Юристы: об изменениях в Закон «О персональных данных»

Опубликовано Evgeny Smirnov в 29 Июль, 2011 - 12:14

25 июля 2011 года президент подписал Федеральный закон № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Надо сказать, что изменения коснулись буквально каждой статьи закона «О персональных данных», и вряд ли все они принесут пользу гражданам.

На наш взгляд, основная цель данных изменений – более четкая регламентация правоотношений, связанных с персональными данными (по сравнению с предыдущим периодом) и, что не менее важно, урегулирование обработки персональных данных в сети Интернет и электронных базах данных. В частности:

  • добавлены новые понятия в закон (автоматизированная обработка персональных данных; предоставление/распространение персональных данных и др.);
  • полностью переработаны принципы обработки персональных данных;
  • установлены дополнительные ограничения на доступ субъекта персональных данных к его персональным данным;
  • утверждена обязанность оператора публиковать или иным способом обеспечивать доступ к документу, определяющему его политику в отношении обработки персональных данных, сведений о реализуемых требований защиты персональных данных и т.п.

Изменения затронули и само определение «персональные данные». Теперь персональные данные — это любая информация, относящаяся «прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)». На наш взгляд, термин стал более расплывчатым и неопределенным, что дает основания для отнесения к «персональным данным» практически любых сведений о человеке.

Более того, раньше для того, чтобы отнести информацию к «персональным данным», нужно было доказать, что на основании предложенных сведений можно определить (идентифицировать) лицо. Теперь же любая «информация, относящаяся к определенному или определяемому лицу» не требует, в общем, никакого подтверждения. Очевидно, что такие изменения понятия «персональные данные» не будут способствовать уменьшению споров, связанных с неоднозначной трактовкой понятия «персональные данные» гражданина.

В законе расширяется перечень оснований, по которым может быть ограничен доступ гражданина («субъекта персональных данных») к его собственным персональным данным, – в частности, доступ к ним ограничивается, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, и обрабатываемой информации в целях защиты транспортного комплекса, интересов личности от актов незаконного вмешательства.

Из закона по-прежнему не исключено следующее основание для непредоставления информации: «доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц». Остается неясным, каким образом доступ человека к собственным персональным данным может нарушить права и законные интересы другого? С нашей точки зрения, подобное основание для отказа в доступе к персональным данным гражданина будет пользоваться у государственных органов и органов местного самоуправления наибольшей популярностью.

Далее, предлагаемые изменения урегулируют порядок предоставления информации субъекту персональных данных от оператора. Устанавливаются два пути получения такой информации – запрос и обращение. К содержанию запроса теперь предъявляются дополнительные требования: помимо фамилии, имени, отчества и обратного адреса, запрос должен содержать паспортные данные лица, чьи персональные данные запрашиваются, и сведения, подтверждающие факт обработки персональных данных оператором (договор, соглашение и т.п.). Установленное законом условие, что субъект персональных данных должен представлять информацию, подтверждающую факт обработки его персональных данных оператором, также создает определенные сложности с доступом к информации. Многих людей интересуют сведения о том, обрабатываются ли его персональные данные в том или ином учреждении, или нет, при этом человек не всегда точно знает, есть ли вообще его персональные данные в конкретном учреждении. Закон устанавливает такие требования к запросу, при которых вероятность получения подобного рода информации сводится практически к нулю.

Также интересной представляется обязанность оператора публиковать или иным способом обеспечивать доступ к документу, определяющему политику в отношении обработки персональных данных, сведений о реализуемых требований защиты персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете, должен публиковать такую информацию непосредственно в Сети. С помощью такой информации каждый гражданин сможет самостоятельно оценить степень защищенности данных конкретным оператором и взвесить возможные риски, что, в свою очередь, упростит взаимоотношения между оператором и субъектом персональных данных.

Tags:

Комментарии

Опубликовано Anonymous в 29 Июль, 2011 - 15:41.
#1

>Изменения затронули и само определение «персональные данные».

Здесь правка незначительна, всего лишь приблизили к Евроконвенции в которую мы вляпались

>что дает основания для отнесения к «персональным данным» практически любых сведений о человеке

Так по той же Евроконвенции так и есть ;)

>доступ к ним ограничивается, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма

Так оно и раньше так было, только запрет был в 115-ФЗ (как раз тот закон, что определяет действия по ПОД/ФТ). Здесь только убрали коллизию между этими двумя законами

>Также интересной представляется обязанность оператора публиковать или иным способом обеспечивать доступ к документу, определяющему политику в отношении обработки персональных данных, сведений о реализуемых требований защиты персональных данных

Вообще-то эта норма писалась под другую редакцию 19 статьи и сейчас она не более чем пустой звук ;)

А вот то, что “юристы так и не заметили”:
Ч.1 ст.1 – закон распространяется на обработку, но не указано, что распространяется на организацию обработки

Ст.2 – цель защита прав субъектов заявлена, но в самом законе цель не достигается

П.2 ст.3 – предлагалось исключить из определения оператора “и (или) осуществляющие”, чтоб не вводило в заблуждение. Осуществление обработки не является определяющим для оператора

Ст.3 – предлагалось ввести понятие “получатель/пользователь” – не введено. В результате п.3 ч.3 ст.18 вызовет еще немало споров

Ст.3 – предлагалось ввести понятие обработчик – не прошло. В результате имеем столь громоздкую конструкцию типа ЛООПДППО

Ст.3 – предлагалось ввести понятие “третье лицо” – не прошло. В результате имеем не раз описанный на этом форуме казус с передачей третьему лицу и обязанностью его нести какие-то обязательства (противоречие с ГК РФ)

П.10 ст.3 – предлагалась следующая формулировка:
//9) информационная система персональных данных – структурированная централизованная, децентрализованная, распределенная на функциональной или территориальной основе совокупность персональных данных, доступ к которым осуществляется в соответствии с определенными критериями, и обеспечивающих их обработку информационных технологий и технических средств//
Не прошло. В результате имеем глюк в том, что ИСПДн не распространяется в законе на картотеки. Однако подзаконные акты их “почему-то” относят к ИСПДн

Ч.3 ст.6 – поручение оформляется в том числе актом. Вопрос каким? Половым?
Предлагалось нормативно-правовым актом – не прошло.

Ч.5 ст.6 – ЛООПДППО несет ответственность перед оператором. Вопрос какую и за что? Предлагалось “за неисполнение установленных оператором обязанностей” – не прошло.

Ст.8 – предлагалось дополнить:
//3. Без согласия субъекта в перечень общедоступных включаются данные не составляющие государственную тайну: 1) сведения подлежащие обязательному раскрытию в соответствии с законодательством Российской Федерации; 2) сведения о неуплате субъектом налогов; 3) сведения о признанной судом задолженности субъекта; 4) служебные, производственные, учебные характеристики; 5) сведения о коррупционной и иной противоправной деятельности субъекта; 6) сведения об окончании субъектом учебного заведения; 7) сведения представляющие общественный интерес и не относящиеся к государственной, семейной тайне, данным о личной и интимной жизни.//

Ч.1 ст.9 – кому дается согласие?

Ч.3. ст.9 – так и осталась антиконституционная презумпция виновности оператора

Ч.4. ст.9 – так и осталась двусмысленная формулировка по письменному согласию. Предлагалось:
//В случаях, предусмотренных когда Федеральным законом, обработка персональных данных предусмотрена только с согласия в письменной форме, письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя://

П.1 ч.4 ст.9 – так и остались избыточные сведения в согласии. Предлагалось:
//1) фамилию, имя, отчество. При необходимости дополнительной идентификации может содержать адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;//

Ч.8 ст.9 – некорректная формулировка позволяет получать ПДн от любого физика на другого субъекта ПДн. Ибо любой физик будет в свою очередь субъектом ПДн

Ч.3 ст.10 – привет мошенникам. Предлагалось действующий пункт перенести пунктом в ч.2, а ч.3 изложить в следующей редакции:
//При наличии у оператора персональных данных согласия субъекта персональных данных оператор персональных данных вправе обратиться с запросом в государственные органы, а соответствующие государственные органы обязаны предоставить оператору персональных данных информацию о наличии или отсутствии у субъекта персональных данных не снятой или не погашенной судимости, имеющихся в отношении него привлечений к административной ответственности, имеющихся неисполненных обязательствах//

Ч.1 ст.11 – маразм с установлением/не установлением личности. Предлагалось уточнить:
//Сведения, которые характеризуют физиологические и биологические особенности человека на основе которых можно установить его личность (биометрические персональные данные), и используемые для установления личности субъекта персональных данных с использованием средств автоматизации, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи//

И т.д. и т.п.
Про 19 статью – это отдельный разговор…

Опубликовано Anonymous в 29 Июль, 2011 - 15:43.
#2

Прошу извинить, забыл подписаться

toparenko

Опубликовано Evgeny Smirnov в 1 Август, 2011 - 11:42.
#3
Member since:
24 Май 2010
Last activity:
1 час 33 минуты

Спасибо! Нам показалось целесообразным выделить некоторые моменты, однако то, о чем Вы пишете – тоже очень интересно и важно! Действительно, закон о персональных данных ещё очень далек от идеала и некоторые изменения не всегда идут на пользу его совершенствования.
Вы правы, что определение персональных данных приблизили к Евроконвенции, но в нашей действительности это скорее плохо, чем хорошо. Чем плохо, мы попытались отразить в комментарии.

Отправить комментарий

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Вы можете использовать тэги [inline:xx], чтобы демонстрировать прикрепленные файлы или изображения, как встроенные.
  • You may quote other posts using [quote] tags.
  • You can use Textile markup to format text.

Подробнее о форматировании

RSS-материал