Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Шрифт:
В этой связи новое европейское законодательство пошло по пути дифференциации понятий псевдоанонимизации данных и анонимизированных данных. Псевдоанонимизация представляет собой способ обработки персональных данных, в результате которого становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту, при условии, что такая дополнительная информация хранится отдельно и в отношении ее принимаются организационные и технические меры, обеспечивающие ее неиспользование для соотнесения с определенным или определяемым лицом (ст. 4 (5) Регламента 2016 г.). Анонимизированность данных предполагает такую степень обезличенности данных, при которой последние не относятся к определенному или определяемому лицу. Такие данные не являются персональными и не подпадают под действие законодательства о персональных данных. При разграничении указанных понятий принимается во внимание наличие возможности осуществления их деобезличивания разумными средствами оператором или иным лицом. При этом принимаются во внимание материальные и временные затраты, которые оператор должен понести для этого, а также уровень развития
Таким образом, обезличенные (псевдоанонимизированные – по терминологии Регламента 2016 г.) данные по новому европейскому законодательству по общему правилу рассматриваются в качестве персональных данных, а сами действия по обезличиванию - как одно из средств защиты персональных данных, при обработке которых в ряде случаев действуют некоторые послабления 67 .
Понятия информационной системы персональных данных и базы данных
67
См. п. 26 Преамбулы к Регламенту 2016 г.
1. Понятие информационной системы персональных данных по сути является воспроизведением понятия информационной системы, которое содержится в Законе об информации, с одним уточнением - указанием на особый характер обрабатываемой в ней информации в виде персональных данных. Согласно п. 3 ст. 2 Закона об информации под информационной системой понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Таким образом, в соответствии с данной трактовкой рассматриваемого понятия информационная система персональных данных имеет место только при автоматизированной обработке, в отличие от прежней дефиниции этого понятия, которое охватывало и обработку данных без использования средств автоматизации.
2. База данных является всего лишь одним из элементов информационной системы наряду с техническими средствами и иными информационными технологиями, используемыми при обработке информации. Данное разграничение особенно важно с учетом требования о локализации отдельных процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных данных), которое предусматривает обязанность нахождения на территории Российской Федерации именно базы данных, а не всей информационной системы персональных данных. Понятие «информационная система персональных данных» используется для «обслуживания» вопросов, связанных с информационной безопасностью – при формулировании организационных и технических мер по обеспечению безопасности персональных данных в ходе их обработки в информационных системах персональных данных и уровней защищенности таких данных (см. ст. 19 Закона о персональных данных и комментарий к ней).
3. Ни Закон о персональных данных, ни Закон об информации не содержат определения базы данных, в связи с чем следует обратиться к дефиниции базы данных, используемой в гражданском законодательстве. В соответствии с п. 2 ст. 1260 ГК РФ базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). Стоит отметить, что отдельные представители Роскомнадзора дают более широкое толкование понятия «база данных», понимая под ней «упорядоченный массив данных, независимый от вида материального носителя информации, и используемых средств его обработки (архивы, картотеки, электронные базы данных)». Так, например, базой данных, по их мнению, «можно считать таблицу в форматах Excel или Word, в которой содержатся персональные данные граждан» 68 . Данный подход объясняется представителями Роскомнадзора тем, что «в законодательстве Российской Федерации существует много понятий баз данных, тем не менее все они сводятся к одному общему значению, которое и приведено выше». Оставляя в стороне весьма спорное заявление о наличии множества понятий баз данных в российском законодательстве, обратим внимание на тот факт, что предлагаемое представителями Роскомнадзора понятие «база данных» дословно совпадает с дефиницией, которая содержится в Модельном законе СНГ «О персональных данных» 1999 г. 69 Данный документ хотя и можно рассматривать в качестве авторитетного источника, но формально он не имеет юридической силы и не может выступать в качестве акта, регулирующего «в рамках СНГ международные отношения в сфере защиты прав субъектов персональных данных» 70 .
68
См.: Комментарий к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». C. 10.
69
Принят в г. Санкт-Петербурге на 14-ом пленарном заседании Межпарламентской ассамблеи государств - участников СНГ Постановлением от 16 октября 1999 г. № 14-19.
70
Иная позиция у представителей Роскомнадзора. См.: Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 25.
Понятие трансграничной передачи персональных данных
1. Трансграничная передача персональных данных представляет собой отдельный вид обработки таких данных, заключающийся в передаче их «на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Ранее содержавшееся в указанной дефиниции указание на пересечение Государственной границы Российской Федерации было удалено как не соответствующее реалиям информационных процессов, происходящих в сети «Интернет», которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы определенной деятельности. В европейском законодательстве используется несколько иное, чуть более широкое понимание трансграничной передачи данных – как действий по передаче данных на территорию третьих стран (не являющихся членами Европейского Союза) или международных организаций (ст. 25 (1) Директивы 1995 г.; ст. 45 (1) Регламента 2016 г.). При этом национальная принадлежность получателя таких данных в третьей стране не имеет значения.
2. Квалифицирующими признаками трансграничной передачи персональных данных по российскому праву являются факты попадания персональных данных:
1) на территорию иностранного государства;
2) под контроль иностранного лица и
3) в результате целенаправленной деятельности оператора.
Указанные признаки позволяют выделить основной критерий трансграничной передачи данных: результатом такой передачи является попадание персональных данных под юрисдикцию другого государства с одновременным выбытием из-под юрисдикции Российской Федерации. Таким образом, если оператор - российское юридическое лицо передает персональные данные в свое представительство, находящееся за рубежом, то трансграничной передачи нет, поскольку данные не передаются иностранному лицу, а передаются самому себе (отсутствует признак 2). По этой же причине не будет трансграничной передачи данных в ситуациях, когда сотрудник организации едет в зарубежную командировку с ноутбуком, на котором записаны персональные данные иных лиц.
Нельзя говорить о трансграничной передаче персональных данных и в тех случаях, когда данные остаются на территории Российской Федерации, хотя и попадают к иностранному лицу, которое находится на его территории (отсутствие признака 1). Размещение персональных данных на интернет-сайте, хостинг которого осуществляется в России, но доступен по всему миру, само по себе не является трансграничной передачей данных. В данном случае инициатором передачи информации будет являться не владелец интернет-сайта, а пользователь, который «сам приходит» на данный ресурс и тем самым инициирует процесс передачи ему соответствующих данных (отсутствие признака 3). Аналогичным образом осуществляемый вследствие алгоритмов протокола TCP/IP «транзит» данных через территорию третьих стран при передаче данных в сети «Интернет» также не является их трансграничной передачей. Иной подход вступал бы в противоречие с архитектурой сети «Интернет» и информационных процессов, происходящих в ней, превращая нормы о трансграничной передаче данных в неисполнимые на практике. Подробнее о трансграничной передаче данных см. комментарий к ст. 12 Закона о персональных данных.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
1. Законодательство о персональных данных является сравнительно «молодым», но динамично развивающимся. Первый закон о персональных данных появился в 1970 г. в Германии, в земле Гессен (Hessisches Datenschutzgesetz). В 1973 г. соответствующие нормы были приняты в Швеции (Datalagen), в 1977 г. – снова в Германии (Bundesdatenschutzgesetz), в 1978 г. – во Франции (Loi informatique et libert'es), а впоследствии и в иных европейских странах. В США соответствующие законодательные нормы также начали появляться в 70-е гг. прошлого века, к их числу следует отнести Закон о справедливых кредитных историях (Fair Credit Reporting Act 1970) и Закон о защите частной жизни (Privacy Act of 1974), который регламентировал обработку персональных данных граждан федеральными органами власти.