Что день грядущий нам готовит? Размышления над очередными поправками к закону «О персональных данных»
29/11/2022
Вот и ещё новые правки в закон «О персональных данных», большинство из которых вступили в силу с 1 сентября этого года. Это уже 28-е изменения за 13 лет существования этого закона. Много? Да, много, но это говорит лишь о том, что закон актуальный, необходимый, затрагивающий важнейшие для личности сущности.
Правда, на этот раз изменения не такие заметные, как в 2011 году, когда была уточнена сфера действия закона, основные понятия, принципы и условия обработки персональных данных, а также были существенно переработаны нормы, касающиеся трансграничной передачи ПДн, мер обеспечения их безопасности, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных. Но всё же и в новых правках многие из этих аспектов опять затрагиваются. Я не буду пересказывать все изменения, появившиеся в новой редакции: до меня уже многие эксперты об этом рассказали. Кому интересно — можно найти в Интернете (правда, осмысления этих поправок маловато будет). И всё же…
О САМОМ ГЛАВНОМ
Пробраться к сути сквозь казённый язык новелл закона непросто. Попробую своим языком, как я вижу, выделить главные новшества (см. Таблица). А кому интересно — может обратиться к тексту подлинника закона.
Таблица. Наиболее важные новшества в законе «О персональных данных» (ФЗ-266), вступившие в силу 1 сентября этого года.
Кроме того, уточняются некоторый дефиниции закона, но, на мой взгляд, это не так критично. Вместе с тем, думаю, самым главным, что может отразиться на операторах персональных данных, являются два момента: коренное изменение списка исключений, позволяющих обрабатывать персональные данные без уведомления Роскомнадзора, и полное изменение процедуры трансграничной передачи персональных данных.
Исключение из случаев обработки персональных данных без уведомления, обработки в соответствии с трудовым законодательством и в связи с заключением договора, стороной которого является субъект персональных данных, приведёт к тому, что любое юридическое лицо, от детского садика до государственной корпорации, будет обязано делать уведомление в Роскомнадзор. Всего в реестре ЕГРЮЛ числится около 3 миллионов юрлиц. А ещё есть индивидуальные предприниматели… С одной стороны, мы стремимся к цифровизации и обмену информацией между ведомствами, чтобы не заставлять людей собирать различные справки, которые есть в другом ведомстве, а с другой — закон практически определяет необходимость ведения реестра операторов персональных данных, который по своей сути дублирует ЕГРЮЛ. Оправдано ли это? Не знаю.
Изменение процедуры трансграничной передачи персональных данных, конечно, усиливает защиту интересов субъектов. Но, с другой стороны, обязывает оператора, во-первых, получать от зарубежных контрагентов информацию о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки, а также информацию о правовом регулировании в области персональных данных в чужом государстве. Кроме того, оператора обязывают, при запрете со стороны Роскомнадзора на трансграничную передачу, обеспечить уничтожение иностранным контрагентом ранее переданных им персональных данных. Интересно, как оператор со своими маломощными силами, да ещё в непростой международной обстановке сможет это сделать? Наверное, будем ждать разъяснений от Роскомнадзора, всё-таки до марта 2023 года время ещё есть.
ФЕДОТ, ДА НЕ ТОТ
А теперь не о самом законе, а о тех подзаконных актах, которые грядут с его вступлением в силу. В новой редакции статьи 18.1 введено новое и очень важное дополнение: оценка вреда субъекту персональных данных проводится оператором в соответствии с требованиями, установленными Роскомнадзором. Отрадно, что Роскомнадзор весьма оперативно опубликовал проект приказа «Об утверждении Требований к оценке вреда, который может быть причинён субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (невиданная оперативность, заслуживающая похвалы). Но вот внимательное знакомство с этим проектом наводит на размышления. Дело в том, что критерием оценки вреда в нём определяется нарушение процедуры обработки персональных данных, которая описана в законе.
Однако статья 2 закона определяет его целью обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. То есть вред субъекту от нарушения закона будет именно от нарушения его прав и свобод.
А что такое вред с юридической точки зрения? Гражданский кодекс РФ не содержит легального определения понятия вреда, но по смыслу ст. 1064 ГК РФ вред рассматривается как всякое умаление охраняемого законом материального или нематериального блага, любое неблагоприятное изменение в охраняемом законом благе, которое может быть имущественным или неимущественным (нематериальным) [1]. Одним из традиционных условий ответственности за причинение вреда является причинная связь между противоправным поведением и наступившим вредом. То есть противоправное поведение (читай нарушение процедуры обработки персональных данных) и вред — суть разные сущности. Противоправное поведение — это компетенция КоАП РФ или УК РФ, а вред — это то, что требует денежной компенсации (как материального, так и морального вреда). Тогда и оценивать вред надо именно с точки зрения возможной компенсации. Ну если с материальными потерями более или менее ясно (например, в результате утечки персональных данных была проведена незаконная сделка по продаже квартиры), то с моральным вредом сложнее.
Моральный вред, в частности, может заключаться [2] в нравственных переживаниях в связи с:
раскрытием семейной, врачебной тайны;
распространением не соответствующих действительности сведений, порочащих честь, достоинство или деловую репутацию гражданина;
временным ограничением или лишением каких-либо прав.
А если гражданину причинён моральный вред, на нарушителя может быть возложена обязанность денежной компенсации указанного вреда [3].
А какой вред может быть, например, от «несоблюдения оператором требований по представлению мотивированного ответа с отказом в представлении субъекту персональных данных или его законному представителю информации о наличии персональных данных о соответствующем субъекте» (так в проекте приказа Роскомнадзора) или «несоблюдение оператором требований по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных»? Да, процедура нарушена, наказать виновного, наверное, надо. Но к какому вреду это может привести и каков размер вреда, причинённого в результате таких действий? Разве это привело к раскрытию семейной тайны или распространению не соответствующих действительности сведений, порочащих честь, достоинство или деловую репутацию гражданина? Не надо путать причину и следствие. Так что, на мой взгляд, проект приказа Роскомнадзора требует существенной корректировки и изменения критериев оценки вреда. Будем надеяться, что Роскомнадзор это услышит.
[1] Определение Верховного Суда РФ от 27.01.2015 N 81-КГ14-19.
[2] Постановление Пленума Верховного Суда РФ от 20.12.1994 №10 (ред. от 06.02.2007).