Ирина Левова: Поправки в Закон «О персональных данных» вызовут сразу несколько правовых коллизий

— На прошлой неделе депутаты Госдумы проголосовали во втором и третьем чтениях за поправки в Федеральный закон №152 «О персональных данных»: с 1 сентября 2016 года операторов обяжут хранить персональные данные на территории России. При этом данные должны не просто храниться, но и обрабатываться на территории России.

Оператор персональных данных должен будет сообщать сведения о месте расположения базы данных информации. Неясно, что имеется ввиду — номер стойки в серверной, или что-то иное. Также дублируется текст о порядке ограничения доступа к ресурсу только с судебным актом в качестве основания для внесения в реестр. Реестр при этом предлагается создать новый, в дополнение к уже имеющимся.

В пояснительной записке есть отсылка к «Праву на забвение», которое ввёл Европейский суд по правам человека, но действующая 14-я статья Федерального закона №152 уже содержит подобные нормы. Интересно, что положения этой статьи о международных договорах остаются в силе. Никак не меняется и 12-я глава о трансграничной передаче данных, как быть с данной коллизией, неясно. Экспансия отечественных облачных сервисов на заграничный рынок после этого оказывается под вопросом.

Проектом предполагается механизм ограничения доступа к «информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных». Ограничение доступа осуществляется Роскомнадзором. При этом в текущей редакции закона «О персональных данных» содержится очень широкое определение персональных данных: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу» (субъекту персональных данных). Также там прописана необходимость получения письменного или подписанного электронной подписью согласия субъекта на обработку персональных данных и право на отзыв такого согласия.

Выходит, что если речь идёт о судебном решении и его последующем направлении в Роскомнадзор, то это уже предусмотрено действующим законодательством, и тогда норма является излишней. Если же мы говорим о некоей досудебной процедуре ограничения доступа, то, учитывая определение персональных данных в действующей редакции закона, рискуем оказаться в ситуации, когда заблокировать можно будет любой сайт, который оперирует «любой информацией, относящейся прямо или косвенно к определенному или определяемому физическому лицу».

Напомню, что рабочая группа при Совете Федерации в течение года разрабатывала поправки к Федеральному закону №152, их согласовали все заинтересованные ведомства, научные и общественных организации, представители бизнеса. Среди прочего, предполагается уточнить понятия «персональные данные» и скорректировать понятие «согласие». Думаю, что целесообразнее привести две законодательных инициативы в соответствие друг с другом, что обеспечит баланс интересов и возможностей.

Подготовил Дмитрий Гончарук