11 февраля 2006 года

№Пр-210

Москва, Кремль

Направляю заключение на проект федерального закона № 217352-4 «О персональных данных», принятый Государственной Думой а первом чтении 25 ноября 2005 г.

В. Путин

Проект федерального закона № 217352-4 «О персональных данных» (далее - законопроект) направлен на реализацию, конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации, а также международных обязательств Российской Федерации по ратификации Конвенций Совета Европы о защите физических яиц при автоматизированной обработке персональных данных (далее - Конвенция).

Законопроектом предусматриваются общие унифицированные требования к сбору и обработке персональных данных физических лиц во всех сферах, где используются эти данные, принципы трансграничной передачи персональных данных, а также меры государственного контроля за деятельностью государственных органов, органов местного самоуправления, юридических и физических лиц, связанной с обработкой персональных данных.

Концепция законопроекта не вызывает возражений. В то же время ряд положений законопроекта требует более тщательной проработки, в том числе с точки зрения их соответствия Конвенции.

Так, законопроектом не учитываются особенности обработки и распространения персональных данных в такой сфере публично-правовых отношений, как выборы и референдумы, В соответствии с законопроектом участниками отношений, возникающих при сборе, обработке и распространении персональных данных являются органы государственной власти, органы местного самоуправления, юридические и физические лица. Тем самым из числа участников этих отношений фактически исключаются избирательные комиссии, комиссии референдума, которые в ходе подготовки и проведения выборов и референдумов также осуществляют на основании закона обработку и распространение персональных данных, в том числе в отношении лиц, совершивших административные правонарушения, посягающие на избирательные права граждан и их право на участие в референдуме. При этом большинство указанных комиссий по своему правовому статусу не только не является органами государственной власти или органами местного самоуправления, но и юридическими лицами (окружные, участковые комиссии и значительное число территориальных комиссий).

В связи с изложенным в статьи 6, 8 - 10 и 12 законопроекта необходимо внести изменения, учитывающие особенности обработки и распространений персональных данных при проведении выборов и референдумов. Кроме того, представляется целесообразным в тексте законопроекта вместо термина «органы государственной власти» использовать обобщающий термин «государственные органы».

По смыслу статьи 1 законопроекта понятием «обработка персональных данных» не охватывается распространение персональных данных, которое определяется как обнародование этих данных через средства массовой информации, размещение их в информационно-телекомуникационных сетях или предоставление иным способом доступа к персональным данным неограниченному кругу лиц. Данное определение не в полной мере согласуется с подходом к распространению персональных данных, заложенным в Конвенции. В соответствии с пунктом «с» статьи 2 Конвенции автоматизированная обработка персональных данных включает в себя ряд операций осуществляемых с персональными данными, в том числе их распространение, в отношении которых, как следует из главы II Конвенции, действует режим защиты. Таким образом, по смыслу Конвенция под распространением персональных данных понимается предоставление или передача этих, данных не только неограниченному, но и ограниченному кругу лип. Кроме того, содержащееся в законопроекте определение термина «распространение персональных данных» ставит под сомнение необходимость его наличия в законопроекте, поскольку этот термин в дальнейшем практически не используется.

В соответствии со статьей 6 законопроекта обработка персональных данных должна осуществляться собственником информационной системы персональных данных. При этом собственник указанной информационной системы может поручить обработку персональных данных оператору, и в этом случае оператор должен осуществлять обработку данных в том же объеме и на тех же условиях, которые установлены федеральным законом «О персональных данных» для собственника информационной системы. Однако ни объем, ни условия обработай персональных данных не устанавливаются законопроектом для собственника информационной системы. В законопроекте в основном регулируются отношения между субъектом персональных данных и оператором информационной системы персональных данных, который, как следует из статьи 1 законопроекта, определяет цели, содержание и применение результатов обработки персональных данных, в связи с чем для него определяются условия обработки этих данных. Таким образом, соотношение полномочий собственника информационной системы я оператора нуждается в уточнении.

Помимо этого наименование статьи законопроекта, сформулировавшее как условия сбора и обработки персональных данных, следует привести в соответствие с ее содержанием, поскольку в тексте статьи речь идет только об условиях обработки персональных данных.

Отдельными положениями законопроекта не в полной мере обеспечиваются гарантий прав граждан Российской Федерации, установленные законодательством Российской Федерации.

Так, положение пункта 2 части 6 статьи 12 законопроекта, ограничивающее доступ субъекта персональных данных к персональным данным о себе, которые обрабатываются органами, осуществившими его задержание по подозрению в совершении преступления, либо предъявившими ему обвинение по уголовному делу, либо применившими к нему меру пресечения до предъявления обвинения, требуют согласования с положениями части 4 статьи 46 и части 4 статьи 47 Уголовно-процессуального кодекса Российской Федерации, предусматривающими право подозреваемого и обвиняемого знакомиться с отдельными процессуальными документами и получать их копии.

Часть 3 статьи 13 законопроекта сформулирована таким образом, что допускается возможность принятия какого-либо решения в отношений субъекта персональных данных, основанного исключительно на обработке его персональных данных с применением средств автоматизации. Тем самым не учитываются положений действующих законодательных актов, которыми установлен запрет на принятие подобных решений. Например, такой запрет предусматривается статьей 86 Кодекса Российской Федерации о труде и статьей 42 Федерального закона «О государственной гражданской службе»,

В статье 14 законопроекта закрепляющей право субъекта персональных данных на обжалование действий оператора, осуществляющего обработку его персональных данных с нарушением права на неприкосновенность частной жизни, не обеспечиваются конституционные гарантии беспрепятственного доступа к правосудию, По смыслу указанной нормы восстановление нарушенных прав "зависит от усмотрения органа по защите прав субъектов персональных данных, только на основании решения которого субъект персональных данных может обратиться в суд в целях возмещения убытков и компенсации морального вреда.

В соответствии со статьей 16 законопроекта информационные системы персональных данных подлежу регистрации в уполномоченном органе по защите прав субъектов персональных данных. Обработка персональных данных в незарегистрированных информационных системах не допускается, за исключением предусмотренных в этой же статье случаев. Учитывая, что регистрации подлежат также информационные системы, статус которых закреплен федеральным законом (например, Государственная автоматизированная система Российской Федерации «Выборы»), не ясно, как к таким информационным системам может быть применено аннулирование регистрации, влекущее за собой приостановление эксплуатации информационной системы, если федеральным законом, на основании которого осуществляется ее эксплуатация, это не предусматривается. Представляется, что на такие информационные системы не должна распространяться требование о регистрации либо в отношении этих систем следует сделать оговорку, не допускающую возможности приостановления их эксплуатации. Кроме того, в законопроекте следовало бы определить цель регистрации, а также исчерпывающий перечень оснований, при наличии которых не требуется регистрации информационной системы.

Взаимосвязанные положения статей 23 и 24 законопроекта, касающиеся идентификаторов персональных данных и Государственного регистра населения Российской Федерации, вызывают сомнение с точки зрения целесообразности их включения в федеральный закон «О персональных данных. Указанные положения относятся к системе персонального учета населенения Российской Федерации, создание которой предусматривается распоряжением Правительства Российской Федерации от 9 июня 2005 г, № 748-р. Разработка такой системы предполагает ее нормативно-правовое обеспечение, что потребует, по-видимому, принятия самостоятельного федерального закона о персональном учете населения Российской Федерации.

Статью 26 законопроекта необходимо дополнить переходными положениями, устанавливающими правовой режим без персональных данных и информационных систем персональных данных, сформированных до, вступления в силу федерального закона «О персональных данных».

На основании изложенного законопроект подлежит доработке с учетом приведенных замечаний и предложений.