Глава 2. Общие принципы и условия сбора и обработки персональных данных

Глава 1. Общие положения

Определения охватывают все основные понятия, но без избыточности (персональные данные, субъект персональных данных, обработка персональных данных, информационная система персональных данных, оператор, распространение персональных данных, блокирование персональных данных, уничтожение персональных данных, обезличивание персональных данных, трансграничная передача персональных данных, третье лицо). Тем не менее, некоторые определения можно дополнить и уточнить. Так, " третье лицо" может быть и частным лицом, и организацией, и государственным органом (в законопроекте просто: " лицо..."). Понятие " блокирование данных", которое упоминается ниже (в статьях 11 и 19), подразумевает возможность (и даже обязанность) оператора исправить данные (или уничтожить их). Поэтому ввести в определение блокирования обработку данных нельзя: упоминаются только извлечение и использование. Но не говорится, например, о передаче данных. В статье 10 (" Передача персональных данных") также не упомянут запрет на блокирование. Формулировка определения " блокирование персональных данных", по-видимому, может включать прекращение доступа к персональным данным, их обработки и передачи, за исключением исправления и уничтожения персональных данных оператором.^[2][2]

Определение оператора в законопроекте дано таким образом, что не относится к т.н. " обработчикам" – лицам или организациям, обрабатывающим персональные данные по поручению оператора, но самостоятельно не " определяющим цели, содержание и применение результатов обработки персональных данных" (как это сформулировано в законопроекте). Таким образом, по смыслу данного проекта оператор обязан устанавливать для обработчика такие условия обработки персональных данных, которые исключали бы нарушения данного закона. Отношения между оператором и обработчиком в данном проекте вынесены в п.2 статьи 6 законопроекта. Это выглядит логично. В будущем для корректировки упомянутых отношений уполномоченный орган по защите прав субъектов персональных данных может разрабатывать и публиковать специальные рекомендации (руководящие принципы) в различных областях, где возможна обработка персональных данных. Соответствующие полномочия могут быть закреплены в настоящем законопроекте – там, где речь идет об Уполномоченном органе по защите прав субъектов персональных данных (подробнее см. ниже в этом комментарии).

Цель законопроекта сформулирована ясно и четко: " Обеспечение защиты прав граждан на неприкосновенность частной жизни при сборе и обработке персональных данных" (далее перечисляются традиционные для законодательства разных стран пути достижения цели). Существенно, что в сферах применения закона сделано исключение для сбора и обработки персональных данных " исключительно для личных нужд" и для государственной тайны (ст.3).

Закон, защищающий персональные данные, может стать препятствием при осуществлении права человека на доступ к информации и на свободу выражения своего мнения. При определенных обстоятельствах данный закон может препятствовать осуществлению журналистской деятельности. Статья 49 Закона РФ " О средствах массовой информации" позволяет журналисту добывать информацию о частной жизни (" о личной жизни", что по смыслу то же самое) без согласия гражданина или его законных представителей, если это необходимо для защиты общественных интересов. Понятие " общественный интерес" не имеет четкого определения в законодательстве. Традиционно сами журналисты определяют пределы допустимого вторжения в частную жизнь, когда речь идет об общественном интересе. Можно привести немало примеров, когда эта граница становилась темой широкого общественного обсуждения и даже причиной судебных исков (от " охоты" папарацци за поп-звездами до журналистских расследований коррупции видных политиков). Было бы логично сохранить разумный баланс между " общественным интересом" и необходимостью защиты частной жизни. Уполномоченному органу по защите прав субъектов персональных данных следует принимать это во внимание^[3][3].

Глава 2. Общие принципы и условия сбора и обработки персональных данных

Принципы сбора и обработки персональных данных изложены аккуратно и в полном соответствии с традициями европейского законодательства в этой области^[4][4] (законность сбора данных, соответствие цели, неизбыточность, актуализация – в статье 5, обеспечение конфиденциальности данных – в статье 7).

Не совсем понятен п.2 статьи 5, в котором, в частности, говорится об обработке персональных данных для статистических, научных и иных аналогичных целей (далее: "...является допустимой при соблюдении гарантий по обеспечению прав субъектов персональных данных на неприкосновенность частной жизни"). Относятся ли к " иным аналогичным целям", например, маркетинговые исследования? В такой расплывчатой формулировке это предложение лишь отражает обобщенный смысл статьи 5.

Весьма важным представляется пункт 6 статьи 5, где подчеркиваются гарантии в отношении сведений, характеризующих физиологические особенности организма человека (биометрия). Это особенно актуально в свете грядущего введения " паспортов нового поколения" с биометрическими данными. Однако следует помнить, что сбор биометрических данных вызывает в российском обществе традиционно болезненную реакцию. Соответственно, необходима значительная просветительская работа и реальные гарантии защиты биометрических данных. (См. также далее о регистре населения).

В статье 6 сбор персональных данных остался лишь в названии; внутри статьи условия и гарантии даются лишь в отношении обработки персональных данных. Между тем, эти гарантии по смыслу относятся и к сбору персональных данных.

В некоторых национальных законах обработка персональных данных без согласия субъекта персональных данных разрешается, если это необходимо для выполнения договора, одной из сторон которого является субъект данных.[5][5] В настоящем законопроекте об этом ничего не сказано (а, возможно, следовало бы?).

Важное значение имеет статья 8 о согласии субъекта данных. Сегодня оператор, осуществляющий сбор данных, например, посредством анкетирования, в лучшем случае формулирует собственные гарантии неразглашения этих данных, но даже и тогда чаще всего не дает удобную, понятную и четкую форму для выражения согласия субъекта данных. Например, на сайтах Интернет-магазинов клиенту, как правило, предлагается пройти регистрацию и сообщить данные о себе (включая адрес и телефон). Однако политика конфиденциальности (" политика приватности") обычно отсутствует, либо обозначена в разделе " Помощь", либо каким-то иным, не бросающимся в глаза способом. А условие отзыва согласия субъекта персональных данных на предоставление этой информации не формулируется почти нигде. Фактически, часто покупатель передает магазину свои данные на неопределенный срок без возможности аннулировать учетную запись.^[6][6]

Конкретные правила, образцы " политики приватности", могут разрабатываться Уполномоченным органом по защите прав субъектов персональных данных, что нетрудно отразить в данном законопроекте (см. комментарии к ст.21).

Статья 9 вводит понятие " особые категории персональных данных", которые в англоязычных источниках называют sensitive data (данные, требующие особо деликатного обращения).^[7][7] Для них традиционно существуют особые условия и ограничения сбора, обработки и передачи. Отдельного одобрения заслуживает жесткое, но полностью отвечающее задаче защиты персональных данных условие п.4 ст.9 о прекращении обработки особых категорий персональных данных и об уничтожении этих данных, если субъект данных не дал согласия на их хранение в информационной системе оператора.

В статье 10 (п.1) содержится важное ограничение, препятствующее " свободному обмену" персональными данными между частными лицами и организациями. Такие случаи фиксировались в мировой практике: например, компания, попав в затруднительное финансовое положение, рассматривала варианты продажи своей базы данных клиентов третьим лицам^[8][8].

Статья 11 регламентирует трансграничную передачу персональных данных в европейских традициях (особенно см. п.4).