Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 18. Обязанности оператора при сборе персональных данных

Комментарий к статье 18

1. Комментируемая статья возлагает на оператора ряд обязанностей, имеющих информационный характер (ч. ч. 1 - 4), и одну организационно-технического характера (ч. 5), которая возникает в связи со сбором им персональных данных. Закон о персональных данных не раскрывает понятия "сбор". По мнению представителей Роскомнадзора, под сбором понимается получение персональных данных непосредственно от первоисточника, т.е. от субъекта персональных данных <1>. Во многом схожего подхода придерживается и Минкомсвязи России, согласно разъяснениям которого под сбором понимается "целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц" <2>. Как видно, в интерпретации Роскомнадзора и Минкомсвязи России есть одно существенное отличие: Минкомсвязи к сбору относит и получение данных от субъекта через "специально привлеченных для этого третьих лиц".
--------------------------------
<1> Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях". С. 11. URL: https://pd.rkn.gov.ru/library/p195/.
<2> http://minsvyaz.ru/ru/personaldata/

Учитывая, что соответствующие разъяснения даны в контексте требований о локализации, данное уточнение следует воспринимать именно во взаимосвязи с ним. Речь идет о ситуациях, когда некий оператор, не имеющий локальных мощностей по обработке персональных данных, привлекает других лиц для сбора данных с последующей их передачей ему. После того как данные были такими лицами локализованы, они передаются оператору, а затем сразу удаляются. В результате на территории Российской Федерации персональных данных российских граждан не остается и цели локализации не достигнуты. По-видимому, для противодействия подобного рода "схемам" и было введено это уточнение. Хотя, по большому счету, в нем нет особой необходимости, поскольку привлеченные оператором для сбора персональных данных лица будут считаться лицами, осуществляющими обработку персональных данных по поручению оператора, а обязанность по локализации данных распространяется именно на операторов в соответствии с ч. 5 комментируемой статьи. В этой связи, как представляется, интерпретация Роскомнадзора является более точной с точки зрения системного толкования Закона о персональных данных. Кроме того, она соответствует понятию сбора, приведенному в Модельном законе СНГ о персональных данных 1999 г.
2. Поскольку сбор предполагает непосредственный контакт оператора и субъекта персональных данных, ч. 1 комментируемой статьи закрепляет обязанность оператора предоставить субъекту персональных данных информацию, указанную в ч. 7 ст. 14 Закона о персональных данных (см. комментарий к ней). Однако данная обязанность возникает только при наличии на то соответствующего волеизъявления со стороны субъекта персональных данных. В этой связи комментируемое положение мало что добавляет по существу к тому, что уже изложено в ст. 14 Закона о персональных данных.
3. Второй информационной обязанностью оператора при сборе персональных данных является разъяснение субъекту персональных данных последствий отказа от предоставления таких данных. Эта обязанность способствует обеспечению возможности принятия субъектом информированного решения о предоставлении своих данных. Одним из возможных последствий отказа от предоставления персональных данных является отказ оператора от совершения ожидаемого от него действия, которое не может быть осуществлено в отсутствие таких данных, либо в силу существа отношений, либо в силу закона (предоставление услуги, доступ в определенное помещение или транспортное средство, возможность въезда в страну и т.п.). При этом оператор не должен использовать указанную обязанность для "вымогательства" персональных данных у их субъекта и свой отказ - как повод для получения "избыточных" данных, поскольку общие принципы обработки данных, перечисленные в ст. 5 Закона о персональных данных, в том числе принцип минимизации данных, подлежат применению в полном объеме.
4. В соответствии с ч. 3 комментируемой статьи оператор персональных данных, который получил их не от самого субъекта, обязан предоставить последнему содержащуюся в них информацию, в частности идентифицировать себя, пользователей данных, источник получения данных и цели обработки этих данных. Возложение такой обязанности на оператора имеет своей целью обеспечение еще большей прозрачности процессов перехода персональных данных от одного оператора к другому. В идеале ее выполнение может позволить субъекту персональных данных отследить факт нарушения первоначальным оператором условий данного ему согласия на обработку персональных данных или факт их обработки новым оператором без достаточных оснований.
Первое, что необходимо в этой связи отметить, это что данная обязанность не касается случаев "сбора" данных (вопреки названию комментируемой статьи). Она возникает лишь при получении персональных данных из других источников, в частности от другого оператора. Второе - это то, что в отличие от информационной обязанности оператора по предоставлению информации субъекту при сборе данных (ч. 1 настоящей статьи) в рассматриваемом случае закон не обязывает субъекта требовать предоставления ему такой информации, предполагается безусловная обязанность ее выполнения оператором. Третье - это то, что ч. 4 комментируемой статьи устанавливает широкий круг исключений из данной обязанности. С учетом таких исключений можно сделать вывод, что обязанность оператора по информированию субъекта при получении его данных из иных источников возникает в следующих случаях:
1) если первоначальная обработка была осуществлена с согласия субъекта, но при этом такое согласие не предполагало право первоначального оператора на передачу данных другому оператору;
2) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона о персональных данных).
В остальных случаях обработка персональных данных будет, вероятнее всего, укладываться в тот перечень исключений, который дан в ч. 4 комментируемой статьи (особенно учитывая ее обширную формулировку о получении оператором персональных данных в соответствии с федеральным законом), которая охватывает большую часть оснований для обработки персональных данных без согласия субъекта, указанных в ч. 1 ст. 6, ч. 2 ст. 10, ст. 11 Закона о персональных данных.
5. Часть 5 комментируемой статьи закрепила обязанность оператора обеспечивать локализацию отдельных процессов обработки персональных данных, собираемых у российских граждан. Положения этой части вступили в силу 1 сентября 2015 г. и не имеют аналогов в зарубежных правопорядках, в связи с чем вопросы их толкования и соотношения с положениями о трансграничной передаче данных приобретают особую актуальность. Немаловажную роль в этом играет и возможность блокировки онлайн-ресурса оператора, который обрабатывает персональные данные граждан Российской Федерации с нарушением требований локализации в соответствии с положениями ст. 15.5 Закона об информации <1>. Далее будут рассмотрены основные моменты, на которые следует обратить внимание.
--------------------------------
<1> См. подробнее: Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации" (постатейный). М.: Статут, 2015.

Обязанное лицо. Обязанность по локализации возникает лишь у оператора. Лица, осуществляющие обработку персональных данных по поручению оператора, например провайдеры "облачных" сервисов или организации, осуществляющие расчет заработной платы, не являются субъектами данной обязанности. Однако если оператор посредством их будет осуществлять деятельность по сбору персональных данных российских граждан, то именно оператор будет нести ответственность за это. Если оператор является иностранным лицом и не имеет физического присутствия на территории Российской Федерации, то обязанность по локализации на него распространяется в случае осуществления деятельности, направленной на территорию Российской Федерации (см. комментарий к ст. 1 Закона о персональных данных).
Понятие сбора данных. Обязанность по локализации возникает лишь в связи со сбором персональных данных, т.е. при получении их непосредственно от субъекта. Например, когда такой субъект, регистрируясь на онлайн-ресурсе оператора или используя его мобильное приложение, вводит свои персональные данные. Другим примером сбора персональных данных являются случаи, когда работник компании вводит какие-либо свои персональные данные в информационные системы работодателя. Получение оператором персональных данных от иных источников, например от работодателя субъекта, для целей их обработки в рамках совместного проекта не является сбором, и такие данные не требуется локализовывать.
О понятии базы данных см. комментарий к ст. 3 настоящего Закона.
Определение гражданства субъекта персональных данных. Для определения сферы применения положения ч. 5 комментируемой статьи необходимо решить вопрос о том, как определять гражданство субъекта персональных данных. Очевидно, что в подавляющем большинстве случаев определить гражданство такого субъекта при взаимодействии с ним в сети Интернет со 100%-ной достоверностью нельзя. Даже если лицо представит сканированную копию своего паспорта, нет никаких гарантий того, что это именно его паспорт. Поэтому здесь неизбежно предоставление оператору определенной степени усмотрения и использования презумпций. Согласно разъяснениям Минкомсвязи России, поскольку вопрос о порядке определения гражданства субъектов персональных данных не урегулирован на нормативном уровне, законодатель предоставил возможность оператору персональных данных самостоятельно решать этот вопрос исходя из специфики его деятельности. Если же данный вопрос не был решен оператором самостоятельно, то возможно применение ч. 5 комментируемой статьи ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации. Аналогичной позиции придерживается и Роскомнадзор <1>. Таким образом, оператор может имплементировать различные способы определения гражданства, например, предусмотреть в форме регистрации пользователя специальное поле гражданства и при указании гражданства Российской Федерации осуществлять переадресацию на локальный сервер, где будут храниться и обрабатываться такие регистрационные данные. Другой вариант - создать локализованную версию такого онлайн-ресурса и с ее помощью хранить и обрабатывать персональные данные всех пользователей, которые на нем регистрируются, исходя из презумпции, что в основной массе это будут именно граждане Российской Федерации. В принципе, не исключена возможность использования технологий геолокации и идентификации статуса пользователя по IP-адресу или номеру мобильного телефона. В таком случае их принадлежность российскому оператору связи будет представлять собой презумпцию их использования российским гражданином.
--------------------------------
<1> Письмо-разъяснение заместителя Роскомнадзора А.А. Приезжевой в ответ на запрос члена Совета Федерации РФ Л.Н. Боковой от 19 января 2015 г. N 08АП-3572.

Способы обработки, подлежащие локализации. Комментируемая статья содержит исчерпывающий перечень способов обработки, которые подпадают под требование локализации. В него входят:
- запись. Под записью понимается процесс преобразования сигналов информации в пространственное изменение физических характеристик или формы носителя записи с целью сохранения и последующего воспроизведения записанной информации <1>. В контексте автоматизированной обработки под записью можно понимать процесс внесения данных в память компьютерного устройства;
--------------------------------
<1> Межгосударственный стандарт "Запись и воспроизведение информации. Термины и определения". ГОСТ 13699-91.

- систематизация. Под систематизацией понимается процедура объединения, сведения групп однородных по неким признакам единиц (параметрам, критериям) к определенному иерархическому единству в функциональных целях на основе существующих между ними связей и (или) взаимодополняющих связей с внешним миром <1>. Поскольку требование локализации предполагает использование баз данных для обработки персональных данных, а признак систематизации является неотъемлемым атрибутом любой базы данных, то внесение персональных данных в определенную базу данных всегда будет означать их обработку посредством систематизации;
--------------------------------
<1> Садовский В.Н. Проблемы философского обоснования системных исследований // Системные исследования: методологические проблемы. М., 1984. С. 32.

- накопление. В литературе отмечается, что суть процесса накопления данных состоит в "создании, хранении и поддержании в актуальном состоянии информационного фонда, необходимого для выполнения функциональных задач той системы управления, для которой работает рассматриваемая ИТ" <1>. При этом все данные имеют свой жизненный цикл существования, который отображается во всех процедурах алгоритма процесса накопления - хранении, актуализации и извлечении данных;
--------------------------------
<1> Барановская Т.П., Лойко В.И. и др. Информационные системы и технологии в экономике: Учебник / Под ред. В.И. Лойко. 2-е изд., доп. и перераб. М.: Финансы и статистика, 2005. С. 156 - 157.

- хранение. Данный процесс подразумевает поддержание данных в неизменном состоянии после их сохранения, обеспечивающее возможность их последующего считывания в произвольный момент времени <1>;
--------------------------------
<1> См. п. 7.2.13 ГОСТа Р 52292-2004 "Информационная технология (ИТ). Электронный обмен информацией. Термины и определения".

- уточнение (обновление, изменение). Данные действия, как следует из положений ч. 1 ст. 14 Закона о персональных данных, предполагают исправление какого-либо дефекта в существующих данных, например их неполноты или неточности и т.п. Такое толкование также следует из факта существования специального правового режима в отношении их, в частности возможности их блокирования (см. комментарий к ст. 21 настоящего Закона). Важно подчеркнуть, что осуществление данных способов обработки не приводит к появлению новых данных, происходит видоизменение уже существующих;
- извлечение. Под таковым в технической среде понимается совокупность алгоритмов и компьютерных методов обработки информации, используемых для выборки данных из специальных хранилищ или баз данных <1>.
--------------------------------
<1> https://goo.gl/BkY9uJ

Таким образом, все перечисленные способы обработки персональных данных связаны между собой. Как отмечают представители Роскомнадзора, они "представляют собой единый процесс формирования и поддержания базы данных в актуальном состоянии". В концентрированном виде их суть можно свести к тому, что "формирование и актуализация баз персональных данных российских граждан должны осуществляться на территории России" <1>.
--------------------------------
<1> См.: Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях". С. 11 - 12.

Как видно из вышеприведенного перечня, далеко не все способы обработки требуют локализации. Использование данных, под которым можно понимать извлечение из них полезных свойств, в том числе посредством принятия на основе их каких-либо решений или создания на основе их новой информации, не охватывается требованием локализации. Например, расчет зарплаты конкретного работника, осуществляемый на основании данных о его норме выработки за конкретный период времени, о его личности и прочих релевантных сведений, приводит к созданию нового вида персональных данных - сведений о размере зарплаты сотрудника за конкретный период времени, в связи с чем представляет собой такой способ обработки исходных данных, как их использование. Удаленный доступ к персональным данным также не упомянут в перечне ч. 5 комментируемой статьи, в связи с чем не требует локализации.
Соотношение локализации и трансграничной передачи данных. Положение ч. 5 комментируемой статьи, равно как и положения Федерального закона от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях", не затронуло положений ст. 12 Закона о персональных данных и не ограничило возможность трансграничной передачи персональных данных. Однако, как указывает Минкомсвязи России, их необходимо применять в системном единстве. Это означает, что "персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней ("первичная база данных"), могут далее передаваться в базы данных, расположенные за пределами России ("вторичные базы данных"), администрируемые иными лицами" <1>. При этом представители Роскомнадзора уточняют, что обновление данных во всех случаях должно осуществляться в базе данных, расположенной на территории России, однако при необходимости обновленные данные могут быть впоследствии переданы на территорию иностранного государства <2>.
--------------------------------
<1> http://minsvyaz.ru/ru/personaldata/
<2> См.: Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях". С. 12.

Таким образом, собираемые оператором персональные данные российских пользователей должны в обязательном порядке сначала "осесть" на территории России, и лишь после этого они могут быть переданы иностранному лицу (оператору, обработчику) с соблюдением положений ст. 12 Закона о персональных данных. Закон тем самым предусматривает последовательное движение персональных данных от их субъекта к оператору с их фиксацией на территории России. В этой связи, как отмечают представители Роскомнадзора, параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся на территории иностранного государства, не соответствует требованиям закона <1>. Аналогичным образом не будет соответствовать закону первичный ввод данных в базу данных, расположенную на территории иностранного государства, с последующей репликацией таких данных в базе данных на территории России. Важно подчеркнуть, что, как только персональные данные попали к иностранному оператору с соблюдением положений указанной статьи настоящего Закона о трансграничной передаче данных, дальнейшая их обработка осуществляется иностранным оператором в соответствии с законодательством о персональных данных страны его местонахождения.
--------------------------------
<1> Там же.

Исключения из требования локализации. Закон устанавливает лишь четыре основания, при наличии которых оператор освобождается от выполнения требований локализации соответствующих процессов обработки собранных у российских граждан данных. Такое освобождение происходит, если обработка данных осуществляется:
1) для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
2) в целях отправления правосудия, исполнения судебного акта;
3) для исполнения полномочий государственными и муниципальными органами;
4) в целях ведения профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности.
Согласие субъекта персональных данных на обработку его данных за рубежом, наличие договорных или преддоговорных отношений между оператором и субъектом не имеют значения для целей освобождения оператора от исполнения обязанности по локализации. Из этого можно сделать вывод о том, что данная обязанность носит публично-правовой характер и преследует иные цели, нежели защита неприкосновенности частной жизни. В противном случае сложно объяснить отсутствие дополнительных ограничений на трансграничную передачу данных, в результате которой персональные данные все равно могут оказаться на территории государств, осуществляющих массовые программы слежки или не обеспечивающих адекватный уровень защиты персональных данных <1>.
--------------------------------
<1> См. анализ целей имплементации требований о локализации в статье: Savelyev Alexander. Russia's New Personal Data Localization Regulations: A Step Forward or a Selfimposed Sanction? // Computer Law & Security Review. Vol. 32/1/2016. P. 128 - 145.

Безымянная страница

Юридическая литература:
- Юридическая помощь: вопросы и ответы
- Трудовое право России: Учебник
- Наследственное право
- Юридический справочник застройщика
- Гражданское право: Учебник : Том 1
- Единый налог на вмененный доход: практика применения
- Защита прав потребителей жилищно-коммунальных услуг: как отстоять свое право на комфортное проживание в многоквартирном доме
- Транспортные преступления: понятие, виды, характеристика: Монография
- Бюджетное право: Учебник
- Страхование для граждан: ОСАГО, каско, ипотека
- Договор трансграничного займа: право и практика
- Судебный конституционный нормоконтроль: осмысление российского опыта: Монография
- Несостоятельность (банкротство) юридических и физических лиц: Учебное пособие
- Оценочная деятельность в арбитражном и гражданском процессе
- Административное судопроизводство
- Деликтные обязательства и деликтная ответственность в английском, немецком и французском праве
- Гражданское право том 1
- Гражданское право том 2
- Защита интеллектуальных прав
- Право интеллектуальной собственности
- Земельное право
- Налоговое право
- Конституционно-правовые основы антикоррупционных реформ в России и за рубежом
- Семейное право
- Конституционное право Российской Федерации
Rambler's Top100
На правах рекламы:

Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!