Что немцу хорошо, то русскому смерть. Изменения в 152-ФЗ.

Что немцу хорошо, то русскому смерть. Изменения в 152-ФЗ.

    Выложен очередной законопроект по изменению многострадального 152-ФЗ.  Разработан Минкомсвязью. 
    Из пояснительной записки следует, что «Законопроект направлен на создание благоприятных условий и новых возможностей для использования и обращения информации (данных) в интересах потребителей, бизнеса, общества и государства в целом. При этом ключевым условием их реализации является обеспечение достаточных правовых и иных механизмов защиты прав и свобод субъектов персональных данных, активно участвующих в экономических отношениях, в которых могут применяться персональные данные.» 
    После прочтения текста законопроекта испытываешь чувство полной безысходности и ужаса.
Ну как так можно писать законы? Не получится перенести "калькой" законодательство Евросоюза на российское законодательство.
name='more'> Кратко:
1. До сих пор понять не можем, что такое персональные данные и какая информация к ним относится, так теперь еще две сущности добавляют, такие же туманные и неопределенные.
2. Изменения в закон ничего не дадут. Слишком широко и не определенно заданы формулировки.
3. Авторы изменений не читали в 152-ФЗ Статью 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
и не в курсе существования 149-ФЗ
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящий Федеральный закон регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;

3) обеспечении защиты информации.
   Ни действия с обезличенными данными, ни с "иной информацией,с использованием которой становится возможно определить принадлежность обезличенных персональных данных к конкретному субъекту персональных данных" не входит  в сферу регулирования 152-ФЗ, так как это не обработка ПДн.
4. Субъект ПДн - это физическое лицо, а авторы законопроекта предлагают присвоить человеку идентификатор! Тот же пресловутый СНИЛС не идентификатор человека, а идентификатор сведений о человеке в системе учета или идентификатор сведений о физическом лице при оказании госуслуг.
5. Непонятно как законопроект защищает права субъекта ПДн в экономических отношениях, если его согласие на обезличивание оператором ПДн и их дальнейшее использование оператором и третьими лицами в предпринимательской деятельности  не требуется? Это защита бизнеса получается, а не субъекта. В действующей редакции 152-ФЗ уже указано, что "Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе."

  Начнем с терминов.
  «обезличенные персональные данныеинформация, которая в результате обезличивания персональных данных не позволяет без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных»
  Любой дополнительной информации? Кому не позволяет? Что значит принадлежность конкретному субъекту? Это касается только информации, на которые оформлены субъектом авторские права? Или речь исключительно про биометрические ПДн (без установления личности по этим ОПДн невозможно отнести их к конкретному субъекту ПДн и только они принадлежат от природы субъекту ПДн)?
«обезличенные данные - информация, которая в результате обезличивания не позволяет даже при использовании дополнительной информации определить ее принадлежность конкретному субъекту персональных данных»
  Обезличивание чего? Что значит «даже»? Это школьное сочинение что ли? Причем здесь вообще 152-ФЗ, если это информация, которую невозможно вообще отнести к персональным данным. Для этого есть 149-ФЗ. А обратимость должна обеспечиваться?
   Нелогичные формулировки.
   Почему «Обработка обезличенных персональных данных осуществляется в соответствии с законодательством Российской Федерации в области персональных данных.»? Это обычная информация, зачем дублировать другие законы?
    И ничего не мешает оператору передать ОПДн одной организации, а «иную информацию» другой. А тем организациям потом обменяться данными. Ведь «иная информация» не относится к ПДн и на ее передачу никаких согласий субъекта ПДн не требуется. Это вообще не его информация, а оператора. «2. Не допускается передача оператором третьему лицу в дополнение к обезличенным персональным данным иной информации, с использованием которой становится возможно определить принадлежность обезличенных персональных данных к конкретному субъекту персональных данных
     Браво, у нас теперь в 152-ФЗ не только сущности «субъект» и «оператор», но и еще две появились -"третья сторона, которая обрабатывает обезличенные персональные данные" и "третья сторона, которая обрабатывает обезличенные данные".  А какое отношения эти третьи лица имеют к 152-ФЗ? Они не субъект ПДн и не оператор ПДн.
     И зачем тогда «Требования и методы обезличивания, обеспечивающие невозможность отнесения информации к конкретному субъекту персональных данных, устанавливаются Правительством Российской Федерации.», что РКН мешает их установить? Так же как для «обезличивания персональных данных».
«или подтвержденное любым способом, позволяющим достоверно определить субъекта персональных данных и установить его волеизъявление.» Такие способы необходимо определять централизовано. 

«или иной идентификатор субъекта персональных данных, позволяющий установить лицо, выдавшее согласие, в том числе установленный соглашением сторон» Какой такой идентификатор человека вы в закон прописали? Вы хоть посмотрите как грамотные люди пишут про идентификаторы . Религиозные организации просто порвут за такое.

Изменения, вносимые в Федеральный закон от 27 июля 2006 г. № 152-ФЗ

«О персональных данных»:

Действующая редакция,
синим удалено
Предлагается проектом,
красным добавлено
1.       
Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:
новый пункт 9.1

новый пункт 9.2
Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:
9.1) обезличенные персональные данныеинформация, которая в результате обезличивания персональных данных не позволяет без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;»;

9.2) обезличенные данные - информация, которая в результате обезличивания не позволяет даже при использовании дополнительной информации определить ее принадлежность конкретному субъекту персональных данных;
2.       
Статья 5. Принципы обработки персональных данных
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Статья 5. Принципы обработки персональных данных
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, когда на осуществление такой обработки получено согласие субъекта персональных данных.
3.       
Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;



новый пункт 7.1




9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

новый пункт 12
Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе для предотвращения имущественного ущерба, предупреждения и предотвращения противоправных деяний, а также в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7.1) обработка персональных данных необходима для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических исследовательских и (или) аналитических целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
12) осуществляется обработка персональных данных, полученных оператором на законных основаниях, в целях получения обезличенных данных.
4.       
новая статья 8.1
Статья 8.1. Обезличенные персональные данные и обезличенные данные

1. Обезличивание персональных данных, в том числе в целях их последующей передачи третьим лицам, осуществляется с согласия субъекта персональных данных, за исключением случаев, установленных пунктом 9 части 1 статьи 6 настоящего Федерального закона или иных случаях, установленных федеральными законами, предусматривающими обезличивание персональных данных, в том числе в целях их последующей передачи третьим лицам.

Требования и методы обезличивания персональных данных устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

Обработка обезличенных персональных данных осуществляется в соответствии с законодательством Российской Федерации в области персональных данных.

Если при обработке обезличенных персональных данных оператором  осуществляются действия, в результате которых обезличенные персональные данные принимают вид, позволяющий определить их принадлежность к конкретному субъекту персональных данных, указанные действия, а также обработка такой информации осуществляется с согласия субъекта персональных данных и(или) при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

2. Не допускается передача оператором третьему лицу в дополнение к обезличенным персональным данным иной информации, с использованием которой становится возможно определить принадлежность обезличенных персональных данных к конкретному субъекту персональных данных.

3. В случае передачи оператором третьему лицу обезличенных персональных данных, при условии соблюдения требований, установленных частью 2 настоящей статьи, полученные третьим лицом данные могут быть использованы свободно, в том числе в целях, связанных с осуществлением предпринимательской деятельности. Использование третьим лицом при обработке полученных обезличенных персональных данных иной информации, позволяющей определить их принадлежность к конкретному субъекту персональных данных, не допускается.

4. Действия по получению обезличенных данных, а также обработка обезличенных данных может осуществляться без согласия субъекта персональных данных. Обезличенные данные могут быть использованы свободно, в том числе в целях, связанных с осуществлением предпринимательской деятельности.

Требования и методы обезличивания, обеспечивающие невозможность отнесения информации к конкретному субъекту персональных данных, устанавливаются Правительством Российской Федерации.
5.       
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.








новая часть 1.1






2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.







3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:



1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;



4) цель обработки персональных данных;



6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;













8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

новая часть 9
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, в том числе электронной (путем направления короткого текстового сообщения по сети подвижной радиотелефонной связи, посредством электронной почты, путем заполнения формы на сайте оператора или лица, действующего по поручению оператора, иными способами), если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

1.1. Субъект персональных данных вправе потребовать от оператора внести изменения в согласие на обработку персональных данных в части состава целей, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных.

2. Субъект персональных данных вправе отказаться от дачи согласия на обработку персональных данных или отозвать ранее данное согласие на обработку персональных данных.

В случае отказа от дачи согласия на обработку персональных данных, внесения изменений в согласие или отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе осуществлять обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-12 части 1 статьи 6, части
2 статьи 10 и части 2 статьи 11 настоящего Федерального закона..

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 12 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие подписанное в соответствии с федеральным законом электронной подписью или подтвержденное любым способом, позволяющим достоверно определить субъекта персональных данных и установить его волеизъявление. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе или иной идентификатор субъекта персональных данных, позволяющий установить лицо, выдавшее согласие, в том числе установленный соглашением сторон;
4) цель (цели) обработки персональных данных. Если обработка персональных данных осуществляется в нескольких целях, согласие дается для всех указанных целей;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу, или, в случае дачи согласия в электронной форме, может включать адрес страницы сайта оператора в информационно-телекоммуникационной сети «Интернет», содержащей указанный перечень данных. В случае изменения сведений, указанных на странице сайта оператора в сети «Интернет», о лице, которому оператор поручил обработку персональных данных, оператор обязан проинформировать субъекта персональных данных об указанных изменениях в течение семи рабочих дней с момента внесения указанных изменений;
8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 12 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

9. Субъект персональных данных вправе принять решение о предоставлении либо об отказе в предоставлении оператору согласия на обработку ранее собранных и обрабатываемых оператором на законных основаниях персональных данных в иных целях.
6.       
Статья 18. Обязанности оператора при сборе персональных данных
новая часть 2.1











4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:
4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
Статья 18. Обязанности оператора при сборе персональных данных
2.1. В случаях, предусмотренных частью 1.1 статьи 9 настоящего Федерального закона, оператор обязан по требованию субъекта персональных данных внести изменения в согласие на обработку персональных данных, либо в течение семи рабочих дней с момента поступления указанного требования представить субъекту персональных данных мотивированный отказ в письменной форме, который может быть обжалован в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:
4) оператор осуществляет обработку персональных данных для статистических исследовательских и (или) аналитических целей при условии обязательного обезличивания персональных данных, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности