Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

Комментарий к статье 21

1. Комментируемая статья конкретизирует обязанности оператора, возникающие в связи с выявлением им фактов неправомерной обработки персональных данных или обработки неточных персональных данных. Данные факты могут быть обнаружены оператором самостоятельно либо в результате обращения/запроса субъекта персональных данных или Роскомнадзора. К сожалению, юридическая техника положений комментируемой статьи оставляет желать лучшего. Это проявляется как в нечеткости описания обстоятельств, в связи с которыми возникают соответствующие обязанности, так и в несогласованности положений данной статьи с нормами, содержащимися в ст. 5 Закона о персональных данных. Использование повторяющихся и громоздких формулировок также не добавляет ясности правовым нормам, содержащимся в настоящей статье.
2. Часть 1 комментируемой статьи предусматривает обязанность оператора осуществлять блокирование неправомерно обрабатываемых персональных данных на период проведения проверки соответствующих обстоятельств. В случае если обработка осуществляется привлеченным лицом, действующим по поручению оператора, последний должен принять меры по обеспечению блокирования, т.е. дать соответствующее указание обработчику. Поводом для проверки могут послужить: 1) личное обращение субъекта персональных данных или его представителя; 2) запрос субъекта персональных данных или его представителя; 3) запрос Роскомнадзора. Представляется, что нет никаких препятствий к тому, чтобы применять данные положения оператору и по собственной инициативе в случае возникновения соответствующих подозрений в ходе проведения внутренних проверок и аудитов.
Блокировка должна быть осуществлена непосредственно в момент обращения указанных лиц или получения от них запроса и должна действовать в течение периода проверки. При этом, как справедливо отмечается в литературе, блокирование допускается исключительно в отношении неправомерно обрабатываемых персональных данных субъекта. Из этого следует сделать вывод, что если лицо дало согласие на обработку определенных персональных данных (фамилии, имени, отчества), но не дало его в отношении других данных (номер телефона, изображение), то блокироваться будут не все персональные данные указанного лица, а лишь те, которые обрабатываются без соответствующих оснований <1>.
--------------------------------
<1> Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (постатейный). 2013 // "". Комментарий к ст. 21.

В случае если по результатам проверки будет подтвержден факт неправомерной обработки определенных персональных данных, оператор согласно ч. 3 комментируемой статьи обязан:
1) в течение трех рабочих дней обеспечить правомерность такой обработки, устранив тем самым обстоятельства, которые обусловливают неправомерный характер обработки. Например, получив соответствующее требованиям ст. 9 Закона о персональных данных согласие от субъекта или выполнив условия, указанные в ст. ст. 6, 10, 11 данного Закона, относительно оснований для обработки персональных данных в отсутствие согласия субъекта, либо
2) в течение 10 рабочих дней уничтожить неправомерно обрабатываемые персональные данные, либо
3) если удаление неправомерно обрабатываемых персональных данных в течение 10 рабочих дней невозможно, обеспечить дальнейшую блокировку неправомерно обрабатываемых данных и осуществить их последующее уничтожение в срок, не превышающий шести месяцев, если иное не установлено договором.
Следует отметить, что комментируемый Закон не предусматривает частичного уничтожения персональных данных оператором либо возможности их уничтожения в зависимости от вида носителя, на котором хранится такая информация. Поэтому не будет соответствовать требованиям данного Закона уничтожение персональных данных, допустим, только в некоторых электронных базах (например, содержащих список клиентов), но с сохранением их в других базах (Постановление Четвертого арбитражного апелляционного суда от 9 июля 2012 г. по делу N А10-125/2012).
Исходя из того, что послужило основанием для инициирования проверки (обращение/запрос субъекта или Роскомнадзора), оператор обязан уведомить соответствующее лицо о принятых мерах. При этом настоящий Закон не конкретизирует форму такого уведомления, в связи с чем оно, в принципе, может быть сделано и в устной форме, однако для целей обеспечения возможности подтверждения факта выполнения данной обязанности целесообразно делать это в письменной или электронной форме. Срок информирования данным Законом также не установлен. По мнению представителей Роскомнадзора, такой срок не должен превышать 30 календарных дней <1>.
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 124.

В случае если проведенная оператором проверка не подтвердила факт неправомерности обработки персональных данных, оператор прекращает блокирование таких данных. Формально Закон о персональных данных не требует уведомления субъекта и (или) Роскомнадзора об этом (из буквального толкования положений ч. 3 комментируемой статьи следует, что соответствующая обязанность касается лишь случаев "устранения допущенных нарушений" или "уничтожения персональных данных"), но представляется, что оператору целесообразно это сделать.
О понятии и порядке уничтожения и блокирования персональных данных см. комментарий к ст. 3 Закона о персональных данных.
3. В случае обнаружения оператором факта обработки неточных персональных данных он обязан осуществить блокирование этих данных и инициировать проверку таких обстоятельств. В случае если обработка осуществляется привлеченным лицом, действующим по поручению оператора, последний должен принять меры по обеспечению блокирования, т.е. дать соответствующее указание обработчику. В отличие от случаев проверки факта неправомерной обработки персональных данных, где требование об их блокировке на период проведения проверки является безусловным, в ситуации с проверкой факта обработки неточных персональных данных оператор осуществляет блокирование таких данных, только если это не нарушает права и законные интересы субъекта персональных данных или третьих лиц. Наличие обстоятельств, которые, по мнению оператора, могут свидетельствовать о возможном нарушении прав и законных интересов субъекта персональных данных или третьих лиц в результате блокировки потенциально неточных персональных данных на период проверки, должен доказывать оператор.
Поводами для проведения соответствующей проверки оператором выступают те же основания, что и для проверки фактов неправомерной обработки персональных данных: 1) обращение субъекта персональных данных или его представителя; 2) запрос субъекта персональных данных или его представителя; 3) запрос Роскомнадзора. Представляется, что нет никаких препятствий к тому, чтобы применять данные положения оператору и по собственной инициативе в случае возникновения соответствующих подозрений в ходе проведения внутренних проверок и аудитов.
В случае если по результатам проверки будет подтвержден факт обработки неточных персональных данных, оператор в соответствии с ч. 2 комментируемой статьи обязан: 1) уточнить указанные сведения и 2) снять блокировку.
Согласно ч. 2 комментируемой статьи указанные действия должны быть совершены в течение семи дней с момента получения сведений от субъекта персональных данных (его представителя) и (или) Роскомнадзора. Поскольку в подавляющем большинстве случаев такие сведения содержатся в обращении (запросе), исходящем от соответствующего лица, то фактически этот срок означает, что проверка и последующие действия в случае подтверждения указанных фактов должны быть совершены в течение семи рабочих дней. В отличие от случаев выявления фактов неправомерной обработки персональных данных по результатам проверки, в случае с неточными персональными данными оператор формально не обязан уведомлять субъекта персональных данных или иное лицо, инициировавшее запрос, о принятых мерах.
Закон не регламентирует действия оператора на случай, если проверка не подтвердила факт обработки неточных персональных данных. Представляется, что в таком случае оператор вправе снять блокировку и продолжить обрабатывать соответствующие данные в том же режиме, что и прежде. Однако, поскольку проверка проводилась оператором самостоятельно, он несет риск того, что ее результаты могут быть оспорены впоследствии в административном или судебном порядке.
4. Часть 4 комментируемой статьи посвящена порядку действий оператора на случай достижения цели обработки персональных данных. Общее правило состоит в том, что оператор обязан прекратить дальнейшую обработку и уничтожить соответствующие данные на всех носителях, на которых они содержатся. Это правило отличается от положений ч. 7 ст. 5 Закона о персональных данных, согласно которым обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки. В ч. 4 ст. 21 настоящего Закона не упоминается возможность обезличивания в качестве допустимой "опции", имеющейся у оператора. Представляется, что данная коллизия должна разрешаться в пользу положений ст. 5 этого Закона, поскольку принципы представляют собой правовые предписания, предопределяющие содержание конкретных норм, которые не должны вступать в противоречие с принципами.
Оператор имеет право продолжить обработку персональных данных, цели которой были достигнуты, в тех случаях, когда есть другая законная цель, в частности, когда дальнейшая обработка прямо предусмотрена законом. Например, банковская организация, несмотря на исполнение договора с клиентом, обязана продолжать хранить в течение не менее пяти лет сведения, необходимые для его идентификации, в соответствии с требованиями Федерального закона от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (ч. 4 ст. 7).
5. В ч. 4 комментируемой статьи устанавливается срок, в течение которого персональные данные должны быть уничтожены в случае достижения целей их обработки, - 30 календарных дней с такого момента.
Комментируемая статья допускает значительную степень диспозитивности при определении судьбы персональных данных, цель обработки которых была достигнута. В соглашении оператора и субъекта персональных данных, в том числе инкорпорированном в гражданско-правовой договор, стороной/выгодоприобретателем/поручителем по которому является субъект, могут определяться иные последствия достижения целей обработки и иные сроки уничтожения персональных данных. Однако такое условие может быть оспорено как обременительное в порядке ст. 428 ГК РФ или как нарушающее права потребителей (ст. 16 Закона о защите прав потребителей).
6. Часть 5 комментируемой статьи регламентирует последствия отзыва субъектом персональных данных своего согласия на их обработку. Данные положения развивают норму ч. 2 ст. 9 Закона о персональных данных, предусматривающую право субъекта персональных данных на отзыв ранее данного согласия на их обработку и обязанность оператора прекратить дальнейшую обработку таких данных, за исключением случаев, когда оператор может воспользоваться одним из оснований для обработки персональных данных в отсутствие согласия их субъекта. Часть 5 ст. 21 настоящего Закона регламентирует срок исполнения данной обязанности, который по общему правилу составляет 30 календарных дней с момента получения отзыва оператором. Иной срок может быть установлен в договоре, где субъект персональных данных выступает в качестве стороны, выгодоприобретателя или поручителя. При этом следует иметь в виду, что установление чрезмерно больших сроков, использование мелкого шрифта или иных недобросовестных приемов может являться нарушением законодательства о защите прав потребителей (Постановление Восемнадцатого арбитражного апелляционного суда от 14 января 2013 г. N 18АП-12864/2012 по делу N А47-8831/2012).
Кроме того, комментируемое положение предусматривает, что иной срок может быть установлен в "ином соглашении между оператором и субъектом персональных данных". В этой связи возникает вопрос о том, как соотносятся данное соглашение и ранее упомянутый договор, где субъект персональных данных выступает в качестве стороны/выгодоприобретателя/поручителя. Согласно ст. 420 ГК РФ договором признается соглашение двух или нескольких лиц об установлении, изменении или прекращении гражданских прав и обязанностей. Таким образом, договор является разновидностью соглашения. Если исходить из того, что договором можно признать только такое соглашение, которое порождает гражданские права и обязанности, то соглашения, порождающие иные с точки зрения правовой природы права и обязанности, не будут охватываться понятием "договор", но будут признаваться соглашениями. В таком случае вопрос о соотношении понятий "договор" и "соглашение" будет зависеть от решения вопроса об отраслевой принадлежности положений законодательства о персональных данных, который заслуживает отдельного исследования.
Другим вариантом толкования рассматриваемого положения является признание наличия в данном случае "огреха" в юридической технике, отражающего стремление предусмотреть "все возможные случаи", не заботясь об их возможном соотношении. Учитывая, что вопрос об отраслевой принадлежности законодательства о персональных данных, судя по полному молчанию самого Закона о персональных данных, не особо заботит законодателя, вывод о причинах появления соответствующих положений в ч. 5 комментируемой статьи каждый может сделать сам.
Следует отметить, что положения ч. 2 ст. 15 настоящего Закона, предусматривающие обязанность оператора незамедлительно прекратить обработку персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации по поступлении отзыва согласия от субъекта, носят специальный характер по отношению к комментируемой норме и подлежат приоритетному применению.
Продолжение оператором обработки персональных данных в отсутствие на то законных оснований после получения от субъекта отзыва согласия на их обработку представляет собой достаточно часто выявляемое Роскомнадзором нарушение законодательства о персональных данных.

Безымянная страница

Rambler's Top100
На правах рекламы:
Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!