Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Шрифт:
Государство заинтересовано в сборе и обработке персональных данных с целью обеспечения реализации своих публичных функций, в том числе обеспечения безопасности своих граждан и национального суверенитета. Указанными целями продиктованы такие положения Закона о персональных данных, как, например, положение о возможности обработки специальных («чувствительных») категорий данных без согласия субъекта, если такая обработка осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, об оперативно-розыскной деятельности (п. 7 ч. 2 ст. 10). Во многом именно соображениями национальной безопасности можно объяснить введение обязанности операторов по локализации отдельных процессов обработки персональных данных российских граждан (ч. 5 ст. 18 Закона о персональных данных).
Коммерческий сектор заинтересован в сборе и обработке персональных данных с целью создания новых бизнес-моделей,
31
Как отметил Майкл Кирби, глава рабочей группы по разработке Руководящих принципов ОЭСР, «существует опасение, что национальное законодательство о защите неприкосновенности частной жизни будет на самом деле использоваться для целей экономического протекционизма» (Kirby M. Legal Aspects of Transborder Data Flows // International Computer Law Adviser. 1991. No. 5. P. 4 ff.
Таким образом, законодательство о персональных данных не только направлено на защиту неприкосновенности частной жизни физических лиц, оно также имеет важные экономические, социальные и политические функции, в связи с чем должно учитывать права и законные интересы всех участников отношений и обеспечивать баланс между ними.
Данное обстоятельство подчеркивается в ряде международных документов. Так, например, в Руководящих принципах ОЭСР указано на необходимость нахождения баланса между противоречивыми интересами – защитой неприкосновенности частной жизни, с одной стороны, и уважением права на свободный обмен информацией, с другой стороны, – для полномасштабного использования потенциала современных технологий обработки данных в той мере, в которой это представляется желательным 32 . При этом ОЭСР прямо признает, что «существует внутренний конфликт между защитой персональных данных и свободным обменом этими данными… интересы, связанные с защитой неприкосновенности частной жизни, может быть трудно отделить от прочих интересов, относящихся к торговле, культуре, национальному суверенитету и пр.» 33 .
32
Explanatory Memorandum to OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 1980. § 3. URL: https://goo.gl/bAksLQ
33
Ibid. § 11 (h).
Директива 1995 г. прямо называет в числе своих целей не только защиту права на неприкосновенность частной жизни, но и обеспечение свободного движения данных. Именно соображениями необходимости гармонизации законодательств стран - членов ЕС в области защиты персональных данных для целей построения единого европейского рынка и было во многом обусловлено ее принятие 34 . Аналогичные соображения лежали и в основе принятия Регламента 2016 г., направленного не на гармонизацию, а на унификацию законодательства в указанной сфере. Это лишний раз подтверждает тот факт, что законодательство о персональных данных нельзя рассматривать в отрыве от экономической составляющей, которая присутствовала с самого момента его становления. Как указал Европейский Суд Справедливости, «право на защиту персональных данных не является абсолютным правом и должно рассматриваться в контексте выполняемых им функций в обществе» 35 .
34
Orla Lynskey. The Foundations of EU Data Protection Law. 2015. Oxford University Press. P. 47 ff. При этом подготовительные материалы свидетельствуют о намерении Европейской Комиссии использовать данное законодательство для стимулирования развития европейской IT-индустрии. См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press. 2014. P. 125.
35
Volker und Markus Schecke GbR and Hartmut Eifert v. Land Hessen. ECJ, Joined Cases C-92/09 and C-93/09. 9 November 2010.
7.
Реализуя одну из своих основных целей – защиту права на неприкосновенность частной жизни, личную и семейную тайну, – законодательство о защите персональных данных имеет своей задачей минимизацию ряда рисков, связанных с ненадлежащей и (или) недобросовестной обработкой персональных данных, как то:1) дискриминация субъекта персональных данных;
2) мошенничество («кража личности» - identity theft);
3) причинение вреда жизни и здоровью субъекта персональных данных в результате получения злоумышленниками данных о его местонахождении, иной информации, которая может способствовать совершению насильственных действий в отношении данного лица;
4) моральный дискомфорт, который возникает от ощущения постоянной «слежки» и является причиной самоцензуры лица.
При этом для применимости законодательства о персональных данных не требуется, чтобы данные последствия фактически наступили, достаточно лишь гипотетической возможности их наступления. Средствами решения указанных задач являются принципы обработки персональных данных (в частности принципы минимизации обрабатываемых данных, ограничения процессов обработки заявленной целью, недопустимости совместной обработки данных, собранных с несовместимыми целями, и пр.; см. об этом ст. 5 Закона о персональных данных и комментарий к ней); нормы о запрете на принятие юридически значимых решений в отношении субъектов персональных данных исключительно автоматизированными способами (ст. 16); возложение на операторов обязанностей по принятию организационных и технических мер по защите персональных данных (ст. 19) и ряд других.
Статья 3. Основные понятия, используемые в настоящем федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных– действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1. Понятие персональных данных. Понятие персональных данных является наиболее фундаментальным для всего законодательства в указанной сфере, поскольку именно квалификация информации в качестве персональных данных выступает своего рода «спусковым механизмом», приводящим его в действие.