Законодательство РФ

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.


Комментарии к статье 16 152-ФЗ О персональных данных:

1. Комментируемая статья содержит понятие автоматизированной обработки, которое, по мнению законодателя, необходимо выделить в качестве отдельной, специальной категории и отдельного вида обработки персональных данных. Для того чтобы понять причины, побудившие выделить автоматизированную обработку в отдельную категорию, необходимо выяснить, как она возникла, что собой представляет и чем отличается от неавтоматизированной, ручной обработки для правовых целей (законодательных, правоприменительных и охранительных).

Понятие автоматизированной обработки тесно связано с теорией автоматов и относится к научным терминам, категориям математики и информатики. Вопросы автоматизации привлекали исследователей во все времена. В современной истории наиболее активные исследования начались в конце 20-х годов XX века. В период Второй мировой войны основные усилия были направлены на расчеты и обработку разведывательных данных (расшифровку сообщений). По существу, эти исследования и привели к созданию первых электронно-вычислительных машин. Одновременно с практическими вопросами разрабатывалась и теория автоматов. Часть исследований после второй мировой войны была оформлена в виде "Общей и логической теории автоматов" (Д. Нейман - А. Тьюринг, 1960, в США) и в виде "Абстрактной теории автоматов" (В.М. Глушков, 1961, в СССР), а также в огромном количестве других работ на эту тему. Посещение в 1961 году СССР основателем кибернетики Н. Винером активизировало интерес к автоматизированной обработке данных в правовой сфере. В некоторых вузах Москвы, Киева были открыты курсы правовой кибернетики. В период 60 - 70-х годов XX века сформировались основные понятия, которые используются и в настоящее время.

Так, например, automatic data processing (ADP) - автоматическая обработка данных - включает несколько контекстов: "1) обработка данных, выполненная в основном автоматическими средствами; 2) в широком смысле дисциплина, изучающая методы и технику обработки даны автоматическими средствами; 3) относится к оборудованию для обработки данных, такому как электрические бухгалтерские машины и электронное оборудование для обработки данных". Более современные источники определяют автоматическую обработку данных как манипуляцию данными с помощью автоматизированных устройств. В основном большинство источников содержат близкие по смыслу определения ключевого термина в данном словосочетании. Термин Automatic ("автоматический"), как правило, определяется как процесс или устройство, способные (при заданных условиях) функционировать без вмешательства человека. В этой связи имеются основания полагать, что именно отсутствие вмешательства человека и заданные условия обработки являются основными признаками автоматизации применительно к обработке персональных данных. Необходимо также учитывать, что правовое понятие, введенное Конвенцией Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных (ETS N 108), незначительно отличается от технического толкования термина, а именно автоматическая обработка включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических и/или арифметических операций с такими данными, их изменение, стирание, восстановление или распространение.

Введенное задолго до эпохи Интернета понятие автоматизации обозначало действия по облегчению труда человека. Изначально автоматизация как явление не создавала угроз в части перехвата юридически значимых действий. Широкое использование термина, по сути, впитало дальнейшую компьютеризацию, интернетизацию и глобализацию. Семантический объем термина "автоматизация" вырос значительно. Это обстоятельство обусловило в современных условиях широкий спектр мнений по данному вопросу, включая следующее: "...на уровне определений достаточно трудно провести четкую линию раздела между автоматизированной и неавтоматизированной обработкой данных". Действительно, основываясь на имеющихся определениях, нельзя, к примеру, однозначно определить, следует ли рассматривать считывание штрих-кода с квитанции за оплату коммунальных услуг в качестве автоматизированной обработки данных. Другой пример, иллюстрирующий данное положение, можно найти в нормативном правовом акте: п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687, гласит, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Вместе с тем анализ текста упомянутого Положения позволяет выявить следующие обстоятельства:

- классификация видов обработки данных осуществляется на основе применяемых при обработке предметов;

- обработка персональных данных, осуществляемая без использования средств автоматизации, характеризуется использованием ручного труда, ручных пометок и записей в соответствующих документах, бланках, карточках, реестрах, журналы журналах, книгах, иных материальных (не электронных) носителях;

- применительно к юридическим последствиям классификации не проводится.

Практически полностью цитирует положения п. 2 названного Положения одно из авторитетных экспертных изданий, которое приводит следующий комментарий: "К примеру, если пользователь внес данные в персональный компьютер только для того, чтобы их распечатать, и не сохранял данные на компьютере, то эту обработку можно считать неавтоматизированной".

Другой аспект этого вопроса - предмет специальной научной дисциплины - защита информации. Ввод информации в память компьютера и распечатка файла представляют собой действия, сопряженные с функционированием процессора - вычислителя, технические параметры которого характеризуются определенной тактовой частотой. Постоянные ввод и распечатка формируют устойчивый автоматизированный канал утечки информации, которая содержит и персональные данные. Радиоизлучение может быть зафиксировано, считано, сохранено и расшифровано, т.е. прочитано специальной техникой, если в компьютере нет специальной защиты. Естественно, такой вариант утечки данных невозможен при рукописном оформлении документа. В описанном варианте невозможно признать обработку персональных данных в форме ввода и распечатки с помощью компьютера, а также с помощью отдельных электронных печатных машин неавтоматизированной обработкой персональных данных. К аналогичному мнению склоняются практические специалисты и авторы публикаций в специализированных изданиях по защите информации. Современные научные исследования и достижения в этом направлении позволяют отслеживать активность пользователей по клавиатурному почерку, распознавать личность по фотографии, а также иные объекты по заданным признакам. Традиционными во многих странах стали камеры слежения за дорожным (автомобильным) трафиком и управление им без постоянного участия, но под контролем человека. Процесс управления в таком случае весьма часто включает фиксацию нарушений, наложение штрафных санкций, рассылку квитанций и т.д.

Вопрос отнесения обработки персональных данных к автоматизированной и неавтоматизированной имеет глубокое практическое значение и требует пристального изучения. Следствием признания обработки персональных данных автоматизированной является обязанность оператора изготовить и сертифицировать программные продукты для их защиты либо приобрести лицензированные продукты, а в случае автоматизированной обработки персональных данных по договору для других лиц - получить лицензию на деятельность по защите информации.

Автоматизированная обработка предполагает участие автомата на любой его стадии. В этом смысле невозможно утверждать, что, скажем, компьютер был использован только как устройство для набора текста, а все остальное было ручной обработкой. Подобного рода утверждения весьма часто имеют место в административной практике со стороны операторов и в отдельных случаях становятся объектом судебного спора.

До настоящего времени судебная практика не нашла единого подхода к точному и однозначному пониманию автоматизированного процесса обработки данных, общее представление в различных решениях концептуально не отличается. Только конкретные обстоятельства в каждом конкретном случае позволяют принять то или иное решение.

2. Часть 1 комментируемой статьи вводит ограничение на автоматизированную обработку персональных данных с последующим принятием юридически значимого решения. Дословно это ограничение сформулировано как запрет на обработку персональных данных и принятие решения исключительно на их основе. Однако в практической сфере, а именно в отношениях с использованием информационных сетей принятие решения способом, который часто именуют "один клик", происходит повсеместно.

Вопрос заключается в том, что многие авторы при рассмотрении фразы "...принятие решений на основании исключительно автоматизированной обработки..." переставляют акцент. В цитированной фразе внимание переключается с "исключительно автоматизированной" обработки на "исключительно автоматизированную" обработку. Юридическая конструкция, которая предполагает ограничение исключительности, но не запрет, ориентирует нас на обдуманное принятия решения, порождающего юридические последствия, на основе автоматизированной обработки, т.е. без участия человека. При смещении акцента в сторону автоматизированной обработки все дальнейшие вопросы рассматриваются в контексте, что есть автоматизированная и что есть ручная обработка.

Одно из решений вопроса опознания автомата предложено в форме теста CAPTCHA . Выполнение данного теста, повторение (путем ввода в специально предназначенное окно) написанных знаков весьма затруднительно, практически невыполнимо для автомата. Уровень искажения знаков, вариативность графических и цветовых решений непреодолимо высоки для автомата и легко преодолимы для человека.

Другим решением является обязательная подпись субъекта персональных данных, которая подтверждает факт принятия волевого решения субъектом, а не автоматом. Поэтому запрет на использование автоматической обработки фактически следует рассматривать не как общее правило, а как исключение из правила, сформулированного в ч. 2 комментируемой статьи. В противном случае придется повсеместно отказываться от автоматизированной обработки данных и переходить на ручную обработку.

3. Часть 2 комментируемой статьи содержит общую норму об обязательном уведомлении субъекта об автоматизированной обработке его персональных данных и возможных последствиях такой обработки. Данное положение размещено в ч. 2 комментируемой статьи, но по смыслу это общее правило комментируемой статьи.

Исходный смысл данной юридической конструкции, по нашему убеждению, заключается в следующем: обработанные автоматизированным способом персональные данные должны быть понятны и, в идеальном варианте, представлены субъекту до принятия решения, которое влечет юридические последствия. Субъект в начале отработки должен быть уведомлен о том, что обработка будет производиться в автоматическом режиме, что вмешательства человека в процесс не будет производиться. Соответственно, никто не сможет исправить его ошибки (если таковые допущены), и только сам субъект несет ответственность за последствия представления данных (если сведения ошибочные). Предварительное уведомление субъекта имеет цель предупредить о возможном наступлении юридических последствий.

4. Часть 3 комментируемой статьи содержит норму, которая носит процедурный характер, предусматривает обязанность оператора разъяснить субъекту порядок и условия обработки его персональных данных. Комментируемая норма прямо не закрепляет, каким именно документ должен быть. Из смысла статьи можно предполагать наличие определенного закрепленного документом порядка. Сложившаяся практика в отдельных отраслях деятельности (образовательной, здравоохранении и других) выработала закрепленные в подзаконных актах формы представления субъектам персональных данных информации о порядке обработки их персональных данных. Как правило, это:

- приказ об условиях обработки персональных данных;

- положение о порядке обработки персональных данных;

- инструкции исполнителей;

- другие необходимые документы, бланки, формы.

Весь комплекс документов именуют политикой предприятия (организации) в сфере обработки персональных данных. Оператор обязан информировать субъектов персональных данных об утвержденных документах, закрепляющих политику в сфере обработки персональных данных, гласно, например разместить их на сайте. Оператор не может ограничиться упоминанием о том, что персональные данные будут обработаны в общем виде. Судебная практика по вопросу, должен ли быть ознакомлен под роспись субъект персональных данных с данным порядком, свидетельствует о том, что должны иметь место и подпись под данной фразой, и специальное место для подписи.

Пример: субъект персональных данных согласился на использование его данных в системе информационно-справочного обслуживания, заполнив и подписав стандартный бланк договора оказания услуг связи. Названная форма не содержит отдельное поле для получения согласия абонента на обработку его персональных данных, что является нарушением. Дальнейшие действия надзорного органа, предписавшего устранить нарушение, признаны законными (см. подробнее Постановление Федерального арбитражного суда Северо-Кавказского округа от 03.10.2011 по делу N А63-11458/2010).

Одновременно ч. 3 комментируемой статьи предусматривает право субъекта персональных данных заявить возражение против исключительно автоматизированной обработки его персональных данных. По смыслу данной нормы оператор обязан предусмотреть в бланках, формах соответствующее место или объяснить, каким образом будут учтены и рассмотрены названные возражения субъекта.

5. Часть 4 комментируемой статьи содержит норму процедурного характера, предусматривающую обязанность оператора предоставить субъекту персональных данных ответ на его возражения в течение тридцати дней. Вероятно, данная норма транслирует традиционные сроки ответов на обращения граждан. Установление данного срока необходимо в связи с тем, что ответственность за административные нарушения может быть реализована в ограниченный двухмесячный срок. Отсутствие широкой судебной практики по данному вопросу ограничивает возможности комментария. Тем не менее в эпоху информатизации установление тридцатидневного срока представляется ошибочным действием. В случаях автоматизированной обработки персональных данных при наличии всех документов оператор имеет возможность выдать ответ на возражение в течение рабочего дня. Соответственно, для формального соблюдения всех процедур и ответа достаточно установить срок пять дней. Представляется весьма вероятным, что сроки реагирования на заявление персональных данных будут изменены.

6. Автоматизированная обработка персональных данных проникает во все сферы, в том числе в торговлю и электронную торговлю. Данные вопросы регулирует современное европейское законодательство о защите персональных данных. Одним из таких актов является Резолюция Европейского парламента от 06.07.2011 о комплексном подходе к защите персональных данных в Европейском союзе (2011/2025 (INI)). Основные положения документа, которые имеют отношение к вопросу применения автоматизированной обработки персональных данных, подчеркивают необходимость защиты данных в связи с расширением деятельности, осуществляемой в Интернете; отмечают, что сбор, анализ, обмен и злоупотребления данными и риск профилирования, стимулируемый техническими разработками, достигли беспрецедентных размеров; карты лояльности (клубные карты, дисконтные карты, преимущество карты и т.д.) используются все чаще и чаще, как для онлайн клиентов, так и для граждан вне интернет-магазина. В документе обращено внимание на укрепление существующих принципов и элементов, таких как наличие предварительного и явного согласия; подчеркивается, что согласие должно считаться действительным только тогда, когда имеется однозначное сообщение, свободное, конкретное и четкое; когда имеется адекватный реализованный механизм для фиксации согласия или отзыва согласия пользователя. Европейский парламент призывает Комиссию четко определить термины "профиль" и "профилирование".

Рассмотренные положения комментируемой статьи и отдельные европейские документы свидетельствуют о сложности, неоднозначности и невозможности окончательного решения вопроса об автоматизированной обработке персональных данных. Необходимо постоянное совершенствование законодательства и знаний по данному вопросу.

"Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (постатейный)
Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С.
Год издания: 2013

Популярные статьи и материалы
N 400-ФЗ от 28.12.2013

ФЗ о страховых пенсиях

N 69-ФЗ от 21.12.1994

ФЗ о пожарной безопасности

N 40-ФЗ от 25.04.2002

ФЗ об ОСАГО

N 273-ФЗ от 29.12.2012

ФЗ об образовании

N 79-ФЗ от 27.07.2004

ФЗ о государственной гражданской службе

N 275-ФЗ от 29.12.2012

ФЗ о государственном оборонном заказе

N2300-1 от 07.02.1992 ЗППП

О защите прав потребителей

N 273-ФЗ от 25.12.2008

ФЗ о противодействии коррупции

N 38-ФЗ от 13.03.2006

ФЗ о рекламе

N 7-ФЗ от 10.01.2002

ФЗ об охране окружающей среды

N 3-ФЗ от 07.02.2011

ФЗ о полиции

N 402-ФЗ от 06.12.2011

ФЗ о бухгалтерском учете

N 135-ФЗ от 26.07.2006

ФЗ о защите конкуренции

N 99-ФЗ от 04.05.2011

ФЗ о лицензировании отдельных видов деятельности

N 223-ФЗ от 18.07.2011

ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц

N 2202-1 от 17.01.1992

ФЗ о прокуратуре

N 127-ФЗ 26.10.2002

ФЗ о несостоятельности (банкротстве)

N 152-ФЗ от 27.07.2006

ФЗ о персональных данных

N 44-ФЗ от 05.04.2013

ФЗ о госзакупках

N 229-ФЗ от 02.10.2007

ФЗ об исполнительном производстве

N 53-ФЗ от 28.03.1998

ФЗ о воинской службе

N 395-1 от 02.12.1990

ФЗ о банках и банковской деятельности

ст. 333 ГК РФ

Уменьшение неустойки

ст. 317.1 ГК РФ

Проценты по денежному обязательству

ст. 395 ГК РФ

Ответственность за неисполнение денежного обязательства

ст 20.25 КоАП РФ

Уклонение от исполнения административного наказания

ст. 81 ТК РФ

Расторжение трудового договора по инициативе работодателя

ст. 78 БК РФ

Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам

ст. 12.8 КоАП РФ

Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения

ст. 161 БК РФ

Особенности правового положения казенных учреждений

ст. 77 ТК РФ

Общие основания прекращения трудового договора

ст. 144 УПК РФ

Порядок рассмотрения сообщения о преступлении

ст. 125 УПК РФ

Судебный порядок рассмотрения жалоб

ст. 24 УПК РФ

Основания отказа в возбуждении уголовного дела или прекращения уголовного дела

ст. 126 АПК РФ

Документы, прилагаемые к исковому заявлению

ст. 49 АПК РФ

Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение

ст. 125 АПК РФ

Форма и содержание искового заявления