Анализ Закона «О персональных данных» 152-ФЗ

Категория: Главная
Опубликовано 11.07.2017 06:36
Автор: Шитов В.Н.
Просмотров: 10449

Анализ Закона «О персональных данных» 152-ФЗ

Первоначально я хотел упасть в обморок, вне себя от негодования, в связи с ужесточением Закона 152-ФЗ с 1 июля 2017 года. Читая комментарии и пути решения защиты своих сайтов разными владельцами сайтов, я пришел к выводу, что они тоже в панике и не могут реально понять того, что же нужно делать. К персональным данным Закон относит не только ФИО, адрес и другие данные, но и IP, куки (cookies). Поэтому даже если владелец сайта откажется от регистрации пользователей на своем сайте, он все равно будет являться оператором обработки персональных данных.

Пришлось сесть за чтение закона и анализировать его. Вот к каким выводам я пришел.

 

В статье 6 «Условия обработки персональных данных» перечисляются случаи, в которых можно обрабатывать персональные данные:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

(в ред. Федерального закона от 05.04.2013 N 43-ФЗ)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

(в ред. Федеральных законов от 21.12.2013 N 363-ФЗ, от 03.07.2016 N 231-ФЗ)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

(в ред. Федерального закона от 03.07.2016 N 231-ФЗ)

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Обратите внимание: согласие субъекта персональных данных на обработку его персональных данных требует только п.1. статьи 6. Во всех остальных случаях такого согласия не требуется. Обратите внимание на фразу «обработка персональных данных необходима для осуществления прав и законных интересов оператора» в п. 7. Например, это может быть сбор данных о пользователях с целью выявления атакующих IP. Во многих случаях сбор данных на сайте происходит именно с этими целями для защиты сайта, например, для блокирования IP. А значит, согласия пользователя для этого не требуется.

Следующий важный пункт 9 статьи 6: обратите внимание на фразу «обработка персональных данных осуществляется в статистических или иных исследовательских целях». Так как привязка выполняется к IP, то информация о пользователях является обезличенной. Закон считает информацию обезличенной, если для идентификации субъекта персональной информации необходимо использовать специальные программные или иные средства. В данном случае для идентификации субъекта персональной информации с помощью IP придется обращаться к провайдеру, выдавшему этот IP. Согласие пользователя для этого не требуется.

Исключение в пункте 9 составляет сбор статистики для коммерческой и рекламной деятельности (статья 15 настоящего Федерального закона). А вот здесь согласие субъекта необходимо.

В пункте 8 обратите внимание на фразу «обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных». Деятельность сайта как раз и является творческой деятельностью и даже научной, хотя кто-то может в это не поверить, но это так. А если кто-то, в том числе и многочисленные органы, считает, что при этом права и законные интересы субъекта персональной информации нарушаются, то пусть это докажут. Согласие субъекта персональной информации для научной и творческой деятельности также не требуется.

Все описанные выше случаи не требуют согласия субъекта персональных данных на обработку его персональных данных. Тем не менее, пользователь также может теоретически дать согласие на обработку своих персональных данных. Я пишу «теоретически» потому, что ни одного такого желающего ни разу в жизни не встречал и, наверное, не встречу. Тем не менее на сайте нужно предложить порядок такой регистрации. При этом набор персональных данных должен быть минимальным. В одном из ответов на запрос в соответствующие органы было дано разъяснение, что адрес электронной почты не раскрывает субъекта, а вот адрес электронной почты вместе с именем — раскрывают.

В принципе этот ответ ничего серьезного не имеет, так как запрос в другой соответствующий орган может дать совершенно другой ответ. Но адрес с ником вместо имени тоже ничего не дает, адрес с вымышленным именем тоже ничего не дает. Но если идти таким путем, то что же делать контролирующим органам? Поэтому каждый орган может трактовать Закон как хочет, поэтому набор параметров для регистрации должен быть минимальным и каждый параметр должен быть описан в Политике конфиденциальности.

В Законе особо подчеркивается полная добровольность такого согласия со стороны пользователя. Поэтому нежелательно отказывать пользователю сайта пользоваться сайтом только на том основании, что он не хочет добровольно соглашаться на обработку своих персональных данных. Тем более, тем самым нарушается Закон об информации, в котором говорится, что гражданин имеет право на информацию. На многих сайтах даже появились специальные всплывающие заставки с вопросом: «Ты записался добровольцем?», то есть простите: «Даешь согласие или нет?». Если посетитель согласия не дает, то его вышвыривают с сайта, а вот это уже нарушение другого Закона, а их у нас немеряно.

Каждый владелец сайта является оператором обработки персональных данных. Можно конечно назначить оператором другого человека, но на большинстве сайтов всего один человек. Он то и будет оператором. В связи с этим читаем Статью 18. «Обязанности оператора при сборе персональных данных»:

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

(часть 5 введена Федеральным законом от 21.07.2014 N 242-ФЗ)

Здесь необходимо обратить внимание на пункт 4, в котором говорится, что если на сайте имеется уведомление об осуществлении обработки персональных данных субъекта персональных данных соответствующим оператором, то каждому пользователю сайта лично указывать эту информацию не нужно.

Кстати, фраза «фамилия, имя, отчество и адрес оператора» явно нарушает этот же самый закон. Почему одних граждан Закон защищает, а других принуждает указывать личную персональную информацию? Сильно сомневаюсь в том, что, хотя бы какой-нибудь контролирующий орган это нарушение заинтересовало: с кого брать штрафы то, с депутатов, что ли?

Остановимся на адресе оператора. Так как большинство владельцев сайтов — это обычные граждане, то возникает вопрос, а какой адрес указывать? Адрес, это не обязательно домашний адрес, а, например, электронный адрес. В Законе конкретный вид адреса не прописан, а значит под адресом можно понимать все, что угодно. Если контролирующие органы все-таки потребуют указывать домашний адрес, то это будет явное нарушение этого же Закона.

Наконец, остановимся на статье 22 «Уведомление об обработке персональных данных»:

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

(п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

4) сделанных субъектом персональных данных общедоступными;

(п. 4 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

(п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

(п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

(п. 10.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ)

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

(п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

(часть 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Как видно из пункта 2, Закон вовсе не требует обязательной регистрации своего сайта и оператора (или лица, его заменяющего) в уполномоченном органе по защите прав субъектов персональных данных обработку персональных данных. Обратите внимание на пункт 6: «необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях». Пропуск на свой сайт субъекта персональных данных как раз и является аналогичной целью, так как сайт является «территорией» владельца сайта.

В соответствующих органах полный разброд и шатания: на какой сайт соответствующего органа не зайдешь, везде одни несоответствия Закону. То они обязывают всех, у кого имеется свидетельство о государственной регистрации налогоплательщика, проходить процедуру регистрации операторов персональных данных, а мы только что выяснили, что это не обязательно, то начинают IP и куки объявлять персональной информацией, хотя это является по этому же Закону обезличенной информацией (обезличенная информация, это информация, для идентификации которой необходимо специальное обеспечение и средства). 

В заключение привожу соответствующую басню дедушки Крылова:

Басня Волк и Ягненок

У сильного всегда бессильный виноват:
Тому в истории мы тьму примеров слышим
Но мы истории не пишем,
А вот о том как в баснях говорят...

Ягненок в жаркий день зашел к ручью напиться:
И надобно ж беде случиться,
Что около тех мест голодный рыскал Волк.
Ягненка видит он, на добычу он стремится;
Но, делу дать хотя законный вид и толк,
Кричит: "Как смеешь ты, наглец, нечистым рылом
Здесь чистое мутить питье Мое
С песком и с илом?
За дерзость такову
Я голову с тебя сорву". -
"Когда светлейший Волк позволит,
Осмелюсь я донесть, что ниже по ручью
От Светлости его шагов я на сто пью;
И гневаться напрасно он изволит:
Питья мутить ему никак я не могу". -
"Поэтому я лгу!
Негодный! Слыхана ль такая дерзость в свете!
Да помнится, что ты еще в запрошлом лете
Мне здесь же как-то нагрубил;
Я этого, приятель, не забыл!" -
"Помилуй, мне еще и от роду нет году". -
Ягненок говорит. - "Так это был твой брат". -
"Нет братьев у меня". - "Так это кум иль сват.
И, словом, кто-нибудь из вашего же роду.
Вы сами, ваши псы и ваши пастухи,
Вы все мне зла хотите,
И если можете, то мне всегда вредите;
Но я с тобой за их разведаюсь грехи". -
"Ах, я чем виноват?" - "Молчи! Устал я слушать.
Досуг мне разбирать вины твои, щенок!
Ты виноват уж тем, что хочется мне кушать".
Сказал и в темный лес Ягненка поволок.