Статья 12. Трансграничная передача персональных данных

We use cookies. Read the Privacy and Cookie Policy

Статья 12.

Трансграничная передача персональных данных

Комментарий к статье 12

1. Законопроект определяет принципы трансграничной передачи персональных данных. Эти принципы гармонизированы с основными международно-правовыми актами в области персональных данных, что позволит обеспечить соответствующий уровень защиты персональных данных и право на неприкосновенность частной жизни при передаче персональных данных в другие государства.

В комментируемой статье, устанавливающей принципы трансграничной передачи персональных данных, необходимо более четко определить цели и условия такой передачи. В частности, представляется уместным отдельно сформулировать основные принципы, запреты и ограничения в отношении трансграничной передачи персональных данных.

В принципе, для субъектов персональных данных не должно быть разницы в том, осуществляются ли операции по обработке данных в одной или нескольких странах. Должны

применяться одни и те же фундаментальные правила, и субъектам информации должны быть предоставлены одни и те же гарантии защиты их прав и интересов. Однако на практике защита лиц ослабевает, когда расширяются географические границы. Тенденции такого рода во многом обусловлены состоянием национальных телекоммуникационных систем и трансграничных сетей передачи данных, особенности правовой защиты конфиденциальной информации и правил работы с нею, потенциальными потерями части сведений вследствие расстояния, времени, языка.

Учитывая эту опасность, некоторые страны предусмотрели в своем внутреннем праве специальный контроль, например в форме лицензий на экспорт. Однако такой контроль может нарушать свободу международного обмена информацией, которая составляет фундаментальный принцип и для отдельных граждан, и для наций. Следовало найти формулу, которая обеспечила бы защиту данных на международном уровне, в то же время не ущемляя этот принцип.

2. Целью трансграничной передачи персональных данных выступает необходимость обеспечения на территории каждой из участвующих в передаче сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства, и в особенности его права на неприкосновенность личной сферы; оказания друг другу взаимной правовой помощи по гражданским, уголовным и семейным делам; оказания помощи любому лицу, проживающему за рубежом, в осуществлении правомочий, предусмотренных его национальным правом.

Законодатель декларирует, что обязательным условием осуществления трансграничной передачи персональных данных является предварительное получение оператором достоверных сведений о возможности адекватной защиты персональных данных как в момент их передачи, так и на территории принимающей стороны. При этом комментируемой статьей содержание понятия "адекватная защита" не раскрывается. В контексте рассматриваемого Закона под адекватной защитой следует понимать условия обработки персональных данных, существующие на территории принимающей стороны, по своему характеру и содержанию не отличающиеся от установленных национальным законодательством. Адекватность уровня защиты, предоставляемого страной-получателем, оценивается в свете всех обстоятельств, в которых производится операция или набор операций по передаче данных; особое внимание следует уделять природе данных, цели и продолжительности предполагаемых операций или операций по обработке данных, стране происхождения и стране окончательного назначения, действующим в соответствующей стране положениям закона, как общим, так и частным, а также профессиональным нормам и мерам безопасности, соблюдаемым в такой стране.

Оператор должен принимать разумные и должные меры к обеспечению того, чтобы международные обмены персональными данными, в том числе их транзит через территорию каждой страны, были непрерывными и безопасными. При передаче персональных данных по трансграничной информационной сети оператор, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе конфиденциальности (электронная цифровая подпись для подтверждения достоверности передаваемой информации, средства криптографии для сохранения конфиденциальности и т.п.). Во исполнение указанных целей предварительной проверке также подлежит и состояние сетей передачи на предмет соблюдения соответствующих технических и организационных мер к обеспечению безопасности передаваемой информации. В процессе трансграничной передачи персональных данных оператор должен учитывать возможные негативные последствия такой передачи.

По смыслу комментируемого Закона на возможность трансграничной передачи персональных данных не влияет факт наличия между участниками информационного обмена предварительно заключенных межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных. Следует подчеркнуть, что наличие межгосударственных договоров как одного из условий осуществления трансграничной передачи персональных данных между ее участниками также не предусматривается и в положениях общепринятых норм международного права, осуществляющего регулирование рассматриваемой области общественных отношений. Действующие международные конвенции также предусматривают возможность свободного распространения персональных данных между государствами при условии соблюдения требований их повышенной защиты не ниже тех, которые предусмотрены национальным законодательством.

Авторы рассматриваемого Закона устанавливают две группы оснований для наложения ограничений или установления запрета на трансграничную передачу персональных данных.

Первая из них традиционно обусловлена целями защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. По смыслу буквального толкования пункта второго настоящей статьи существующие ограничения и запреты распространяются на случаи трансграничной передачи персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (п.2 настоящей статьи).

Вторую законодатель связывает с отсутствием возможностей обеспечения адекватной защиты прав субъектов персональных данных на территории принимающей стороны. При этом, гармонизируя положения комментируемого Закона с нормами международного права, разработчики допускают возможность осуществления трансграничной передачи персональных данных в такого рода случаях при соблюдении одного из следующих условий:

1) наличия согласия в письменной форме субъекта персональных данных (см. п.4 ст.9 настоящего Закона и комментарий к ней);

2) предусмотренных международными договорами РФ по вопросам выдачи виз, а также международными договорами РФ об оказании правовой помощи по гражданским, семейным и уголовным делам. В настоящее время Россия является участницей более 300 такого рода договоров и соглашений. Оказание правовой помощи в рамках действующих международных соглашений обязывает договаривающиеся стороны к выполнению процессуальных и иных действий, предусмотренных законодательством запрашиваемой стороны, в том числе: составления и пересылки документов, проведения осмотров, обысков, изъятия, передачи вещественных доказательств, проведения экспертизы, допроса сторон, третьих лиц, подозреваемых, обвиняемых, потерпевших, свидетелей, экспертов, розыска лиц, осуществления уголовного преследования, выдачи лиц для привлечения их к уголовной ответственности или приведения приговора в исполнение, признания и исполнения судебных решений по гражданским делам, приговоров в части гражданского иска, исполнительных надписей, а также путем вручения документов. В поручении об оказании правовой помощи должны быть указаны:

а) наименование запрашиваемого учреждения;

б) наименование запрашивающего учреждения;

в) наименование дела, по которому запрашивается правовая помощь;

г) имена и фамилии сторон, свидетелей, подозреваемых, обвиняемых, подсудимых, осужденных или потерпевших, их местожительство и местопребывание, гражданство, занятие, а по уголовным делам также место и дата рождения и, по возможности, фамилии и имена родителей; для юридических лиц — их наименование, юридический адрес и/или местонахождение;

д) при наличии представителей лиц, их имена, фамилии и адреса;

е) содержание поручения, а также другие сведения, необходимые для его исполнения;

ж) по уголовным делам также описание и квалификация совершенного деяния и данные о размере ущерба, если он был причинен в результате деяния;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных (см. подп.2 п.2 ст.6 настоящего Закона и комментарий к ней);

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных (см. подп.3 п.2 ст.10 настоящего Закона и комментарий к ней).

Перечень представленных условий является исчерпывающим, не подлежащим расширительному толкованию.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

Комментарий к статье 13

1. Выделяя в отдельную статью требования к обработке персональных данных в государственных и муниципальных информационных системах, законодатель вместе с тем не ограничивает права и интересы иных операторов в рассматриваемой области общественных отношений. По смыслу комментируемой статьи создание государственных (федеральных и региональных) и муниципальных информационных систем допускается в пределах и объеме полномочий, предусмотренных федеральным законодательством. Использование органами государственной и муниципальной власти и управления информационных ресурсов в части, касающейся персональных данных, недопустимо, за исключением случаев, оговариваемых настоящим Законом (см., например, п.2 ст.10 Закона и комментарий к ней).

Создание государственных и (или) муниципальных информационных систем персональных данных должно осуществляться с целью:

повышения качества и эффективности государственного управления и обеспечения эффективного использования органами государственной власти информационных и коммуникационных технологий;

расширения возможности доступа граждан к информации для реализации своих конституционных прав;

обеспечения защиты и безопасности данных, используемых для целей государственного управления, прав граждан на защиту персональных данных и реализацию их законных интересов при информационном взаимодействии с органами государственной власти;

устранения дублирования сбора органами государственной власти данных, снижение издержек для населения и организаций, связанных с их предоставлением;

повышения оперативности предоставления государственных услуг, требующих межведомственного взаимодействия, снижения числа обращений граждан и организаций в органы государственной власти и сокращения времени вынужденного ожидания;

внедрения единых стандартов обслуживания населения, создание условий для предоставления государственных услуг на принципе "одного окна".

Достижение указанных целей возможно при осуществлении следующих мероприятий:

введения единого идентификатора персональных данных, обеспечивающего возможность однозначного установления соответствия персональных данных, размещаемых в различных автоматизированных системах учета, конкретному физическому лицу;

создания государственного регистра населения, содержащего актуальные первичные идентификационные данные граждан и соответствующие им идентификаторы персональных данных;

интеграции и обеспечения взаимодействия различных автоматизированных систем учета, обеспечивающих сбор, обработку и хранение персональных данных в электронном виде;

обеспечения доступа к персональным данным, размещаемым в автоматизированных системах учета, заинтересованных органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций на межведомственном уровне в соответствии с утверждаемыми регламентами;

разработки порядка предоставления информационных услуг населению.

Сегодня в РФ созданы все необходимые предпосылки для совершенствования работы государственного аппарата на основе широкого использования информационных и коммуникационных технологий. В целом решены задачи, связанные с формированием в органах государственной власти современной базовой информационно-технологической инфраструктуры. В основном удовлетворены потребности органов государственной власти в вычислительной технике, формируются территориально распределенные ведомственные компьютерные сети. Во многих органах государственной власти созданы автоматизированные рабочие места, обеспечивающие доступ к сети Интернет. Некоторыми федеральными органами государственной власти и органами государственной власти субъектов РФ успешно реализуются программы и проекты по созданию государственных информационных систем, обеспечивающих автоматизированный сбор, обработку и хранение данных, необходимых для качественного и эффективного выполнения возложенных на них функций.

2. Принимая во внимание полномочия органов государственной и муниципальной властей, учитывая значимость решаемых ими задач, законодатель допускает самостоятельность последних в выборе процедуры обработки, необходимых им по роду деятельности, персональных данных субъектов, формировании уникальных требований к порядку и условиям их предоставления (сбора), накопления, хранения, использования. Допуская практически неограниченную свободу в процессе обработки персональных данных, содержащихся в соответствующих государственных или муниципальных информационных системах, в том числе избирая различные способы обозначения принадлежности персональных данных, законодатель обязывает органы власти и управления всех уровней к обязательному соблюдению следующих требований:

учет персональных данных в государственных или муниципальных информационных системах должен осуществляться исключительно в пределах полномочий соответствующих органов власти, определенных федеральным законом;

не допускается ограничение прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных;

не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

Создание государственных и муниципальных информационных систем персональных данных и работа с ними предполагает практическую реализацию следующих основных принципов:

децентрализованный характер информационный системы персональных данных;

использование существующих автоматизированных систем учета, создание и сопровождение которых обеспечивается органами государственной власти, органами местного самоуправления, государственными и муниципальными организациями самостоятельно;

отсутствие необходимости в кардинальном изменении действующих процедур сбора и обработки персональных данных в органах государственной власти, органах местного самоуправления, государственных и муниципальных организациях в рамках выполнения закрепленных за ними функций;

доступ к персональным данным и работа с ними на основании существующих и разрабатываемых регламентов, утверждаемых в соответствии с федеральными законами;

учет и регистрация всех действий с персональными данными, производимых пользователями информационной системы;

организация взаимодействия и информационного обмена автоматизированных систем учета между собой в рамках информационной системы персональных данных на основе общих методических и технологических принципов и стандартов;

использование гармонизированных классификаторов и справочников во всех автоматизированных системах учета;

обязательное использование идентификатора персональных данных в подключаемых к системе персонального учета автоматизированных системах учета;

создание механизмов обеспечения соответствия идентификаторов персональных данных внутрисистемным идентификаторам учета населения для созданных автоматизированных систем учета;

однократное присвоение идентификатора персональных данных при первичном вводе идентификационных данных в систему персонального учета при рождении ребенка, при обращении физического лица в органы власти, в случае получения российского гражданства иностранным гражданином или лицом без гражданства, в случае регистрации иностранных граждан или лиц без гражданства по месту пребывания на территории РФ в соответствии с законодательством РФ;

формирование идентификатора персональных данных в соответствии с определенным алгоритмом в виде алфавитно-цифровой последовательности фиксированной длины;

обеспечение поддержки непротиворечивости идентификаторов персональных данных и первичных идентификационных персональных данных в процессе взаимодействия автоматизированных систем учета между собой;

возможность подключения автоматизированных систем учета на основе единой процедуры;

обеспечение первоначального информационного наполнения и актуализации автоматизированных систем учета, подключаемых к системе персонального учета, ведомствами, в ведении которых находятся указанные системы;

развитие сервисов и информационного наполнения системы персонального учета, создание в ее рамках новых автоматизированных систем учета по результатам оценки затрат и возможного социально-экономического эффекта от их реализации;

создание системы персонального учета с учетом существующей информационно-технологической инфраструктуры органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций, осуществляющих в рамках возложенных на них функций сбор и использование персональных данных;

защита персональных данных в соответствии с законодательством РФ и требованиями по обеспечению информационной безопасности;

хранение персональных данных в электронном виде в автоматизированных системах учета по месту их возникновения.

3. Анализ действующего в настоящее время массива нормативно-правовых документов, посвященных определению роли и места государственных и муниципальных информационных систем персональных данных в структуре информационных систем и ресурсов, целей, принципов, структуры, функций и основных этапов их создания и развития системы, источники финансирования, выдвигающие предложения по формированию нормативной правовой базы, необходимой для функционирования последних и обеспечения защиты конституционных прав и свобод граждан при сборе и использовании их персональных данных[18], позволяет отметить ряд базисных требований к содержанию и функционированию государственных или муниципальных информационных систем.

Информационная система персональных данных представляет собой территориально распределенную информационную систему, функционирующую на федеральном, региональном и муниципальном уровнях и обеспечивающую взаимодействие автоматизированных систем учета органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций в части сбора, хранения, передачи и использования персональных данных граждан. Для обеспечения взаимодействия автоматизированных систем учета в рамках системы персонального учета, а также контроля обмена данными между ними создаются интеграционные компоненты системы персонального учета, которые настраиваются в каждом конкретном случае в зависимости от прогнозируемых объемов загрузки, требований по обеспечению производительности и информационной безопасности взаимодействия.

На федеральном и региональном уровнях создаются также репозитории, обеспечивающие авторизацию и маршрутизацию информационных запросов пользователей, гарантированную доставку персональных данных различных автоматизированных систем учета до пользователя, актуализацию содержащихся в них данных на основе утверждаемых регламентов взаимодействия.

Указанные репозитории включают:

государственный регистр населения, содержащий идентификаторы персональных данных и соответствующие им первичные идентификационные данные;

метабазу с размещенными в ней сведениями о наличии персональных данных в автоматизированных системах учета на всех уровнях, условиях и процедурах доступа к ним, способах и функциональных возможностях взаимодействия между собой;

систему исполнения запросов населения для получения персональных данных в рамках системы персонального учета в соответствии с административными регламентами, утверждаемыми нормативными правовыми актами;

единую систему классификаторов и справочников.

Кроме того, в репозитории федерального уровня осуществляется хранение всех идентификаторов персональных данных с соответствующими им первичными идентификационными данными. При построении системы персонального учета для надежной идентификации личности кроме идентификатора персональных данных в государственный регистр населения предполагается включение первичных идентификационных данных (фамилия, имя, отчество, дата рождения, место рождения, пол). Их подготовка и ввод в государственный регистр населения будут осуществляться из автоматизированных систем учета, содержащих первичные идентификационные данные. Количество региональных компонентов системы персонального учета может быть меньше общего числа субъектов РФ в зависимости от наличия и уровня развития в конкретном регионе информационно-технологической и телекоммуникационной инфраструктуры.

На муниципальном уровне создаются интеграционные компоненты взаимодействия с системой персонального учета в муниципальных автоматизированных системах учета.

Взаимодействие автоматизированных систем учета осуществляется на основе единых форматов обмена данными с учетом требований по обеспечению информационной безопасности.

Доступ населения, сотрудников органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций к персональным данным в системе персонального учета осуществляется в рамках регламентов, разрабатываемых в соответствии с законодательством РФ.

Для подготовки аналитических и обобщенных данных о населении разрабатываются отдельные регламенты.

Состав пользователей системы персонального учета и соответствующие регламенты доступа к ней, а также порядок предоставления информационных услуг на ее основе определяются в порядке, установленном законодательством РФ.

Пользователями системы персонального учета могут стать:

на федеральном уровне — федеральные органы исполнительной власти, уполномоченные государственные организации, осуществляющие в рамках выполнения возложенных на них функций использование персональных данных;

на региональном уровне — органы государственной власти субъектов РФ, территориальные органы федеральных органов исполнительной власти, в компетенцию которых входит учет населения, а также ведомства и уполномоченные государственные организации, оказывающие в установленном порядке услуги по предоставлению персональных данных организациям и населению;

на муниципальном уровне — органы местного самоуправления, территориальные подразделения органов государственной власти;

население — в части доступа к своим персональным данным.

Для обеспечения доступа к системе персонального учета должна быть предусмотрена процедура авторизации пользователей в соответствии с требованиями обеспечения информационной безопасности.

4. Распоряжением Правительства РФ от 14 апреля 1999г. N 583-р (с изм. и доп.от 2 марта 2000г.) предусмотрено, что в целях повышения уровня социальной защиты населения РФ и усиления ее адресности Минсвязи России совместно с Минтрудом России, МНС России, МВД России, Минфином России, Госкомстатом России, ФАПСИ, Пенсионным фондом РФ, Фондом социального страхования РФ, Федеральным фондом обязательного медицинского страхования и Минюстом России, другими заинтересованными федеральными органами исполнительной власти и государственными внебюджетными фондами необходимо разработать и представить на рассмотрение концепцию создания автоматизированной системы "Государственный регистр населения", технические решения которой должны быть взаимоувязаны с техническими решениями автоматизированных систем заинтересованных федеральных органов исполнительной власти и организаций.

Единая автоматизированная система "Государственный регистр населения" создается как государственная межведомственная информационно-телекоммуникационная система, обеспечивающая ведение в автоматизированном режиме баз данных учета регламентированных нормативными правовыми актами сведений о гражданах, информационное обслуживание государственных органов исполнительной и законодательной власти и населения и предоставление им в установленном порядке объективных и достоверных данных. При этом в соответствии со ст.23 Конституции РФ должно соблюдаться право гражданина и человека на неприкосновенность частной жизни, личную и семейную тайну.

Создание подобного регистра, так же как и введение универсального идентификатора персональных данных, порождает возможность доступа к персональным данным граждан в объеме, превышающем полномочия конкретного оператора. Кроме того, при существующем в РФ уровне защиты конфиденциальных сведений существование подобного регистра создает прямую угрозу несанкционированного доступа к персональным данным, относящимся ко всем сферам жизни и деятельности гражданина, разглашения таких данных и их противоправного использования, что создает условия для нарушения фундаментальных прав и свобод физических лиц, в том числе права на неприкосновенность частной жизни.

Создание государственного регистра населения осуществляется в целях обеспечения непротиворечивости содержащихся в информационных системах персональных данных органов государственной власти РФ, органов государственной власти субъектов РФ и органов местного самоуправления персональных данных физических лиц, постоянно или временно проживающих или пребывающих на территории РФ. Принципы и порядок создания и использования такой глобальной базы персональных данных должны регулироваться отдельным федеральным законом. Правительство РФ планировало разработку такого закона в целях "повышения уровня социальной защиты населения и усиления ее адресности" и введения "единого персонифицированного учета социального страхования граждан" (распоряжение Правительства РФ от 14.04.1999 N 583-р).