Читать книгу «Научно-практический постатейный комментарий к Федеральному закону О персональных данных» онлайн полностью📖 — А. И. Савельева — MyBook.
image
27 июля 2006 года № 152-ФЗ
РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Принят
Государственной Думой
8 июля 2006 года
Одобрен
Советом Федерации 14 июля 2006 года
(В ред. федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ, от 29.11.2010 № 313-ФЗ, от 23.12.2010 № 359-ФЗ, от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ, от 05.04.2013 № 43-ФЗ, от 23.07.2013 № 205-ФЗ, от 21.12.2013 № 363-ФЗ, от 04.06.2014 № 142-ФЗ, от 21.07.2014 № 216-ФЗ, от 21.07.2014 № 242-ФЗ, от 03.07.2016 № 231-ФЗ, от 22.02.2017 № 16-ФЗ)

Глава 1. Общие положения

Статья 1. Сфера действия настоящего федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее – государственные органы), органами местного самоуправления, иными муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) утратил силу. – Федеральный закон от 25 июля 2011 № 261-ФЗ;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

1. Несмотря на название комментируемая статья определяет лишь предметную сферу действия комментируемого Закона, а именно отношения, на которые он распространяется, а также перечень изъятий из сферы его действия. Сфера действия данного Закона во времени определяется в его ст. 25. К сожалению, комментируемый Закон никак не конкретизирует сферу своего действия в пространстве, что особенно актуально для определения круга иностранных лиц, на которых распространяются его требования. Как следствие, территориальная сфера действия настоящего Закона определяется посредством системного толкования положений иных законов и конкретизирована в разъяснениях Минкомсвязи России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных и уполномоченным на дачу разъяснений по указанным вопросам1. Данные разъяснения опубликованы на официальном сайте Минкомсвязи России2 и будут предметом подробного анализа далее.

1.1. Предметная сфера действия законодательства РФ о персональных данных определена в комментируемой статье посредством указания на два основных признака правоотношений:

1) наличие связи таких отношений с процессами обработки персональных данных;

2) использование средств автоматизации или иных средств, которые по своему характеру схожи с ними и позволяют осуществлять поиск персональных данных в соответствии с заданным алгоритмом.

Первый признак имеет место всегда, когда положительно решен вопрос о квалификации выступающей объектом правоотношения информации в качестве персональных данных, поскольку существующая дефиниция обработки персональных данных охватывает любые действия, совершаемые с ними (о понятиях персональных данных и их обработки см. комментарий к ст. 3 Закона о персональных данных).

Второй признак имеет место во всех случаях автоматизированной обработки, т.е. использования средств вычислительной техники для обработки персональных данных (компьютеров, планшетов, смартфонов, «умных часов», устройств, подключенных к сети «Интернет», и т.п.). Фактически об автоматизированной обработке персональных данных можно вести речь всегда, когда такие данные выражены в цифровой форме.

Кроме того, рассматриваемый признак имеет место при осуществлении «неавтоматизированной» обработки персональных данных, удовлетворяющей в совокупности следующим условиям (далее – квази-автоматизированная обработка):

а) поиск и (или) доступ к таким данным осуществляется в соответствии с определенным алгоритмом, что предполагает наличие систематизации соответствующих документов по конкретным критериям (например, по фамилиям в алфавитном порядке и (или) по годам);

б) использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека независимо от того, хранятся такие сведения в информационной системе персональных данных или нет3.

1.2. В отсутствие систематизации документов по определенным критериям невозможно осуществление действий с ними по определенному алгоритму, а следовательно, такие действия не могут по своему характеру соответствовать действиям, осуществляемым при автоматизированной обработке, и не подпадают под действие Закона о персональных данных. При этом следует подчеркнуть, что буквальное толкование ч. 1 комментируемой статьи позволяет сделать вывод о том, что требование о наличии алгоритма установлено в виде альтернативы применительно как к поиску, так и к доступу к соответствующим данным, а не только к поиску, как иногда указывается в литературе4. Кроме того, настоящий Закон прямо указывает на то, что речь идет о доступе к «таким данным», отсылая тем самым к предыдущей фразе, в которой речь идет о «зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных». Иными словами, к хранению и иным видам обработки несистематизированных персональных данных без использования средств автоматизации Закон о персональных данных не применяется, даже если к таким сведениям возможен последующий доступ третьих лиц.

1.3. Примером квази-автоматизированной обработки, подпадающей под действие комментируемого Закона, являются действия оператора, связанные с ведением различного рода картотек личных дел сотрудников организации; договоров, заключенных с физическими лицами; медицинских карт пациентов в регистратурах поликлиник; журналов выдачи одноразовых пропусков на территорию и т.п. При этом если персональные данные, содержащиеся в «бумажных» документах и систематизированные в картотеках, параллельно используются, уточняются, распространяются или уничтожаются с помощью средств вычислительной техники (например, при использовании программных продуктов по расчету зарплат и управлению персоналом), то имеет место так называемая смешанная обработка ‒ обработка, осуществляемая оператором без использования средств автоматизации и автоматизированным способом одновременно. Данный термин хотя и не фигурирует в законе, но используется на практике контрольно-надзорными органами и судами (см.: Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу № А19-25289/2009; Апелляционное определение Владимирского областного суда от 20 января 2015 г. по делу № 33-139/2015; п. 9 Рекомендаций Роскомнадзора по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных от 29 января 2016 г.). Несмотря на то что в данном случае оба средства обработки подпадают под действие Закона о персональных данных, существуют определенные отличия в правовых последствиях их осуществления, которые необходимо учитывать, например, в части наличия или отсутствия обязанности по уведомлению Роскомнадзора об обработке персональных данных ( см. подробнее комментарий к ст. 22 настоящего Закона). При этом следует учитывать п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствии с которым «обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее».

1.4. Если деятельность по обработке персональных данных не сопряжена с использованием автоматизированных или квази-автоматизированных средств обработки, то она в соответствии с ч. 1 комментируемой статьи не подпадает под действие Закона о персональных данных. Например, если осуществляется обработка персональных данных контрагента по «бумажному» договору при оформлении дополнительных документов к нему (актов, дополнительных соглашений, договоров уступки) без использования вычислительных средств, а также без внесения этих документов в систематизированные картотеки (Постановление Двадцатого арбитражного апелляционного суда от 12 июля 2016 г. № 20АП-3775/2016 по делу № А23-4903/2012).

По тем же причинам не подпадают под действие Закона о персональных данных устное разглашение личных сведений о физическом лице в присутствии третьих лиц (Апелляционное определение Курганского областного суда от 27 марта 2014 г. по делу № 33-929/2014) и разглашение личных данных посредством направления письма, содержащего их, в адрес третьих лиц (Кассационное определение Саратовского областного суда от 7 февраля 2012 г. по делу № 33-697). Однако если указанные действия совершались с использованием вычислительных средств, например, посредством сети «Интернет», то они по общему правилу подпадают под действие Закона о персональных данных.

1.5. В судебной практике сформировалась позиция, согласно которой действие Закона о персональных данных не распространяется на «отношения по собиранию, проверке, хранению сведений в процессе возбуждения, расследования и рассмотрения уголовных дел и сам по себе он (указанный Закон. – А.С.) не может ограничивать права участников уголовного процесса и заявителей о преступлениях на ознакомление с материалами уголовных дел и проверок сообщений о преступлениях»5 (Определение Конституционного Суда РФ от 29 сентября 2011 г. № 1251-О-О; Апелляционное определение Санкт-Петербургского городского суда от 1 октября 2014 г. № 33-14325/2014 по делу № 2-1111/2014). Таким образом, наличие в материалах проверки по заявлению о правонарушении персональных данных иных лиц при отсутствии в них сведений об их частной жизни и иных конфиденциальных сведений, не может ограничивать право гражданина на ознакомление с этими материалами, непосредственно затрагивающими его права и свободы (Апелляционное определение Верховного суда Республики Башкортостан от 18 мая 2016 г. № 33а-9145/2016).

1.6. Хотя Конвенция 1981 г. формально касается лишь автоматизированной обработки персональных данных, она допускает возможность распространения ее положений не только на случаи автоматизированной обработки, но и на обработку без использования средств автоматизации, что было учтено Российской Федерацией при ратификации этой Конвенции6.

Аналогичные положения содержатся и в европейском законодательстве, оперирующем понятием «система учета документов» (filling system), под которой понимается любой структурированный массив персональных данных, доступных в соответствии с определенными критериями, безотносительно к тому, является ли он централизованным, децентрализованным или распределенным на функциональной или географической основе. В соответствии со ст. 3 Директивы 1995 г. ее положения распространяются как на автоматизированную обработку персональных данных, так и на их обработку иными способами, при которых персональные данные являются частью системы учета документов. При этом отмечается, что «досье (файлы) или их наборы, а также их обложки, не являющиеся структурированными в соответствии с определенными критериями, ни при каких обстоятельствах не охватываются рамками настоящей Директивы» (п. 27 Преамбулы).

Примечательно, что данные положения не были затронуты реформой законодательства о персональных данных и в неизменном виде содержатся также в Регламенте 2016 г. (ст. 2, п. 15 Преамбулы). Как следствие, судебная практика отдельных европейских стран не относит к системе учета документов неструктурированные массивы документов, которые по своему характеру несопоставимы с автоматизированными средствами обработки данных, например, набор документов, который бессистемно хранится в коробках (Smith v. Lloyds TSB Bank Plc, [2005] EWHC 246 (Ch)), или недостаточно объемные массивы документов (например, четыре досье) (Durant v. Financial Services Authority, [2003] EWCA Civ. 1746).

1.7. Следует отметить, что цели обработки персональных данных по общему правилу не имеют значения для решения вопроса о распространении на нее положений Закона о персональных данных, за исключением случаев, прямо указанных в ч. 2 комментируемой статьи. Поэтому безотносительно к тому, осуществляется ли обработка данных в коммерческих, политических, научно-исследовательских, статистических и прочих целях, она подпадает под действие Закона о персональных данных.

Равным образом для определения сферы применения Закона о персональных данных не имеет значения статус субъекта, осуществляющего обработку персональных данных: в качестве такового может выступать любое лицо, обладающее правоспособностью. Часть 1 комментируемой статьи относит к указанным лицам государственные и муниципальные органы власти, юридических и физических лиц. Таким образом, российское законодательство о персональных данных имеет универсальный характер и в равной степени распространяется на частный и публичный секторы, что, правда, не означает отсутствия специальных норм в отношении последнего.

2. Часть 2 комментируемого Закона содержит закрытый перечень видов отношений по обработке персональных данных, которые не подпадают под его действие независимо от того, какие средства используются при их обработке (автоматизированная или квази-автоматизированная). Таким образом, ставить вопрос о применимости каких-либо из данных видов исключений можно лишь после того, как положительно решен вопрос о применимости Закона о персональных данных к соответствующим отношениям в соответствии с положениями ч. 1 комментируемой статьи.

...
6