится в связи со всем.
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
Комментарий:
См. комментарий к п.6 ч.2 ст.6.
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Комментарий:
1) Как следует понимать термин «в связи»? В мире все находится в связи. Об этом подробнее см. комментарий к ч.1 ст.1.
2) Предложение не согласовано: «Обработка … может осуществляться … в случаях … уголовно-исполнительным законодательством Российской Федерации …». Для приведения в соответствие с нормами русского языка нужно было бы использовать знак «;».

Статья 12. Трансграничная передача персональных данных
1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Комментарий:
Опять тавтология: «трансграничная передача персональных данных» по определению, данному в ч.11 ст.3 настоящего закона, есть «передача персональных данных на территорию иностранного государства».
2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.
3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.
Комментарий:
Интересно, как оператор может убедиться в том, что обеспечивается адекватная защита прав субъектов персональных данных, да еще государством? И почему необходимо убеждаться именно в том, что адекватная защита обеспечивается государством, а не оператором, которому передаются данные?
4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
Комментарий:
По сути, эта статья вводит два новых понятия: «государственные информационные системы персональных данных» и  «муниципальные информационные системы персональных данных». Что они обозначают? Все государственные информационные системы – это информационные системы персональных данных? А все муниципальные информационные системы – информационные системы персональных данных? В них, так или иначе, обрабатываются персональные данные граждан России и лиц без гражданства. Государство одно, а государственных информационных систем персональных данных может быть много? Примеры?
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
Комментарий:
Вообще-то они создают информационные системы, в которых обрабатываются, в том числе, и персональные данные субъектов. Никто нигде еще не создавал, и вряд ли будет создавать, информационные системы персональных данных. Информационными системами персональных данных информационные системы сделал настоящий закон и породил таким образом массу недоразумений. 
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
Комментарий:
1) О каких особенностях учета здесь идет речь? Что такое «учет персональных данных в государственных и муниципальных информационных системах персональных данных»? Персональные данные нужно учитывать? Об этом в законе ни слова до этого пункта.
2) Зачем необходимо использовать различные способы обозначения принадлежности персональных данных субъекту? Для обезличивания? А зачем их обезличивать в государственных системах? Во-первых, они и так, как правило, там обезличены, а во-вторых, чтобы стало вообще невозможно найти жуликов, воров, убийц и прочих нарушителей законов?
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
Комментарий:
1) По настоящему закону не могут быть ограничены права и свободы «человека и гражданина», т.е. тех, кто является одновременно и человеком, и гражданином. Поэтому, если человек не является гражданином или гражданин не является человеком (!?), то их права и свободы могут быть ограничены!
2) Способы обработки персональных данных никак не влияют на права и свободы субъектов. А вот «мотивы» у чиновников могут быть какие угодно. И закон этот дает им массу возможностей для вольной трактовки «мотивов».
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Комментарий:
1) Интересно, каким образом государственный регистр населения может способствовать обеспечению реализации прав?
2) Регистр этот будет создан в «целях обеспечения реализации прав субъектов» или все-таки в «целях реализации прав субъектов»? И опять это пресловутое «в связи»: «в целях обеспечения … в связи с обработкой …». 

Глава 3. Права субъекта персональных данных
Статья 14. Право субъекта персональных данных на доступ к его персональным данным
1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Комментарий:
Субъекту персональных данных настоящим законом предоставляется право требовать от оператора принятия мер не просто по защите своих персональных данных, а аж по защите своих прав! Отныне каждый человек, который неизбежно является субъектом персональных данных, может требовать от любой конторы, где есть хоть какая-то информация о нем, даже фамилия, и, следовательно, являющейся оператором, требовать защиты своих прав. А их по Конституции РФ достаточно много. Например, право на жилье, на бесплатное образование и т.д. Требуйте, ссылаясь на этот закон! Во всяком случае, такая норма в нем предусмотрена. Правда, мер по защите каких-либо прав в данном законе нет. Есть «меры, направленные на обеспечение выполнения оператором обязанностей …», есть «меры по обеспечению безопасности персональных данных при их обработке», а вот мер по защите прав субъектов персональных данных нет. Да и прав-то у субъекта, предусмотренных этим законом, не так много. Всего два: 1) право на доступ к его персональным данным; 2) право на обжалование действий оператора. Подробнее об этом ниже.
2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Комментарии: Это по-русски: «за исключением случаев, если …»?
3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Комментарий:
Для ознакомления сведения не предОставляются, а представляются. Термин «предоставляется» используется для обозначения передачи  в собственность.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.
Комментарий:
Как субъект может узнать в полном объеме или не в полном ему предоставили для ознакомления, имеющиеся у оператора его персональные данные? Может быть разработчики имели ввиду «в запрашиваемом объеме»? Но не важно, что они имели в виду, важно, что получилось. А получилась полная неопределенность.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
Комментарий:
Фраза «… повторного запроса, не соответствующего условиям …» однозначно указывает на то, что повторный запрос обязательно не соответствует предъявляемым условиям. Правильнее так: «повторного запроса, если он не соответствует условиям …».
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
Комментарии:
1) Обработки персональных данных касается все от стула, на котором сидит сотрудник, до состояния его здоровья (об этом см. выше). 
2) «В том числе» не означает только это. Т.о. субъект, ссылаясь на данный пункт, может затребовать все, что ему только заблагорассудится.
3) Очередная тавтология: и в п.2, и в п.3 «цели обработки».
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
Комментарии:
 Данный пункт - образец абсурда!
На основании федерального закона «О прокуратуре» любой оператор обязан не просто раскрыть, а предоставить всю информацию о любом субъекте прокурорскому работнику. Но кто из прокурорских работников придет (если придет) ни один оператор знать не может. Согласно же требованиям данного пункта, оператор обязан предоставить сведения о лицах (т.е. персонифицированную информацию), которым могут быть раскрыты данные. То же касается полиции, пенсионного фонда, налоговой инспекции и других органов власти. Им всем операторы обязаны раскрывать персональные данные на основании федеральных законов РФ. Договоров у оператора может быть несметное количество с предприятиями, организациями, учреждениями, в которых может быть сотни и тысячи сотрудников. Кто из них будет работать с  переданными оператором персональными данными не знает даже руководитель контрагента оператора.
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
Комментарий: Права не осуществляются. Права предоставляются и реализуются.
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
Комментарий: Данный пункт в полной мере защищает доносчиков, кляузников и прочих мерзавцев, позволяя им творить свои чёрные дела, оставаясь при этом под защитой закона. Именно они являются этими третьими лицами, которые поставляют «нужные» персональные данные о субъекте, с которыми ему даже знакомиться не позволительно. К этой категории можно отнести ещё службы безопасности предприятий и частных детективов. Их данный закон тоже защищает. Беззащитным остаётся только сам субъект персональных данных.
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
Комментарии:
Гражданские права есть совокупность естественных и неотчуждаемых основополагающих прав и свобод, принадлежащих человеку от рождения и не зависящих от его принадлежности к конкретному государству[3]. Следовательно, права не могут возникать «при обработке», и уж, тем более, при обработке другим субъектом.
Допущенное здесь нарушение методологии правотворческой деятельности настолько грубое, что возникает законный вопрос о наличии элементарного юридического образования у разработчиков настоящего закона.
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
Комментарии:
1) Чтобы получить согласие субъекта, с ним необходимо вступить в контакт, а чтобы вступить в контакт нужно получить согласие. Замкнутый и порочный круг!
2) Данный пункт устанавливает презумпцию виновности оператора.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Комментарии:
В статье, названной «Права субъектов …» нет ни единого слова о правах! Т.е. заглавие статьи не соответствует ее содержанию абсолютно.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
Комментарий:
1) То же, что и к заглавию предыдущей статьи.
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Комментарий:
В статье, названной «Права субъектов …» нет ни единого слова о правах субъектов! Практически, вся статья посвящена обязанностям оператора! Заглавие статьи вновь абсолютно не соответствует ее содержанию.

[1] Токаренко А.В. [Электронный ресурс]. – Режим доступа: http://anvolkov.blogspot.com/2011/02/blog-post_15.html?showComment=1300359906121#c3967442109118854794.
[2] Спиркин А. Г. Большая советская энциклопедия [Электронный ресурс]. – Режим доступа: http://slovari.yandex.ru, свободный.
[3] Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономический словарь. - ИНФРА-М, 2006.
--------------------------------------------------------------------------------------------------------------------------
Библиографическая ссылка: Атаманов Г. А. Комментарий к федеральному закону № 152-ФЗ "О персональных данных" // Защита информации. INSIDE. 2012. № 2. С. 21-27.

Комментариев нет:

Отправить комментарий