06.07.2015

Постатейный комментарий сотрудников РКН к ФЗ-152

Недавно "Российская газета" выпустила сборник постатейных комментариев к федеральному закону "О персональных данных". Стоит недорого - 265 рублей в бумажном варианте и 100 рублей в электронном. Среди авторов - сотрудники центрального аппарата РКН, а сам сборник издан под редакцией заместителя руководителя РКН, г-жи Приезжевой, которая курирует в РКН направление персданных.

На сайте РКН сказано, что идея такого комментария возникла в 2014-м году, видимо после того, как г-жа Приезжева была назначена заместителем руководителя РКН. На самом деле это не совсем соответствует действительности. Впервые идея такого постатейного комментария возникла у предшественника г-жи Приезжевой - Шередина Романа Валерьевича. Осенью 2012-го года мы встречались с ним для обсуждения тему постоянной критики РКН и решили, что надо сделать что-то полезное, например, постатейный комментарий к ФЗ-152. Тогда была сформирована рабочая группа из Алексея Волкова, Михаила Емельянникова, Александра Токаренко и меня. Мы решили писать такой комментарий не с самого начала, а с наиболее интересных и спорных вопросов. Сначала была выбрана тема кадрового делопроизводства, а затем биометрических персональных данных. Оба комментария были размещены на сайте РКН (разъяснение по биометрии и разъяснение по кадрам). Третьей выбранной нами темой должно было стать согласие субъекта на обработку ПДн в Интернете, но не сложилось - в РКН пришло новое руководство. Я предлагал ему продолжить работу над комментарием, но в наших услугах больше не нуждались :-(

И вот новое руководство выпускает свой комментарий. Выпускает за деньги. Коллеги задаются вопросом, может ли государственный орган, уполномоченный в области защиты прав субъектов персональных данных и заявляющий о своей методической помощи операторам ПДн, продавать за деньги то, что он должен делать бесплатно? Вопрос этики, не более. Формально, книга выпущена не Роскомнадзором, а "Российской газетой". Является ли данный комментарий официальным? Тоже нет. Роскомнадзор уже не раз говорил о том, что он не обладает правом трактовать законодательство.

Кстати, это не первый постатейный комментарий к ФЗ-152. Вот, например, еще один. Или вот. И вот. Ну и еще. И снова.

Отвечает ли данный комментарий на вопросы операторов ПДн? Увы, нет. Скорее он создает кучу новых. Причем с самого начала материала. Например, мнение о том, что архив может быть только бумажным, а понятие "электронный архив" не существует. Отсюда сотрудники РКН делают вывод, что на электронные архивы ФЗ-152 распространяется в полном объеме; в отличие от архива бумажного. При этом дальше, правовые документы по архивному хранению в бумажной форме вполне активно используются при определении терминов "хранение" и "передача".

Достаточно активно авторы приводят примеры судебных решений по тому или иному вопросу обработки ПДн. У меня сложилось впечатление, что ссылаются они только на те решения суда, которые им "выгодны" и "доказывают" их позицию. При этом "неудобные" решения судов не упоминаются. Например, при рассмотрении вопроса автоматизированной обработки делается вывод, что любая обработка ПДн на средствах вычислительной техники является автоматизированной. При этом я видел решение суда, принятое уже после 2011-го года, в котором суд как раз принял решение, что обработка ПДн на средствах вычислительной техники еще не означает ее автоматизированной обработки.

Или вот пример, который у меня также вызвал вопросы. Согласно рассматриваемому комментарию банки вправе передавать ПДн коллекторам. Основанием для этого, по мнению авторов комментария, является статья 382 ГК РФ. Однако это правило действует только в случае договора цессии, а вот в случае передачи коллектору ПДн по агентскому договору, согласие требуется.

Местами в комментарии очень вольно используются правила русского языка. Например, при рассмотрении 9-й статьи о согласии субъекта на обработку ПДн правильно указывается, что согласие может дать либо сам субъект, либо его представитель. А вот рассматривая часть про отзыв согласия, авторы считают, что отзыв может дать только субъект ПДн, а его представитель такого права лишен. И якобы это вытекает из буквального прочтения норм законодательства. У меня лично такого вывода при прочтении 9-й статьи не возникло.

Но местами есть и интересные и даже полезные разъяснения. Например, позиция по поводу обработки сведений о судимости. Если раньше РКН считал, что указание в анкетах (например, заемщика) поля "судимость" запрещено, то сейчас у них позиция более лояльная - сведениями о судимости считается только привязка к решению суда, номер и наименование статьи и т.п.

Кстати, смена ранее озвученной позиции, - еще один присущий данному комментарию факт. Например, в части биометрии. Авторы решили отменить ранее данный комментарий РКН в отношении того, что такое биометрические ПДн. Забавно, что среди авторов и прошлого комментария и нынешнего - одни и те же люди. То ли за 2 года позиция РКН сменилась, то ли новое руководство вычищает следы от старого.

Пора подытоживать. Отношение мое к этому комментарию двойственное. С одной стороны многие комментарии вступают в противоречие с ранее уже данными и местами сложившейся практикой обработки персданных. С другой - можно предположить, что после выхода комментария под редакций замглавы регулятора, терорганы будут руководствоваться им при проверках, а значит наступит долгожданное единство позиции. Главное, чтобы и у судов оно было таким же единогласным.


8 коммент.:

Евгений комментирует...

Вот как раз в отношении судимости не считаю полезным такое изменение позиции. Рассуждая с точки зрения вреда субъекту основной ущерб наносится в случае незаконного разглашения самого факта о наличии погашенной судимости, а не то, какое решение суда, срок и др. детали.

Александр Мышерин комментирует...

Очень долго ждал, пока поднимется вопрос обработки данных о судимости. Начнем с того, что правового статуса "имевшейся судимости" не может быть (ст.86 УК РФ). Она либо есть, либо ее нет. Соответственно, обработка таких данных незаконна в принципе. Однако, как показывает практика, Роскомнадзор (не только на местах, но в части позиции Центрального аппарата)закрывает глаза как на содержание согласия на обработку таких данных, так и на условия получения таких данных от третьих лиц (ТК РФ).
Совершенно согласен по поводу биометрии - получал официальные ответы противоречащие "разъяснениям" и в части СКУД и в части видеосъемки на рабочем месте...

Алексей Лукацкий комментирует...

По части согласия на обработку сведений о судимости, РКН следует логике, что судимость имеет особый статус даже среди специальной категории ПДн, о чем говорит 4-я часть соответствующей статьй ФЗ-152.

Александр Мышерин комментирует...

Алексей, это все понятно, но уж Вы-то точно знаете, что РКН на практике не следует вообще никакой логике. Чтобы не быть голословным, я подготовил сканы документов, подтверждающие, что для РКН достаточно любой бумажки с заголовком "Согласие" вне зависимости от ее содержания. Там же есть и про биометрию. Ситуация простая и ставшая стандартной в последнее время.
Человек долгое время отработал в учреждении ВПО. После внесения поправок в ТК РФ Учреждение делает без его ведома запрос в УВД, прикрываясь имеющимся согласием на обработку (в котором, к слову, нет никаких упоминаний о судимости). По получении ответа человек, помимо распространения искаженных данных о погашенной судимости, получает увольнение по статье. Обращение в местный РКН и в центральный аппарат ничего не дает. Также и с судами обеих инстанций.
Ваш блог, де-факто, является самым посещаемым ресурсом по теме защиты ПДн, поэтому очень хотел бы услышать мнение общественности. Буду не против публикации сканов в Вашем блоге.

Алексей Лукацкий комментирует...

Присылайте сканы - опубликую

Александр Мышерин комментирует...

Выслал через google+

Lyubov _ комментирует...

Питала большие надежды в отношении комментариев, но почему-то после прочтения не получила ответа ни на один из интересовавших меня вопросов. Например, чем все таки отличается передача ПДн от поручения обработки ПДн (а отношения сторон при этом оформляются по-разному). В законе этот момент определен нечетко, что порождает много разных толкований и точек зрения. Одна из них, например, что любая передача ПДн, при которой оператор сам определяет цели обработки ПДн третьей стороной, является поручением обработки ПДн. Было интересно, что думает по этому поводу РКН, но четкой позиции в комментариях нет. Может, я плохо читала и там все написано? :)

Алексей Лукацкий комментирует...

Там много чего нет. А что есть, противоречит тому, что было раньше