Александр Савельев – Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» (страница 1)
Савельев А.И.
Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Список сокращений
Введение
Законодательство о персональных данных и практика его применения в Российской Федерации претерпели значительную эволюцию за последние годы. То, что ранее не вызывало особого интереса у большей части участников оборота и воспринималось ими как очередная бюрократическая формальность, сейчас превратилось в одно из наиболее обсуждаемых на самых различных площадках и самом высоком государственном уровне направлений развития законодательства. Во многом это связано с общим курсом государства на обеспечение цифрового суверенитета, в рамках которого регулирование оборота информации приобретает ключевое значение. Одним из проявлений данного курса стали нашумевшие поправки о локализации отдельных процессов обработки персональных данных российских граждан. Данные поправки спровоцировали не только шквал дискуссий и различных интерпретаций, но и необходимость переосмысления базового терминологического аппарата законодательства в контексте новых технологических реалий: понятия персональных данных, понятия оператора и лица, осуществляющего обработку персональных данных по его поручению, трансграничной передачи данных, обезличенных данных и т.п. Кроме того, особую актуальность приобрели вопросы обеспечения электронного взаимодействия оператора и субъекта персональных данных, в частности, при получении согласия на обработку таких данных, предоставлении необходимой информации о порядке ее обработки и т.п.
В связи с вышеизложенным при подготовке данного комментария были учтены не только судебная практика по вопросам применения законодательства о персональных данных, но и общедоступные разъяснения Минкомсвязи России и Роскомнадзора. При этом особое внимание уделяется определению сферы применения законодательства о персональных данных, в том числе в сети «Интернет», а также существующим интерпретациям ключевых дефиниций законодательства о персональных данных, сфере применения предусмотренных законом оснований для обработки персональных данных различных категорий и обязанностям, возлагаемым на оператора. Кроме того, в комментарии учтены недавние изменения в КоАП РФ, касающиеся увеличения ответственности операторов за нарушение законодательства о персональных данных, а также положения соответствующих нормативных-правовых актов, регламентирующих порядок осуществления контрольно-надзорной деятельности в сфере законодательства о персональных данных.
При этом следует отметить, что законодательство о персональных данных развивается не только в России, но и в Европе, где совсем недавно был принят новый Общеевропейский регламент по защите персональных данных (
В ходе данной реформы было затронуто множество вопросов, связанных с вызовами, которые бросают новые технологии защите частной жизни граждан: распространение персональных данных в сети «Интернет» социальными сетями, использование инструментов аналитики «больших данных» и профайлинга, трансграничный характер обработки персональных данных при использовании «облачных» сервисов, информационная «перегруженность» потребителей и пр. Существует достаточно большой пласт решений Европейского Суда Справедливости по вопросам применения отдельных положений законодательства о персональных данных, где многие из указанных проблем были предметом глубокого анализа. В этой связи европейский опыт может быть особенно полезным для России, учитывая не только общность проблем, но и общность законодательства, обусловленную общими корнями – положениями Конвенции Совета Европы 1981 г. № 108 «О защите физических лиц при автоматизированной обработке персональных данных». Европейское законодательство представляет интерес для российского читателя еще и потому, что оно носит экстерриториальный характер и распространяется на только на европейских операторов, но и на иностранных лиц, что особенно актуально, принимая во внимание трансграничный характер электронной коммерции.
В связи с вышеизложенным в настоящем комментарии осуществлено сравнение ряда положений российского законодательства с европейскими нормами: как с ныне действующими, так и с вступающими в силу в 2018 г. При этом в комментарии также приводятся и правовые позиции Европейского Суда Справедливости, которые, по мнению автора, могут быть применимы и в российских реалиях в силу сходства соответствующих правовых норм. Это позволяет обеспечить комплексный и сбалансированный подход к рассмотрению проблем применения законодательства о персональных данных в цифровой среде.
Автор выражает признательность коллегам по Консультативному Совету при Роскомнадзоре, в особенности ‒ заместителю руководителя Роскомнадзора Антонине Аркадьевне Приезжевой и начальнику Управления по защите прав субъектов персональных данных Юрию Евгеньевичу Контемирову, без которых этот комментарий вряд ли был бы написан. Особо хотелось бы поблагодарить и другого коллегу по Консультативному Совету ‒ доцента кафедры теории и истории государства и права СПбГУ Владислава Владимировича Архипова за ценные дискуссии и высказанное мнение по ряду вопросов, отраженных в данном комментарии.
Настоящий комментарий подготовлен в ходе проведения исследования в рамках Программы фундаментальных исследований Национального исследовательского университета «Высшая школа экономики» (НИУ ВШЭ) с использованием средств субсидии в рамках государственной поддержки ведущих университетов Российской Федерации «5-100». Высказанные в работе суждения являются личным мнением автора и могут не совпадать с официальной позицией компании
Глава 1. Общие положения
Статья 1. Сфера действия настоящего федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее – государственные органы), органами местного самоуправления, иными муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;