Комментарий к Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных"
1. Статьей 1 комментируемого Закона определяется сфера действия Закона, а также уточняются отношения, на которые действие этого Закона не распространяется.
Персональные данные (далее также - ПД) могут обрабатывать федеральные органы государственной власти. Под федеральными органами власти следует понимать органы власти, осуществляющие властные полномочия на федеральном уровне. Согласно ст.10 Конституции РФ государственная власть в РФ осуществляется на основе разделения на законодательную, исполнительную и судебную. Статья 11 Конституции РФ определяет, что государственную власть в Российской Федерации осуществляют Президент РФ; Федеральное Собрание (Совет Федерации и Государственная Дума); Правительство РФ; суды РФ.
Действие комментируемого Закона распространяется также на органы государственной власти субъектов РФ, обрабатывающие ПД. На уровне субъектов РФ существуют органы исполнительной и законодательной власти субъектов РФ.
Субъектами, обрабатывающими ПД, также могут быть иные органы государственной власти, кроме тех, что перечислены выше. К ним, например, относятся Центральный банк РФ, Пенсионный фонд РФ, Федеральный фонд обязательного медицинского страхования, Фонд социального страхования РФ, Центральная избирательная комиссия РФ и т.п.
Обработка ПД ведется и органами местного самоуправления.
Согласно ч.1 ст.34 Федерального закона от 6 октября 2003 года N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации" структуру органов местного самоуправления составляют:
- представительный орган муниципального образования;
- глава муниципального образования;
- местная администрация (исполнительно-распорядительный орган муниципального образования);
- контрольно-счетный орган муниципального образования;
- иные органы и выборные должностные лица местного самоуправления, предусмотренные уставом муниципального образования и обладающие собственными полномочиями по решению вопросов местного значения.
Обработку ПД осуществляют, в том числе, иные муниципальные органы.
Если юридические лица обрабатывают ПД, на них также распространяется действие комментируемого Закона (о юридических лицах см. ст.48 и др. Гражданского кодекса РФ (далее по тексту - ГК РФ)). Стоит учитывать, что требования комментируемого Закона распространяются также на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке ПД на территории РФ.
Под физическими лицами, осуществляющими обработку ПД в рамках комментируемого Закона, понимаются граждане, осуществляющие предпринимательскую деятельность без образования юридического лица с момента государственной регистрации в качестве индивидуального предпринимателя (см. ст.23 ГК РФ). Обращаем внимание, что согласно ч.1 комментируемой статьи обработка ПД может происходить как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
Понятие информационно-телекоммуникационной сети раскрывается в ст.2 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее по тексту - ФЗ "Об информации, информационных технологиях и о защите информации"). Под информационно-телекоммуникационной сетью понимается технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Таким образом, нормы комментируемого Закона теперь распространяются и на участников и операторов передачи голосовых и иных сообщений (данных) по сетям связи (например, передача сообщений по электронной или голосовой почте и т.п.).
Порядок обработки ПД без использования средств автоматизации регулируется комментируемым Законом в том случае, если такая обработка, как установлено в ч.1 комментируемой статьи, соответствует характеру действий (операций), совершаемых с ПД с использованием средств автоматизации.
Под обработкой ПД без использования средств автоматизации здесь понимается такая обработка ПД, которая позволяет осуществлять в соответствии с заданным алгоритмом поиск ПД, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях ПД, и (или) доступ к таким данным. Таким образом, действия комментируемого Закона распространяются только на массовую обработку ПД. Например, создание в организации картотеки данных клиентов на бумажных носителях будет считаться обработкой ПД без использования средств автоматизации и подпадать под действие комментируемого Закона.
Под средствами автоматизации понимаются технические средства, освобождающие человека частично или полностью от непосредственного участия в процессах получения, преобразования, передачи и использования информации. В качестве примера можно привести автоматизированные банковские системы, содержащие данные о сотрудниках банка, о клиентах, партнерах, биллинговые системы, содержащие данные о клиентах, осуществляющих оплату услуг, call-центры, содержащие данные о клиентах и сотрудниках в зависимости от предназначения call-центра, автоматизированные медицинские системы, содержащие данные о пациентах и т.п.
Автоматизированная обработка ПД включает в себя действия с автоматизированными файлами ПД. В случае с обработкой ПД понятие "автоматизированный файл ПД" обозначает любой комплекс данных о субъектах ПД, подвергающийся автоматизированной обработке.
В ст.2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 года) "автоматизированная база данных" означает любой набор данных, к которым применяется автоматическая обработка. При этом "автоматическая обработка" включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств:
- накопление данных;
- проведение логических или/и арифметических операций с такими данными;
- их изменение, стирание, восстановление или распространение.
Статья 5 указанной Конвенции определяет, ПД, проходящие автоматизированную обработку, должны быть:
- получены и обработаны добросовестным и законным образом;
- накопленными для точно определенных и законных целей и не использоваться в противоречии с этими целями;
- адекватными, относящимися к делу и не избыточными применительно к целям, для которых они накапливаются;
- точными и в случае необходимости обновляться;
- сохранены в такой форме, которая позволяет идентифицировать субъектов данных, не дольше, чем этого требует цель, для которой эти данные накапливаются.
Статьей 6 Конвенции устанавливается, что ПД о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, а равно ПД, касающиеся здоровья или сексуальной жизни, могут подвергаться автоматической обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии. Это же правило применяется к ПД, касающимся судимости. Кроме того Конвенция обязывает операторов ПД принимать надлежащие меры для охраны ПД, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.
Постановлением Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" установлен порядок обработки ПД без использования средств автоматизации. Согласно данному постановлению обработкой ПД, содержащихся в информационной системе ПД либо извлеченных из такой системы, без использования средств автоматизации называется такая обработка, когда действия с ПД, такие как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека. Из этого следует вывод, что обработка ПД не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПД содержатся в информационной системе ПД либо были извлечены из нее. И все же определение того, будет ли обработка ПД считаться автоматизированной или осуществляемой без использования средств автоматизации, является сложным вопросом для операторов. Как показала практика, даже в том случае, когда организация хранит ПД на компьютере только в текстовых файлах формата doc, не включая их в базу, то такая обработка ПД также признается Роскомнадзором автоматизированной, поскольку имеет место запись, систематизация и накопление ПД. Приведем пример. Так, если сотрудник организации занес данные о работниках в компьютер лишь с целью их распечатать, а затем удалил эти данные, такую обработку ПД, на наш взгляд, можно считать неавтоматизированной. Однако если же оператор сохранил ПД в виде файла и хранит их на компьютере для дальнейшего использования, то, полагаем, такую обработку ПД нужно рассматривать, в том числе, и как автоматизированную.
В том случае, если обработка ПД осуществляется без использования средств автоматизации, необходимо учитывать, что такая информация должна обособляться от иной информации. Такие ПД могут, например, фиксироваться на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
Так, согласно требованиям постановления Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" при фиксации ПД на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Поэтому для обработки различных категорий ПД для каждой категории ПД должен использоваться отдельный материальный носитель.
Часто в организациях используются типовые формы документов, характер информации в которых предполагает или допускает включение в них ПД. В этом случае типовая форма должна соответствовать некоторым требованиям. Так, сама типовая форма или связанные с ней документы (например, инструкции по ее заполнению, карточки, реестры и журналы) должны содержать:
- сведения о цели обработки ПД, осуществляемой без использования средств автоматизации;
- имя (наименование) и адрес оператора;
- фамилию, имя, отчество и адрес субъекта ПД;
- источник получения ПД;
- сроки обработки ПД;
- перечень действий с ПД, которые будут совершаться в процессе их обработки;
- общее описание используемых оператором способов обработки ПД.
Кроме того, типовая форма, которая предполагает включение в нее ПД, должна предусматривать поле, в котором субъект ПД может поставить отметку о своем согласии на обработку его данных, осуществляемую без использования средств автоматизации. Такое поле должно быть обязательно, если в соответствии с требованиями комментируемого Закона необходимо получение письменного согласия на обработку ПД от субъекта ПД.
Следует помнить, что типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПД, содержащихся в документе, имел возможность ознакомиться со своими ПД, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПД. А также типовая форма должна исключать объединение полей, предназначенных для внесения ПД, цели обработки которых заведомо не совместимы.
Во многих организациях ведутся журналы (реестры, книги), необходимые для однократного пропуска субъекта ПД на территорию, на которой находится оператор, содержащие ПД. В подобных случаях оператором ПД должны выполняться определенные условия. Например, необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора. В акте будут содержаться следующие сведения:
- сведения о цели обработки ПД, осуществляемой без использования средств автоматизации;
- способы фиксации и состав информации, запрашиваемой у субъектов ПД;
- перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги);
- сроки обработки ПД;
- сведения о порядке пропуска субъекта ПД на территорию, на которой находится оператор, без подтверждения подлинности ПД, сообщенных субъектом ПД.
Копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается. Кроме того, ПД каждого субъекта ПД могут заноситься в подобный журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта ПД на территорию, на которой находится оператор.
Если требуется уточнить ПД, обработка которых осуществляется без использования средств автоматизации, то это должно быть произведено путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПД.
Постановлением Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" устанавливаются и требования к обеспечению безопасности ПД при их обработке, осуществляемой без использования средств автоматизации. Обработка ПД должна осуществляться таким образом, чтобы в отношении каждой категории ПД можно было определить места хранения ПД (материальных носителей) и установить перечень лиц, осуществляющих обработку ПД либо имеющих к ним доступ. Необходимо обеспечивать раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях. Важно учитывать, что при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
Пример. Операторы, обрабатывающие ПД неавтоматизированным способом, хранят каждую категорию полученных от граждан ПД в разных папках, ящиках, файлах и т.д. Приказом руководителя организации определяется перечень лиц, которые обрабатывают тот или иной информационный блок либо получают к нему доступ.
Необходимо помнить, что в случае нарушения указанных выше требований оператор может быть привлечен к ответственности (см., например, ст.13.11 Кодекса об административных правонарушениях (далее - КоАП РФ)).
2. Частью 2 комментируемой статьи определяются случаи, на которые не распространяется действие Закона.
Обрабатывать ПД может физическое лицо, не являющееся индивидуальным предпринимателем. При этом ПД обрабатываются в личных целях при условии соблюдения прав субъектов ПД. Таким образом, гражданин имеет право для себя лично вести сбор и накопление ПД, например, на домашнем компьютере (сделать справочник с данными своих знакомых: адресами, фамилиями, датами рождения). Однако Закон требует, чтобы в таких случаях не нарушались права субъектов ПД. То есть, справочник, приведенный в качестве примера, может использоваться гражданином только лично, передача его другим лицам не допустима.
Действие комментируемого Закона не распространяется на организацию, хранение, комплектование, учет и использование содержащих ПД документов Архивного фонда РФ и других архивных документов в соответствии с Федеральным законом от 22 октября 2004 года N 125-ФЗ "Об архивном деле в Российской Федерации". Архивный фонд РФ содержит документы, относящиеся к федеральной, муниципальной и частной собственности, а также собственности субъектов РФ (см. об этом подробнее ст.7, 8, 9 и др. указанного закона).
Обработка таких документов производится в соответствии с Федеральным законом от 22 октября 2004 года N 125-ФЗ "Об архивном деле в Российской Федерации". Так, в ч.3 ст.25 данного закона указывается, что ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, устанавливается на срок 75 лет со дня создания указанных документов. С письменного разрешения гражданина, а после его смерти с письменного разрешения наследников данного гражданина ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, может быть отменено ранее чем через 75 лет со дня создания указанных документов.
Действие комментируемого Закона не распространяется на обработку ПД, отнесенных к сведениям, составляющим государственную тайну. При этом порядок отнесения сведений к государственной тайне определен Законом РФ от 21 июля 1993 года N 5485-I "О государственной тайне"; см. также Указ Президента РФ от 30 ноября 1995 года N 1203 "Об утверждении перечня сведений, отнесенных к государственной тайне".
Действие комментируемого Закона также не распространяется на предоставление уполномоченными органами информации о деятельности судов в РФ. Порядок предоставления указанной информации регулируется Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
Под информацией о деятельности судов понимается информация, подготовленная в пределах своих полномочий судами, Судебным департаментом, органами Судебного департамента, органами судейского сообщества либо поступившая в суды, Судебный департамент, органы Судебного департамента, органы судейского сообщества и относящаяся к деятельности судов.