Научно-практический комментарий Роскомнадзора к закону «О персональных данных». Есть ли в нем что-то научное и практическое?

Совсем недавно в узконаправленных СМИ появилась новость о том, что Роскомнадзор опубликовал под эгидой Российской газеты чтиво под названием: «Федеральный закон «О персональных данных». Научно-практический комментарий». Для меня по роду деятельности эта брошюра (ну как брошюра, почти 200-страничный талмуд) просто «маст хэв». Несмотря на то что я уже 7 лет занимаюсь защитой персональных данных в организациях, за все это время так и не выстроилось в голове стройной картины «что, как и почему». Я надеялся, что рассматриваемый документ поможет хоть что-то упорядочить. Получилось ли у Роскомнадзора прояснить мутные моменты законодательства о персональных данных, читайте под катом.

• Распечатать квитанцию;
• Заполнить квитанцию;
• Сходить в банк, оплатить;
• Отсканировать, отправить чек или платежку по электронной почте;
• Ждать свой PDF.

Ну ладно, что это я все о грустном, давайте… нет, черт побери, придется снова о грустном.

Скажу сразу, что полезного и практичного в этом немаленьком документе, к сожалению очень мало и об этом я расскажу в конце статьи, а сейчас о недостатках и прочих грустных вещах.

Вот, например, что пишут авторы в комментарии про цели закона «О персональных данных»:

В свете недавнего решения Конституционного суда о том, что Европейские суды нам не указ и введения с 1 сентября обязательности хранения персональных данных граждан РФ только на территории РФ, разговоры о «трансграничности потоков» и «имплементации в российское законодательство требований общеевропейского права» звучит чуть менее, чем нелепо. Сразу стоит заметить, что разговорам о гармонизации отечественного законодательства с международным законодательством, евроконвенциями, Всеобщей декларацией прав человека и тд посвящена чуть ли не пятая часть документа.

В документе часто вместо полезного комментария приводится констатация того факта, что законодательство действительно мутное и придется с этим смириться. Начинается такое уже с комментариев к определению самого понятия «персональные данные».

Так выглядит определение в ФЗ «О персональных данных»:

Далее делается сомнительное заключение о том, что однозначное понятие «персональных данных» вообще невозможно сформулировать и о том, что текущее определение было сформулировано с целью соблюдения баланса интересов между всеми участниками отношений (регуляторами, операторами персональных данных и субъектами персональных данных). На деле же размытость определения дает Роскомнадзору лишний повод наказать оператора. На моей практике был случай когда в ходе проверки одной организации, не найдя к чему прикопаться, представители РКН написали предписание о том, что нарушено законодательство о персональных данных, так как не была указана такая категория персональных данных как «номер доверенности, выдаваемая сотруднику» (предоставление неполных, либо искаженных сведений уполномоченному органу).

Занятно авторы «объясняют» что значит утверждение закона о том, что обработка персональных данных должна осуществляться на справедливой основе:

Спасибо, теперь понятно! Раньше я задавался вопросом: что понимать под «справедливой основой». Теперь я задаюсь вопросами: что понимать под «морально-правовой категорией…», что понимать под «должным соблюдением…», что понимать под «общечеловеческими ценностями» и «принципами чести и морали».

В целом «научно-практический» комментарий изобилует оборотами вроде «остается открытым вопрос», «законодательством не определено», «закон не разъясняет», «может быть» (а может и не быть…) и словами «возможно» и «вероятно». Иногда после прочтения «научно-практического» комментария появляется еще больше вопросов, чем после прочтения самого закона «О персональных данных». Например, после многостраничной тирады о том, что обработка персональных данных должна соответствовать заявленным целям обработки, что избыточные персональные данные это незаконно идет эпичная фраза:

А вот это вообще адский отжиг в вопросе, связанным с обязанностью оператора предоставлять данные субъекту по запросу:

Встречаются в документе и откровенные противоречия. Так, например, по вопросу о том, что считать персональными данными, а что нет, сначала авторы говорят:

Ну так все-таки, мы считаем персональными данными только те данные, которые достаточны для идентификации субъекта или какие-то допущения типа «вероятного совпадения» допустимы? Я лично больше запутался.

Есть и более явное противоречие. Например, разъясняя вопрос о необходимости получения согласия субъекта на обработку персональных данных на странице 36 говорится явным образом о том, что управляющие компании вправе отправлять персональные данные жильцов многоквартирных домов в расчетные центры для начисления платы за услуги ЖКХ без согласия жильцов. На 42 странице уже приведен обратный пример:

Уважаемые авторы, так нам, простым смертным, на что ориентироваться – на ваши умозаключения или на приводимую вами же правоприменительную практику?

С момента принятия закона «О персональных данных» и по сей день остается ряд вопросов, которые вызывают жаркие споры в сети, но единого правильного ответа, как, например, у математического уравнения, как не было так и нет. К таким вопросам, например, относятся:

— как определять вред субъекту персональных данных? — в какой форме проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных? — значит ли «процедура оценки соответствия средств защиты информации» обязательную сертификацию?

По вопросу оценки вреда:

Ждать вменяемой методики оценки вреда субъекту персональных данных в случае нарушения закона в «научно-практическом комментарии», наверное, не следовало бы. Но ссылку на лучшие практики можно было бы и оставить.

По вопросу «оценки эффективности» ровным счетом – ничего.

По вопросу сертификации средств защиты информации, применяемых в информационных системах персональных данных – сухая ссылка на 184-ФЗ «О техническом регулировании». Почему с этим ФЗ не все так просто, можно ознакомиться в этой презентации Алексея Лукацкого.

Очень опечалила копипаста большей части содержания постановления правительства 1119, в котором описываются критерии по отнесению персональных данных к тому или иному уровню защищенности. Это сделано в рамках «толкования» 19 статьи 152-ФЗ (Меры по обеспечению безопасности персональных данных по их обработке). Тут так и хочется сказать авторам: «Ребята, ПП-1119, в отличие от вашего труда общедоступно и любой желающий итак может ознакомиться с его содержанием!». Хорошо, что хоть 21 приказ ФСТЭК не стали целиком или частично вставлять, спасибо и на этом.

К счастью, — есть. По крупицам можно собрать полезную информацию, ее и привожу ниже.

В самом начале закона говорится о случаях, к которым 152-ФЗ не относится. Не применяется закон «О персональных данных» в том числе при организации хранения документов, попадающих под действие 125-ФЗ «Об архивном деле в Российской Федерации». Наши клиенты часто задают вопрос, попадают ли в это исключение цифровые архивы, бэкапы и прочее. На это регулятор дает разъяснение – в архивном законодательстве отсутствует понятие «электронного архива», поэтому все цифровые архивы, содержащие персональные данные, попадают под действие 152-ФЗ «О персональных данных».

Многие операторы задаются вопросом – попадает ли простое хранение под собирательное понятие «обработка персональных данных». На это Роскомнадзор отвечает:

Такую обработку регламентирует «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное постановлением Правительства РФ от 15.09.2008 № 687. В этом положении давались совершенно бредовые определения неавтоматизированной обработки персональных данных. Согласно этим определениям, если, например, поиск в базе данных происходит с участием человека (пользователь вводит поисковый запрос), то такая обработка считается неавтоматизированной. Вот эти положения:

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Позднее, в 2011 году, 152-ФЗ дополнился понятием автоматизированной обработки персональных данных. Согласно новому положению, автоматизированной обработкой считается любая обработка персональных данных с использованием средств вычислительной техники. Сложилась ситуация, когда постановление Правительства РФ противоречит Федеральному закону. Причем эта ситуация актуальна и по сей день (изменения в постановление так и не внесли). Роскомнадзор в своих разъяснениях еще раз напоминает о верховенстве Федерального закона над всеми его подзаконными актами. Следовательно, о бредовых определениях неавтоматизированной обработки персданных в ПП-687 можно забыть.

Регулятор уделяет немало пространства разъяснению того, что собираемые персональные данные не должны быть избыточными по отношению к целям их обработки. Например, мы не можем требовать у соискателя на вакантную должность требовать паспортные данные, место жительство и размер одежды (имело место быть нарушение в одной организации, где работа связана с ношением униформы). Эти данные мы можем требовать, уже нанимая человека на работу, но для того, чтобы рассмотреть его как кандидата – они излишни. В своем разъяснении регулятор даже приводит пример, когда даже согласие не является панацеей:

Таким образом, активно открывающиеся сейчас в стране многофункциональные центры по предоставлению таких услуг могут не собирать согласие на обработку персданных с заявителей.

Регулятор открыто развязывает руки банкам в вопросе передачи персональных данных коллекторам:

Также регулятор открыто разрешает обмен персональными данными между операторами связи и своими дилерами и агентами без согласия клиента, ссылаясь на 126-ФЗ «О связи».

Об этом регулятор пишет довольно много. Владельцам интернет-площадок и обычным пользователям должно быть интересно и полезно. Комментировать не буду, просто приведу наиболее интересные выдержки на эту тему из документа.

Основная мысль регулятора в ответе на вопрос «является ли судимость специальной категорией персональных данных?» состоит в том, что если речь идет о простом сообщении о факте судимости, об ее наличии и отсутствии, то это не специальная категория, если с деталями – специальная категория.

В разъяснении, авторы по сути отменяют положения предыдущего документа Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», которые определяют, что фото и видео – биометрия. Вот что пишут в этот раз:

И действительно, близнецы и пластические хирурги – хороший аргумент в вопросе идентификации субъекта по фотографии или видео. Например, в последний раз когда я выезжал за границу девушка на таможенном контроле заподозрила, что я мог подсунуть ей не свой паспорт и начала задавать вопросы о том какого я знака зодиака, когда и где был последний раз за рубежом, какой продолжительностью была поездка и тд. А стоило всего лишь отрастить трехнедельную щетину… Итак, фото и видео – не биометрия. Зато 3D-фото с геометрическими параметрами лица – уже биометрия!

В итоге: смс-рассылки и направленная (именная) политическая агитация не законны, если субъект не давал отдельного согласия на это.

Какие общие впечатления от документа? На самом деле, хоть есть и позитивные моменты и кое-что действительно прояснилось, все-таки лично я от почти что двухсот страниц комментариев ждал большего. Многие важные вещи не раскрыты, а в некоторых случаях комментарий порождает больше вопросов, чем комментируемое положение закона. Хотя и авторов особо винить не в чем, так как причиной нераскрытости многих вопросов остается сам первоисточник, то есть – федеральный закон. Но с другой стороны, Роскомнадзор является тем самым органом, который бдит за соблюдением законодательства «О персональных данных», который приходит с проверками и наказывает при выявлении нарушений. Хотелось бы больше конкретики вместо «не определено», «не понятно». Я по опыту знаю, что проверяющие никогда не говорят «ну тут в законе муть какая-то, поэтому проверять эти вещи у вас не будем».

Что в сухом остатке? Можем ли мы пользоваться документом как руководящим? Нет! Документ не имеет юридической силы, не зарегистрирован в Минюсте и является точкой зрения авторов (пусть и высокопоставленных). Можем ли опираться на документ в части спорных вопросов в 152-ФЗ? Отчасти. Во-первых, Роскомнадзор не может трактовать законодательство (это могут делать только законодатели и об этом представители ведомства не раз публично говорили), поэтому рассмотренный труд является лишь точкой зрения, а не трактовкой. Во-вторых, смотря на вопрос об отнесении фото и видео к биометрии, видно, что вчера регулятор говорил одно, сегодня говорит противоположное и нет никаких гарантий, что завтра его мнение не развернется снова на 180 градусов. В-третьих, представители региональных управления Роскомнадзора могут быть не ознакомлены с данными комментариями или не руководствоваться ими. Мне как человеку с техническим образованием, но по долгу службы много работающему с нормативными документами иногда хочется чтобы законы разрабатывали исключительно технари, например программисты. Конечно же и в этом случае в документах будет много «багов», но я считаю, лучше пусть будут нелепости как в том анекдоте про программиста, который ставит на ночь на прикроватной тумбе два стакана: с водой (на случай если захочет пить) и пустой (на случай если не захочет), чем двусмысленные формулировки, которые мы трактуем в свою пользу, а регулятор в свою.