Новая редакция закона "О персональных данных" - защита прав операторов персональных данных
Юридическая компания «Пепеляев Групп» сообщает, что Государственной Думой РФ в трех чтениях принят проект закона № 282499-5 «О внесении изменений в Федеральный закон «О персональных данных». Законодателем предлагается принципиально новая, более «user friendly»[1], редакция закона, которая разъясняет, уточняет и упрощает многие положения действующего законодательства о персональных данных («ПДн»).
Как указано в пояснительной записке к проекту, основная причина его внесения – создание условий для реализации продекларированных в Законе «О персональных данных» («Закон») целей, которые за 5 лет практики его применения так и не были достигнуты.
Можно выделить следующие принципиальные изменения, внесение которых предлагается:
1) Скорректировано само понятие ПДн
Законодатель уходит от конкретного списка ПДн, а также, что самое главное, уходит от квалификации информации как ПДН именно на основании возможности определения через нее субъекта ПДн. Теперь под ПДн будет пониматься «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Таким образом, по нашему мнению, в соответствии с Новой редакцией Закона под ПДн может пониматься любая личная информация, которая относится к тому или иному человеку, что существенно расширяет понятие ПДн и круг операторов, их обрабатывающих.
2) Ограничивается круг обязанностей операторов ПДн в связи с обработкой ПДн
После принятия в 2006 году Закона различными ведомствами было принято более 30 подзаконных актов, которые устанавливали большое количество обязанностей для операторов ПДн («операторы»), не предусмотренных Законом и зачастую трудновыполнимых и/или влекущих для операторов серьезные временные и финансовые затраты.
Новой редакцией Закона устанавливается, что подзаконные акты по вопросам обработки ПДн не могут возлагать на операторов обязанности, не предусмотренные Законом. То есть четко устанавливается и ограничивается (по крайней, исходя из первоначального прочтения Новой редакции) круг обязанностей оператора, при выполнении которых последний может быть уверен, что не пропустил никаких важных требований и в случае проверки сможет отчитаться о соблюдении требований Закона.
3) Устанавливается «баланс интересов» операторов и субъектов ПДн
В соответствии с действующей редакцией Закона существует явный «перекос» в сторону защиты интересов субъектов ПДн. В частности, по общему правилу, обработка оператором ПДн должна осуществлять с согласия субъекта.
В настоящее время в отсутствие в Законе четких критериев в отношении того, (i) когда такое согласие требуется, а когда нет; (ii) когда согласие должно быть получено в письменной форме, а когда письменная форма не требуется, а также с учетом положения Закона, в соответствии с которым в случае спора бремя доказывания получения согласия возлагается на оператора, перед операторами стоит сложный выбор – либо получать согласия «на каждом шагу», что сопряжено с весьма существенными временными и трудозатратами (а также потенциальным злоупотреблением правом со стороны работников и контрагентов операторов), либо не получать такие согласия (или получать их в ненадлежащей форме) и брать на себя риск санкций за несоблюдение требований Закона.
В Новой редакции Закона получение согласия субъекта ПДн является лишь частным случаем, когда допускается обработка ПДн. Иными законными основаниями для обработки операторами ПДн (без получения согласий) является:
- осуществление и выполнение возложенных законодательством на оператора функций, полномочий и обязанностей;
- обработка ПДн необходима для осуществления прав и законных интересов оператора и третьих лиц;
- осуществляется обработка ПДн, доступ неограниченного круга к которым предоставлен самим субъектом ПДн либо по его просьбе и др.
Таким образом, с учетом того, что практически любая обработка ПДн связана с выполнением оператором своих функций и полномочий, предусмотренных законодательством, и осуществлением прав и законных интересов операторов или третьих лиц (по договорам оператора с ними), не противоречащих законодательству, количество случаев, когда требуется получение согласия, значительно сужается.
Одновременно с этим необходимо помнить о специальных требованиях к обработке, которые предусмотрены в главе 14 Трудового кодекса РФ.
Более того, даже когда согласие субъекта ПДн требуется, оно может быть дано не самим субъектом, а лицом (например, начальником отдела кадров работодателя от имени работника), которому такой субъект выдал доверенность. Сама форма согласия может быть любой, если она позволяет подтвердить факт получения такого согласия (то есть, например, выступать в качестве положения договора).
Отметим, что лицо, осуществляющее обработку ПДн по поручению оператора, по новой редакции Закона не обязано получать согласие субъекта ПДн на такую обработку.
4) Разъяснен порядок трансграничной передачи ПДн
В частности, указано, что обеспечивающими адекватный уровень защиты прав субъектов ПДн признаются государства-члены Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иные государства, которые будут внесены в перечень, утверждаемый Роскомнадзором. Соответственно, передача ПДн на территории государств, обеспечивающих адекватный уровень защиты, может осуществляться без получения согласия субъектов ПДн.
5) Срок для приведения информационных систем ПДн потерял актуальность – операторам можно вздохнуть спокойно?
Установленный Законом о ПДн срок для приведения информационных систем ПДн в соответствие с его требованиями – 1 июля 2011 г.
Новая редакция Закона не устанавливает нового срока. Означает ли это, что после вступления поправок в силу все операторы должны будут сразу же соответствовать требованиям Закона? Представляется, что нет.
Новая редакция Закона упорядочивает систему подзаконных актов, которые издаются во исполнение Закона.
Среди прочего, в Новой редакции установлено, что Правительство РФ с учетом (i) возможного вреда субъекту ПДн, (ii) объема и содержания обрабатываемых ПДн, (ii) вида деятельности, при осуществлении которого обрабатываются ПДн, (iv) актуальности угроз безопасности ПДн устанавливает уровни защищенности ПДн при их обработке в информационных системах ПДн в зависимости от уровня угроз безопасности этих данных. При этом уже для каждого из уровней защищенности ФСБ и ФСТЭК разрабатывают конкретные требования в отношении организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах.
Однако в настоящее время соответствующий акт Правительства РФ, который бы устанавливал уровни защищенности ПДн, отсутствует. Соответственно, отсутствуют и требуемые уточняющие акты ФСБ и ФСТЭК.
В связи с вышеуказанным можно сделать вывод: поскольку новые требования к приведению информационных систем ПДн в соответствие с Законом относятся преимущественно к вопросам безопасности, то фактически до издания соответствующих подзаконных актов операторы не смогут выполнить соответствующие требования.
Одновременно с этим представляется, что ряд требований к безопасности информационных систем ПДн не связан с необходимостью издания подзаконных актов (включая, например, учет машинных носителей ПДн и др.) и должен выполняться сразу после вступления поправок в силу.
6) Автономия операторов в выборе правовых и организационных мер (не связанных с обеспечением безопасности ПДн) по выполнению требований Закона
Новая редакция Закона вводит правило, согласно которому операторы самостоятельно определяют состав мер, необходимых и достаточных для обеспечения требований Закона и подзаконных актов. При этом устанавливается примерный неисчерпывающий перечень таких мер, включая (i) назначение ответственного должностного лица, (ii) издание локальных нормативных актов и (iii) ознакомление с ними работников, осуществление внутреннего контроля и др. Обязательный перечень мер устанавливается Правительством РФ только применительно к государственным и муниципальным органам.
Помимо вышеуказанных изменений в Новой редакции Закона также уточняется и вводится ряд понятий (включая понятия обработки ПДн, автоматизированной обработки ПДн, распространения и предоставления ПДн и др.); увеличены допустимые сроки реагирования оператора на запросы субъектов ПДн и контролирующих органов; увеличивается перечень сведений, включаемых в уведомления, направляемые операторами в Роскомнадзор; разъясняется и упрощается порядок передачи ПДн для обработки третьим лицам и т. д.
Важно отметить, что Новая редакция Закона предусматривает обратную силу применения поправок, а именно с 1 июля 2011 года.
Несмотря на то, что Новая редакция все-таки содержит ряд неясных положений (включая некоторые определения, технические требования и др.), на наш взгляд, он является существенным шагом вперед в развитии российского законодательства о персональных данных.
Рекомендации:
Несмотря на то, что шансы в отношении того, что поправки в Закон не будут приняты, достаточно не велики, мы рекомендуем нашим клиентам, все-таки, дождаться одобрения Новой редакции Закона Советом Федерации РФ и подписания Президентом РФ, однако уже на данном этапе представляется целесообразным принять следующие предварительные меры:
1) Пересмотреть те организационные меры и меры технической защиты, которые принимаются сейчас многими операторами ПДн для целей приведения в соответствие с требованиями Закона используемых ими информационных систем ПДн – соответствующие технические и организационные требования могут измениться. Если Ваша Компания не включена в план проверок на этот год, то риск того, что проверяющие придут к Вам в ближайшее время и обнаружат какие-либо несоответствия, минимален.
2) Продумать изменения, которые необходимо внести в существующие локальные нормативные акты, типовые трудовые и гражданско-правовые договоры и иные документы для целей приведения их в соответствие с изменениями; оценить необходимые ресурсные и финансовые затраты на осуществление соответствующих мероприятий.
3) Начать поиски внутреннего или внешнего кандидата на должность ответственного за организацию обработки персональных данных в компании (при этом им не может быть генеральный директор).
4) Проанализировать правовые основания, на которых вашей компанией осуществляется обработка ПДн, и классифицировать их по допустимым случаям обработки, указанным в Новой редакции Закона – впоследствии это поможет определить режим обработки соответствующих ПДн (с согласия или без согласия и т. д.).
Специалисты компании «Пепеляев Групп» обладают значительным опытом консультирования (в том числе, по международным проектам) по вопросам соблюдения законодательства о персональных данных и могут оказать любую необходимую помощь по разъяснению новых требований Закона, а также любое содействие в приведении деятельности компаний-операторов в соответствие с требованиями Закона.
[1] В переводе с английского – «удобная для использования».
Для получения дополнительной информации обращайтесь, пожалуйста:
В Москве — в Москве — к Юлии Бороздна, руководителю практики трудового и миграционного права «Пепеляев Групп» по тел.: (495) 967-00-07 либо по e-mail; Андрею Слепову, Старшему юристу, по тел.: (495) 967-00-07 либо по a.slepov@pgplaw.ru; к Елене Овчаровой, Руководителю группы Административно-правовой защиты бизнеса, по тел.: (495) 967-00-07 либо по e-mail; Наталии Травкиной, Ведущему юристу, по тел.: (495) 967-00-07 либо по e-mail;
в Санкт-Петербурге – к Сергею Спасеннову, Партнеру, руководителю Санкт-Петербургской практики, по тел.: (812) 640 -60-10 либо по e-mail; Александру Коркину, Юристу, по тел.: (812) 640 -60-10 либо по a.korkin@pgplaw.ru