Реформа 152-ФЗ: О сколько нам открытий чудных…

Редкое вступление могло бы справиться с ответственностью, возлагаемой содержанием этой статьи, в связи с чем ее автор неизбежно столкнулся с необходимостью вновь обратиться к классике.

Итак, за мной, читатель! Кто сказал тебе, что нет на свете настоящей, разносторонней, полноценной реформы законодательства? Да отрежут лгуну его гнусный язык! За мной, мой читатель, и только за мной, и я покажу тебе такую реформу! На сентябрь 2022 года история Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) насчитывает целых 28 редакций, двумя из которых 152-ФЗ обязан одной из крупнейших реформ российского законодательства в области персональных данных (далее – ПДн).

«Лицом» этой реформы стал внешне ничем не примечательный Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ), который, как оказалось по результатам детального правового анализа, отличается «богатым внутренним миром».

Некоторые прайваси-эксперты уже писали о грядущих или уже вступивших в силу изменениях, однако, с первых статей прошло почти четыре месяца и то, что некогда было Законопроектом № 101234-8 (далее – Законопроект)¹⁾), прошло еще два чтения (второе и третье) в Государственной Думе Российской Федерации, было одобрено Советом Федерации, подписано Президентом Российской Федерации и официально опубликовано 14 июля в виде уже упомянутого 266-ФЗ. Изменился и текст закона.

Подобно великому итальянскому скульптору эпохи Возрождения Микеланджело, российский законодатель предпринял попытку после первого чтения «отсечь все лишнее», но – это будет описано далее – пару раз все-таки промахнулся.

В этой статье мы постараемся кратко и популярно рассказать, что написано между новых строк реформы и что это все значит. Как говорится, feci quod potui, faciant meliora potentes – Я сделал всё, что смог, пусть те, кто сможет, сделают лучше.

Многие изменения при доработке Законопроекта были оставлены – здесь нас ждет неизбежная тавтология – без изменений. Так, в 266-ФЗ вошли требования к согласию на обработку ПДн (устоявшие перед «Бритвой Оккама» «предметность» и «однозначность»), обязанность оператора ПДн отвечать на обращения субъекта ПДн в той же форме, в которой такие обращения направляются, а также изменения сроков обработки обращений и запросов субъектов ПДн и Роскомнадзора (далее – РКН) с 30 календарных до 10 рабочих дней. Однако исходный вид сохранили далеко не все положения.

Во-первых, изменился подход к экстерриториальности 152-ФЗ. В финальной редакции действие закона распространяется не на любую обработку ПДн граждан Российской Федерации (далее также – РФ), а лишь на обработку ПДн граждан РФ на основании договоров, иных соглашений с гражданами РФ или на основании их согласий на обработку ПДн. Данный подход преследует ту же цель, что и предыдущий, – как можно шире распространить сферу действия 152-ФЗ и, следовательно, широту полномочий РКН. Тем не менее, практическая реализуемость данных положений все еще вызывает вопросы, так как договоры с гражданами РФ и согласия на обработку их ПДн могут соответственно заключаться и получаться иностранными компаниями, практически недосягаемыми для РКН. Например, каким образом РКН может осуществлять контроль за соблюдением закона небольшим канадским банком, заключающим с гражданином РФ договор банковского обслуживания? Ответ на этот вопрос, впрочем, должен волновать не бизнес-сообщество, а сам РКН.

Во-вторых, по предложению рынка из Законопроекта исключены положения о дополнении перечня действий по обработке ПДн «логическими и арифметическими операциями» – это одно из сравнительно немногих предложений рынка, принятых при доработке Законопроекта. Данный жест может означать, что российский законодатель так же печется о единообразии правоприменительной практики, как профессиональное сообщество.

В-третьих, существенно изменилось регулирование института поручения обработки ПДн, расширены были и прямые обязанности лица, обрабатывающего ПДн по поручению оператора ПДн (далее – обработчик), и требования, обязательные к закреплению в самом поручении оператора ПДн. В частности, теперь в поручении будет необходимо указывать перечень ПДн, обрабатываемых по поручению, – это может негативно сказаться на отношениях операторов ПДн и обработчиков, в которых объем обрабатываемых ПДн определяется не оператором ПДн напрямую, а, например, следует из отношений субъектов ПДн с обработчиками, на которых возложена обязанность по сбору ПДн (колл-центры, внешние горячие линии и т. д.).

Еще одной новеллой института поручения обработки ПДн стала разработанная рынком и поддержанная РКН концепция контроля оператора ПДн за обработчиком ПДн. Так, теперь в число обязательных положений поручения включена обязанность обработчика ПДн по запросу оператора ПДн предоставлять документы и иные сведения, подтверждающие исполнение требований поручения и закона. Данное положение направлено на обеспечение большего баланса между абсолютной ответственностью оператора ПДн за действия обработчика ПДн и интересами самого оператора ПДн, возможно, не желающего передавать ПДн «коту в мешке».

В регулировании поручения обработки ПДн иностранным лицам законодатель пошел еще дальше и установил совместную ответственность российского оператора ПДн и иностранного обработчика ПДн. Вероятно, данная конструкция должна упростить защиту прав субъектов ПДн, которые, как и выступающий в их защиту РКН, смогут обратиться к любому из лиц, обрабатывающих их ПДн, не погружаясь в сложные корпоративные отношения и конструкции «оператор – обработчик».

В-четвертых, уверенно ворвавшись в регулирование гражданско-правовых отношений наравне с законодательством о защите прав потребителей, 266-ФЗ установил новые требования к договорам, на основании которых осуществляется обработка ПДн, – теперь они, в частности, не должны содержать положений, ограничивающих права и свободы субъектов ПДн. Замыслы законодателя неисповедимы, в связи с чем остается лишь гадать, какой смысл вкладывался в столь широкую формулировку.

Возможно, толковать данные положения необходимо с учетом требований к согласию на обработку ПДн (новая ч. 1 ст. 9 152-ФЗ), требований к договору с потребителем в части обработки его ПДн²⁾ и многочисленных разъяснений регулирующих и контрольных (надзорных) органов³⁾ . В таком случае очевидным примером несоответствия договора данным требованием будет наличие в нем положений о том, что субъект ПДн, заключая договор, дает согласие на обработку ПДн, которая не является необходимой для исполнения договора.

Договоры с субъектами ПДн также не должны включать положения, «допускающие в качестве условия заключения договора бездействие субъекта ПДн» – данное положение не затрагивает большую часть договоров, так как, например, положение об автоматической пролонгации не относится к «заключению договора», а молчание по общему правилу в принципе не является акцептом⁴⁾.

В-пятых, повторного освещения несомненно заслуживает одно из самых объемных нововведений – новый порядок осуществления трансграничной передачи ПДн. К счастью, в итоговый текст не вошло изначально предложенное новое определение самой трансграничной передачи как действия с ПДн, в связи с чем по-прежнему сохраняются кумулятивные критерии передачи ПДн и «на территорию иностранного государства», и «иностранному…лицу».

Перед тем, как осуществлять трансграничную передачу ПДн, оператору необходимо осуществить целый ряд действий. Для начала оператор обязан «получить» у иностранного лица сведения о том, как такое лицо обеспечивает конфиденциальность и безопасность ПДн – данное требование, возможно, не станет чем-то принципиально новым для зарубежных контрагентов, однако, в ряде случаев получение такой информации может быть затруднено (например, когда активное взаимодействие с иностранным лицом не требуется для получения тех или иных услуг или когда заключение договора происходит посредством принятия оферты такого иностранного лица без взаимодействия с его представителями). Оператор ПДн обязан оценить принимаемые меры, но методы, критерии, сроки, порядок фиксации результатов такой оценки остаются на откуп самого оператора ПДн. Как и то, каким образом разрешить проблему возможного несоответствия принимаемых иностранным лицом мер требованиям, установленным российским законодательством. Хочешь сделать что-то хорошо – сделай это сам. Дополнительно, если передача планируется в «неадекватное» государство (подробнее об этом далее), у иностранного лица необходимо получить сведения о правовом регулировании в области ПДн – представляется, что это требование зачастую придется выполнять передающей (российской) стороне, так как не каждое иностранное лицо будет готово предоставить аналитическую справку о локальном законодательстве по первому же запросу российского оператора. Данный подход является однозначно благоприятным для консалтинговых компаний, имеющих практику в области ПДн, однако, формально не соответствует требованию по «получению» этих сведений от иностранного лица. Интересно и то, что анализировать полученные от иностранного лица сведения о правовом регулировании в области ПДн, в отличие от сведений о принимаемых мерах, оператор ПДн не обязан, но при этом обязан предоставить их по запросу РКН, в частности, в случае, если у РКН отсутствуют «сведения о наличии у иностранного государства уполномоченного органа в области защиты прав субъектов персональных данных»⁵⁾ .

Следующий этап – направление уведомления в РКН, причем исходя из системного толкования положений ст. 12 в новой редакции, уведомлять РКН придется как минимум по каждой среднего размера цели⁶⁾ отдельно (возможно, несколько целей все-таки можно будет объединить в одном уведомлении – это зависит в большей степени от функционала формы уведомления⁷⁾ ), так как «правовое основание и цель трансграничной передачи» указаны в единственном числе. Более того, в уведомлении указывается дата проведения оценки предоставленных иностранными лицами сведений, следовательно, перечень конкретных иностранных лиц должен быть указан в уведомлении или, как минимум, подготовлен для предоставления по запросу РКН.

Разделение государств на «адекватные» и «неадекватные» сохраняется, но приобретает, как и многие другие положения 152-ФЗ, «российскую специфику»: в число «адекватных» или «обеспечивающих адекватную защиту прав субъектов ПДн» государств по-прежнему входят государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иные государства, определенные РКН. Нюанс заключается в том, что перечень государств-сторон упомянутой Конвенции теперь также закрепляется приказом РКН. Что произойдет, если одно из государств перестанет быть стороной Конвенции или наоборот, присоединится к ней, а РКН не обновит перечень в срок⁸⁾? Вопрос остается открытым, но исходя из буквального толкования положений ст. 12 в новой редакции, оператор ПДн может исходить из фактического статуса государства как стороны Конвенции, независимо от того, исполнил ли РКН свою обязанность по актуализации перечня.

Еще один аспект ст. 12, требующий детального анализа, – решение РКН о запрещении или ограничении трансграничной передачи, которое может быть принято в том числе по результатам рассмотрения описанного выше уведомления о планируемой передаче. Вопреки используемой многочисленными экспертами и представителями рынка терминологии, никакого «разрешительного порядка» новая редакция не устанавливает и никакого разрешения на трансграничную передачу ни в каком случае получать не требуется. Ошибочное представление складывается из-за того, что при передаче в «адекватные» государства после направления уведомления передачу можно инициировать сразу же, а при передаче в «неадекватные» государства – лишь спустя 10 рабочих дней, если не получено решение РКН о запрещении или ограничении такой передачи. То есть, ждать, пока РКН пришлет какое-либо решение в принципе не требуется, хотя сам порядок принятия такого решения будет отнюдь не прост, хотя Постановление Правительства РФ пока что находится на стадии проекта⁹⁾) . В этом же проекте многое заслуживает пристальнейшего внимания, однако, до того, как финальный текст увидит свет, погружаться в анализ может быть нецелесообразно. Времена меняются, тексты нормативных правовых актов меняются вместе с ними.

«Вишенкой на торте» нового порядка трансграничной передачи можно назвать обязанность оператора ПДн, получившего упомянутое решение о запрещении или ограничении передачи, обеспечить уничтожение ПДн иностранными лицами, которым эти ПДн были переданы (включая органы власти иностранного государства). Если с иностранными юридическими лицами, как правило, заключаются договоры, которые могут содержать необходимые обязанности контрагента, то какие инструменты можно использовать для обеспечения уничтожения ПДн органом власти иностранного государства – еще один открытый вопрос.

В-шестых, 266-ФЗ предусмотрено, что политика обработки ПДн при сборе ПДн в сети «Интернет» должна быть размещена в том числе на страницах сайта, с помощью которых осуществляется сбор ПДн. Возможно, данное изменение было направлено на повышение осведомленности субъектов ПДн об обработке их данных, однако, формально достаточной мерой по соблюдению нового требования будет размещение политики в «подвале» сайта, так как он присутствует на каждой странице по умолчанию. «Лучшей практикой» при этом, разумеется, будет включение ссылки на политику в сами формы, посредством которых на сайте собираются ПДн.

В-седьмых, обещанное разработчиками 266-ФЗ «уведомление об утечках» нашло свое отражение в виде уведомления о «фактах неправомерной или случайной передачи…ПДн, повлекшей нарушение прав субъектов ПДн». Обязанность направлять такое уведомление поставлена в зависимость от нескольких факторов, соотношение которых законом не определено. Так, срок, в течение которого оператор ПДн обязан уведомить РКН об «утечке», начинает течь с момента ее «выявления», а сама обязанность возникает исключительно в случае ее («утечки») «установления». Представляется, что с момента выявления «утечки» начинается отсчет времени (24 часа для первого уведомления РКН и 72 для второго), в рамках которого оператор ПДн может провести мероприятия по установлению факта «утечки» и в случае, если он не будет установлен, может сообщить об этом и не предоставлять предусмотренные законом сведения в части уведомления об «утечке». Отдельного внимания заслуживает и сама формулировка определения «утечки» и, в частности, то, что, исходя из формулировок закона, возможен факт «неправомерной или случайной передачи ПДн», который не влечет нарушения прав субъектов ПДн. Ни автор данной статьи, ни редакторы статьи в полном составе (возможно, из-за того, что редактора никакого не было) не смогли придумать пример неправомерной или случайной передачи ПДн, не влекущей нарушения прав субъектов ПДн, что говорит или о недостатке фантазии у вышеупомянутых, или о ее избытке у законодателя.

Наконец, как в каждом произведении искусства, автор которого претендует на уникальность, в 266-ФЗ есть своеобразная «подпись» мастера. В картографии используется термин «улица-ловушка» – несуществующая в реальности улица, наносимая на карту с целью легкого отслеживания незаконного копирования этой карты. В 266-ФЗ эту роль однозначно исполняет новая ч. 5.1 ст. 21 152-ФЗ – норма с долгой и полной неожиданных поворотов историей.

В тексте Законопроекта к первому чтению в ст. 14 152-ФЗ было предусмотрено уточненное право субъекта ПДн «в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, требовать от оператора прекращения обработки ПДн, их уточнения, блокирования или уничтожения, а также принимать…меры по защите своих прав», корреспондирующее одновременно большей части обязанностей оператора ПДн, установленных ст. 21 152-ФЗ. И все же законодатель, в своей симпатии к принципу формальной определенности закона, все-таки включил в ст. 21 152-ФЗ еще одну часть, корреспондирующую, в свой черед, уточненному праву субъекта ПДн, описанному выше.

Дальнейшее развитие событий может претендовать на неплохой голливудский сюжет, так как изменения ст. 14 152-ФЗ были исключены из Законопроекта, а изменения ст. 21 152-ФЗ исключить, вероятно, попросту забыли…

Так, в новой ч. 5.1 ст. 21 152-ФЗ предусмотрена обязанность оператора ПДн по требованию субъекта ПДн прекратить обработку ПДн в срок, не превышающий 10 рабочих дней с правом продления еще на 5 рабочих дней по мотивированному уведомлению. Но есть одно «но»: данная норма применяется только к случаям обработки ПДн на основании согласия субъекта ПДн, в связи с чем усматривается прямое противоречие между соседствующими ч. 5 и ч. 5.1 ст. 21 152-ФЗ.

Если субъект ПДн обращается, например, с требованием «отозвать все персональные данные», в какой срок оператор ПДн обязан обработать такое требование, 30 календарных дней по ч. 5 ст. 21 или 10+5 рабочих дней по ч. 5.1 ст. 21 152-ФЗ? Исходя из нежелания большинства операторов перестраивать работающие годами процессы, следует ожидать, что до разъяснений РКН или однозначной судебной практики все подобные требования будут квалифицироваться как отзыв согласия и обрабатываться «по старинке», по ч. 5 ст. 21 152-ФЗ.

«Скоро сказка сказывается, да не скоро дело делается», – многие операторы предпочли бы этот фольклорный фразеологизм той реальности, которая уже наступила с принятием и вступлением в силу 266-ФЗ. И все же хочется верить, что проделанная автором и редакцией работа хотя бы частично упростит понимание нового 152-ФЗ.

Автор: Кирилл Зюбанов, юрист в области ПДн.
23.09.2022

персональные данные, аналитика, зюбанов к

¹⁾

СОЗД, Законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» / Система обеспечения законодательной деятельности [Электронный ресурс]. URL: https://sozd.duma.gov.ru/bill/101234-8 (дата обращения: 04.08.2022

²⁾

Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей», ст. 16 / СПС КонсультантПлюс.

³⁾

См., например, РКН, Роскомнадзор и Банк России разъяснили требования к обработке персональных данных граждан финансовыми организациями / Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций [Электронный ресурс]. URL: https://rkn.gov.ru/news/rsoc/news73792 (дата обращения: 10.08.2022).

⁴⁾

Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ, п. 2 ст. 438 / СПС КонсультантПлюс.

⁵⁾

Проект постановления Правительства Российской Федерации «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан», П. 14 / Федеральный портал проектов нормативных правовых актов [Электронный ресурс]. URL: https://regulation.gov.ru/projects/List/AdvancedSearch#npa=131425 (дата обращения: 15.09.2022).

⁶⁾

Например, «организация командирования работников», см. Пример заполнения уведомления об осуществлении трансграничной передачи ПДн / Портал персональных данных [Электронный ресурс]. URL: https://pd.rkn.gov.ru/docs/primer_zapolnenija_uvedomlenija_TPdn.pdf (дата обращения: 15.09.2022).

⁷⁾

Уведомление об осуществлении трансграничной передачи персональных данных / Портал персональных данных [Электронный ресурс]. URL: https://pd.rkn.gov.ru/cross-border-transmission/form/ (дата обращения: 15.09.2022).

⁸⁾

В том числе с учетом обязательного размещения проектов нормативных правовых актов на сайте Федерального портала нормативных правовых актов, https://regulation.gov.ru.

⁹⁾

Проект постановления Правительства Российской Федерации «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан» / Федеральный портал проектов нормативных правовых актов [Электронный ресурс]. URL: https://regulation.gov.ru/projects/List/AdvancedSearch#npa=131425 (дата обращения: 15.09.2022