Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Покупка
Издательство:
Статут
Автор:
Савельев Александр Иванович
Год издания: 2017
Кол-во страниц: 321
Дополнительно
Вид издания:
Нормативные документы
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-8354-1365-2
Артикул: 678481.02.99
Настоящий научно-практический комментарий к Федеральному закону «О персональных данных- подготовлен с учетом последних изменений, внесенных в него втом числе Федеральным законом от 21 июля 2014 г. N° 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях-. При подготовке комментария учтены положения соответствующих подзаконных актов, а также последние изменения в КоАП РФ в части административной ответственности за нарушение законодательства о персональных данных. Использована отечественная судебная практика, разъяснения Минкомсвязи России и Роскомнадзора по вопросам применения законодательства о персональных данных. Ряд положений Закона о персональных данных анализируется в сравнении с европейским законодательством, включая недавно принятый General Data Protection Regulation и правовые позиции Европейского Суда Справедливости. Комментарий рассчитан на практикующих юристов, научных работников, студентов и аспирантов, а также всех интересующихся проблематикой защиты персональных данных.
Тексты нормативных правовых актов приведены по состоянию на 15 марта 2017 г.
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 40.03.01: Юриспруденция
- ВО - Магистратура
- 40.04.01: Юриспруденция
- Аспирантура
- 40.06.01: Юриспруденция
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
ÌÎÑÊÂÀ 2017 А.И. Савельев Научно-практический постатейный комментарий к Федеральному закону «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
УДК 342.7 ББК 67.400.32 С 12 Савельев Александр Иванович – кандидат юридических наук, старший научный сотрудник Международной лаборатории по праву в сфере интеллектуальной собственности и информационных технологий НИУ ВШЭ, доцент факультета права НИУ ВШЭ, юрисконсульт компании IBMРоссия/СНГ, член Консультативного совета при Роскомнадзоре Савельев А.И. С 12 Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». – М.: Статут, 2017. – 320 с. ISBN 978-5-8354-1365-2 (в обл.) Настоящий научно-практический комментарий к Федеральному закону «О персональных данных» подготовлен с учетом последних изменений, внесенных в него в том числе Федеральным законом от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». При подготовке комментария учтены положения соответствующих подзаконных актов, а также последние изменения в КоАП РФ в части административной ответственности за нарушение законодательства о персональных данных. Использована отечественная судебная практика, разъяснения Минкомсвязи России и Роскомнадзора по вопросам применения законодательства о персональных данных. Ряд положений Закона о персональных данных анализируется в сравнении с европейским законодательством, включая недавно принятый General Data Protection Regulation и правовые позиции Европейского Суда Справедливости. Комментарий рассчитан на практикующих юристов, научных работников, студентов и аспирантов, а также всех интересующихся проблематикой защиты персональных данных. Тексты нормативных правовых актов приведены по состоянию на 15 марта 2017 г. УДК 342.7 ББК 67.400.32 ISBN 978-5-8354-1365-2 © А.И. Савельев, 2017 © Издательство «Статут», редподготовка, оформление, 2017
Оглавление Список сокращений ............................................................................................ 5 Введение ............................................................................................................. 6 Федеральный закон «О перСОНАльНых дАННых» Глава 1. Общие положения ...........................................................................9 Статья 1. Сфера действия настоящего Федерального закона ..............9 Статья 2. Цель настоящего Федерального закона ..............................30 Статья 3. Основные понятия, используемые в настоящем Федеральном законе ............................................................................39 Статья 4. Законодательство Российской Федерации в области персональных данных .........................................................................76 Глава 2. принципы и условия обработки персональных данных ................88 Статья 5. Принципы обработки персональных данных .....................88 Статья 6. Условия обработки персональных данных .........................97 Статья 7. Конфиденциальность персональных данных ...................115 Статья 8. Общедоступные источники персональных данных .........117 Статья 9. Согласие субъекта персональных данных на обработку его персональных данных..................................................................119 Статья 10. Специальные категории персональных данных .............132 Статья 11. Биометрические персональные данные ..........................153 Статья 12. Трансграничная передача персональных данных...........160 Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных ........................................................172 Глава 3. права субъекта персональных данных .......................................178 Статья 14. Право субъекта персональных данных на доступ к его персональным данным .............................................................178 Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации ................193 Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных .................................................198
Оглавление Статья 17. Право на обжалование действий или бездействия оператора ...........................................................................................203 Глава 4. Обязанности оператора...............................................................211 Статья 18. Обязанности оператора при сборе персональных данных ................................................................................................211 Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом ......................................................................220 Статья 19. Меры по обеспечению безопасности персональных данных при их обработке ..................................................................232 Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных .......................................................................252 Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных .......................................................................255 Статья 22. Уведомление об обработке персональных данных .........263 Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях .............................................277 Глава 5. Государственный контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона ................................................................................280 Статья 23. Уполномоченный орган по защите прав субъектов персональных данных ......................................................280 Статья 24. Ответственность за нарушение требований настоящего Федерального закона .....................................................301 Глава 6. Заключительные положения .......................................................317 Статья 25. Заключительные положения ...........................................317
СпиСОк СОкращений ЕСПЧ – Европейский суд по правам человека Суд ЕС – Европейский суд справедливости ГК РФ – Гражданский кодекс Российской Федерации (часть первая от 30 ноября1994 г. № 51-ФЗ; часть вторая от 26 января 1996 г. № 141ФЗ; часть третья от 26 ноября 2001 г. № 146-ФЗ; часть четвертая от 18 декабря 2006 г. № 230-ФЗ) Закон об информации ‒ Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Закон о персональных данных ‒ Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Директива 1995 г. – Директива 95/46/ЕС от 24 октября 1995 г. о защите прав физических лиц применительно к обработке персональных данных и о свободном движении таких данных КоАП РФ – Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ Конвенция 1981 г. ‒ Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Заключена в г. Страсбурге (Франция) 28 января 1981 г. Минкомсвязи России ‒ Министерство связи и массовых коммуникаций Российской Федерации ОЭСР – Организация по экономическому сотрудничеству и развитию Регламент 2016 г. – Регламент ЕС 2016/679 от 27 апреля 2016 г. о защите прав физических лиц применительно к обработке персональных данных, о свободном движении таких данных и об отмене Директивы 95/46/ЕС (General Data Protection Regulation, GDPR) Роскомнадзор ‒ Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Руководящие принципы ОЭСР ‒ Руководящие принципы ОЭСР по защите частной жизни и трансграничного обмена персональными данными 1980 г. (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) ТК РФ – Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ УК РФ – Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ УПК РФ ‒ Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. № 174-ФЗ
введение Законодательство о персональных данных и практика его применения в Российской Федерации претерпели значительную эволюцию за последние годы. То, что ранее не вызывало особого интереса у большей части участников оборота и воспринималось ими как очередная бюрократическая формальность, сейчас превратилось в одно из наиболее обсуждаемых на самых различных площадках и самом высоком государственном уровне направлений развития законодательства. Во многом это связано с общим курсом государства на обеспечение цифрового суверенитета, в рамках которого регулирование оборота информации приобретает ключевое значение. Одним из проявлений данного курса стали нашумевшие поправки о локализации отдельных процессов обработки персональных данных российских граждан. Данные поправки спровоцировали не только шквал дискуссий и различных интерпретаций, но и необходимость переосмысления базового терминологического аппарата законодательства в контексте новых технологических реалий: понятия персональных данных, понятия оператора и лица, осуществляющего обработку персональных данных по его поручению, трансграничной передачи данных, обезличенных данных и т.п. Кроме того, особую актуальность приобрели вопросы обеспечения электронного взаимодействия оператора и субъекта персональных данных, в частности, при получении согласия на обработку таких данных, предоставлении необходимой информации о порядке ее обработки и т.п. В связи с вышеизложенным при подготовке данного комментария были учтены не только судебная практика по вопросам применения законодательства о персональных данных, но и общедоступные разъяснения Минкомсвязи России и Роскомнадзора. При этом особое внимание уделяется определению сферы применения законодательства о персональных данных, в том числе в сети «Интернет», а также существующим интерпретациям ключевых дефиниций законодательства о персональных данных, сфере применения предусмотренных законом оснований для обработки персональных данных различных категорий и обязанностям, возлагаемым на оператора. Кроме того, в комментарии учтены недавние изменения в КоАП РФ, касающиеся увеличения ответственности операторов за нарушение законодательства о персональных данных, а также положения соответствующих
Введение нормативных-правовых актов, регламентирующих порядок осуществления контрольно-надзорной деятельности в сфере законодательства о персональных данных. При этом следует отметить, что законодательство о персональных данных развивается не только в России, но и в Европе, где совсем недавно был принят новый Общеевропейский регламент по защите персональных данных (General Data Protection Regulation), который в 2018 г. сменит устаревшую, но все еще выступающую своего рода эталоном законодательного регулирования защиты персональных данных Директиву ЕС 1995 г. В ходе данной реформы было затронуто множество вопросов, связанных с вызовами, которые бросают новые технологии защите частной жизни граждан: распространение персональных данных в сети «Интернет» социальными сетями, использование инструментов аналитики «больших данных» и профайлинга, трансграничный характер обработки персональных данных при использовании «облачных» сервисов, информационная «перегруженность» потребителей и пр. Существует достаточно большой пласт решений Европейского Суда Справедливости по вопросам применения отдельных положений законодательства о персональных данных, где многие из указанных проблем были предметом глубокого анализа. В этой связи европейский опыт может быть особенно полезным для России, учитывая не только общность проблем, но и общность законодательства, обусловленную общими корнями – положениями Конвенции Совета Европы 1981 г. № 108 «О защите физических лиц при автоматизированной обработке персональных данных». Европейское законодательство представляет интерес для российского читателя еще и потому, что оно носит экстерриториальный характер и распространяется на только на европейских операторов, но и на иностранных лиц, что особенно актуально, принимая во внимание трансграничный характер электронной коммерции. В связи с вышеизложенным в настоящем комментарии осуществлено сравнение ряда положений российского законодательства с европейскими нормами: как с ныне действующими, так и с вступающими в силу в 2018 г. При этом в комментарии также приводятся и правовые позиции Европейского Суда Справедливости, которые, по мнению автора, могут быть применимы и в российских реалиях в силу сходства соответствующих правовых норм. Это позволяет обеспечить комплексный и сбалансированный подход к рассмотрению проблем применения законодательства о персональных данных в цифровой среде.
Введение Автор выражает признательность коллегам по Консультативному Совету при Роскомнадзоре, в особенности ‒ заместителю руководителя Роскомнадзора Антонине Аркадьевне Приезжевой и начальнику Управления по защите прав субъектов персональных данных Юрию Евгеньевичу Контемирову, без которых этот комментарий вряд ли был бы написан. Особо хотелось бы поблагодарить и другого коллегу по Консультативному Совету ‒ доцента кафедры теории и истории государства и права СПбГУ Владислава Владимировича Архипова за ценные дискуссии и высказанное мнение по ряду вопросов, отраженных в данном комментарии. Настоящий комментарий подготовлен в ходе проведения исследования в рамках Программы фундаментальных исследований Национального исследовательского университета «Высшая школа экономики» (НИУ ВШЭ) с использованием средств субсидии в рамках государственной поддержки ведущих университетов Российской Федерации «5-100». Высказанные в работе суждения являются личным мнением автора и могут не совпадать с официальной позицией компании IBM, НИУ ВШЭ или какой-либо иной организации.
27 июля 2006 года № 152-ФЗ РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ Принят Государственной Думой 8 июля 2006 года Одобрен Советом Федерации 14 июля 2006 года (В ред. федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ, от 29.11.2010 № 313-ФЗ, от 23.12.2010 № 359-ФЗ, от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ, от 05.04.2013 № 43-ФЗ, от 23.07.2013 № 205-ФЗ, от 21.12.2013 № 363-ФЗ, от 04.06.2014 № 142-ФЗ, от 21.07.2014 № 216-ФЗ, от 21.07.2014 № 242-ФЗ, от 03.07.2016 № 231-ФЗ, от 22.02.2017 № 16-ФЗ) Глава 1. ОБщие пОлОЖениЯ Статья 1. Сфера действия настоящего Федерального закона 1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов российской Федерации, иными государственными органами (далее – государственные органы), органами местного самоуправления,
Глава 1. Общие положения иными муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. 2. действие настоящего Федерального закона не распространяется на отношения, возникающие при: 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в российской Федерации; 3) утратил силу. – Федеральный закон от 25 июля 2011 № 261-ФЗ; 4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну; 5) предоставлении уполномоченными органами информации о деятельности судов в российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в российской Федерации». 1. Несмотря на название комментируемая статья определяет лишь предметную сферу действия комментируемого Закона, а именно отношения, на которые он распространяется, а также перечень изъятий из сферы его действия. Сфера действия данного Закона во времени определяется в его ст. 25. К сожалению, комментируемый Закон никак не конкретизирует сферу своего действия в пространстве, что особенно актуально для определения круга иностранных лиц, на которых распространяются его требования. Как следствие, территориальная сфера действия настоящего Закона определяется посредством системного толкования положений иных законов и конкретизирована в разъяснениях Минкомсвязи России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке