Персональные данные в публичном секторе - 2
Ниже я кратко опишу два примера обработки ПД в госсекторе в нарушение духа и буквы Закона о персональных данных (152-ФЗ), о которых шла речь в соседнем посте. Примеры выбраны в силу их наглядности и типичности. Они, кстати, не худшие случаи: ведомства часто обрабатывают ПД вообще без правового оформления, и об этом мало кто знает.
1) Пример №1: Универсальная электронная карта (УЭК).
Согласно ч. 1 ст. 26 Закона о госуслугах (210-ФЗ), штатный выпуск УЭК осуществляется «на основании информации» о ПД граждан, которая имеется у федеральных и региональных органов власти. Более того, эти органы обязаны не просто передавать указанную информацию, но «предоставить уполномоченной организации субъекта РФ доступ к информационным системам в части информации, необходимой для выпуска, выдачи и обслуживания универсальных электронных карт». При этом, согласно 210-ФЗ, «уполномоченной организацией» может быть не только орган власти, но и в общем случае «юридическое лицо» (ст. 24).
На основании полученной информации выпускается УЭК, причем в штатном режиме для этого заявление гражданина не требуется (на стадии запуска проекта - по заявлению).
2) Пример №2: «Базовый регистр информации, необходимой для предоставления государственных услуг в городе Москве» (далее - Базовый регистр, создан Распоряжением Правительства Москвы № 376-РП).
Согласно Распоряжению, Базовый регистр - это «информационный ресурс в электронном виде, представляющий собой совокупность сведений и информации об их источниках, необходимый органам исполнительной власти города Москвы, организациям для предоставления государственных услуг». В Регистре собираются сведения о юридических и физических лицах. О последних в рамках единой базы хранится 140 реквизитов, в том числе СНИЛС, ИНН, номер полиса ОМС, ФИО, пол, дата и место рождения, сведения о родственниках, сведения о регистрации, сведения о пенсионном обеспечении, информация о праве собственности на движимое и недвижимое имущество, сведения о доходах и др.
Базовый регистр - это гораздо круче, чем даже пресловутый «регистр населения». Если регистр населения обычно содержит только идентификатор личности и его базовые ПД (что позволяет отказаться от их хранения в отраслевых информресурсах), то Базовый регистр агрегирует вообще все, что только можно, включая отраслевые идентификаторы.
При этом правовой статус регистра населения должен устанавливаться только федеральным законом (ч. 4 ст. 13 152-ФЗ). Однако авторы Положения формально не считают Базовый регистр «регистром населения» и обходятся без федерального закона.
Итак. В обоих приведенных примерах согласие субъекта ПД на передачу его персональных данных не получается, и обработка ПД осуществляется без его информирования до начала обработки (что вообще-то требуется согласно ч. 3 ст. 18 152-ФЗ).
И если в отношении УЭК можно спорить, считать ли нормы 210-ФЗ основанием не информировать субъекта, то передача ПД в Базовый регистр никак не подпадает ни под одно из исключений, предусмотренных ч. 4 ст. 18 152-ФЗ. Это означает, что каждое физическое лицо должно уведомляться о включении его ПД в Базовый регистр до начала обработки.
В любом случае действия операторов противоречит духу 152-ФЗ.
Во-первых, невозможно говорить, что обработка ПД в этих случаях «необходима» для предоставления услуг. Что Базовый регистр, что УЭК лишь облегчают предоставление услуг, но ни в коей мере не является необходимостью (условием) их получения. Получение услуги было и остается возможным без УЭК (что прямо написано в 210-ФЗ) и Базового регистра (что следует из НПА, определяющих порядок предоставления конкретных услуг). В случае УЭК, кстати, получить услугу с ее помощью сегодня невозможно даже теоретически: она, увы, не принимается на Портале госуслуг.
Во-вторых, сбор и использование имеющихся в распоряжении иных органов власти ПД без ведома субъектов ПД не учитывает базовые принципы «точности», «актуальности», не «избыточности» 152-ФЗ (ст. 5). Имеющиеся в распоряжении органов власти ПД могут быть противоречивыми (повсеместное явление) и не актуальными (аналогично). В результате субъект ПД получит УЭК, на которой содержатся неточные данные. Аналогичная ситуация с Базовым регистром, записи в котором, согласно Положению, имеют «равные юридическую силу и правовые последствия», что и документы на бумажных носителях. Неточные или неактуальные сведения могут быть причиной отказов в предоставлении услуги. При этом даже формальная цель, ради которой осуществляется обработка ПД без согласия субъекта (предосталвение услуги), не достигается.
Также факт передачи персональных данных для выпуска УЭК или ведения Базового регистра с точки зрения 152-ФЗ есть обработка ПД, «несовместимая» с целями их сбора. Прямое нарушение закона.
Снова передаем привет Роскомнадзору и прочим надзорным органам.
(Более детальный и весьма качественный анализ Базового регистра можно прочитать здесь.)
1) Пример №1: Универсальная электронная карта (УЭК).
Согласно ч. 1 ст. 26 Закона о госуслугах (210-ФЗ), штатный выпуск УЭК осуществляется «на основании информации» о ПД граждан, которая имеется у федеральных и региональных органов власти. Более того, эти органы обязаны не просто передавать указанную информацию, но «предоставить уполномоченной организации субъекта РФ доступ к информационным системам в части информации, необходимой для выпуска, выдачи и обслуживания универсальных электронных карт». При этом, согласно 210-ФЗ, «уполномоченной организацией» может быть не только орган власти, но и в общем случае «юридическое лицо» (ст. 24).
На основании полученной информации выпускается УЭК, причем в штатном режиме для этого заявление гражданина не требуется (на стадии запуска проекта - по заявлению).
2) Пример №2: «Базовый регистр информации, необходимой для предоставления государственных услуг в городе Москве» (далее - Базовый регистр, создан Распоряжением Правительства Москвы № 376-РП).
Согласно Распоряжению, Базовый регистр - это «информационный ресурс в электронном виде, представляющий собой совокупность сведений и информации об их источниках, необходимый органам исполнительной власти города Москвы, организациям для предоставления государственных услуг». В Регистре собираются сведения о юридических и физических лицах. О последних в рамках единой базы хранится 140 реквизитов, в том числе СНИЛС, ИНН, номер полиса ОМС, ФИО, пол, дата и место рождения, сведения о родственниках, сведения о регистрации, сведения о пенсионном обеспечении, информация о праве собственности на движимое и недвижимое имущество, сведения о доходах и др.
Базовый регистр - это гораздо круче, чем даже пресловутый «регистр населения». Если регистр населения обычно содержит только идентификатор личности и его базовые ПД (что позволяет отказаться от их хранения в отраслевых информресурсах), то Базовый регистр агрегирует вообще все, что только можно, включая отраслевые идентификаторы.
При этом правовой статус регистра населения должен устанавливаться только федеральным законом (ч. 4 ст. 13 152-ФЗ). Однако авторы Положения формально не считают Базовый регистр «регистром населения» и обходятся без федерального закона.
Итак. В обоих приведенных примерах согласие субъекта ПД на передачу его персональных данных не получается, и обработка ПД осуществляется без его информирования до начала обработки (что вообще-то требуется согласно ч. 3 ст. 18 152-ФЗ).
И если в отношении УЭК можно спорить, считать ли нормы 210-ФЗ основанием не информировать субъекта, то передача ПД в Базовый регистр никак не подпадает ни под одно из исключений, предусмотренных ч. 4 ст. 18 152-ФЗ. Это означает, что каждое физическое лицо должно уведомляться о включении его ПД в Базовый регистр до начала обработки.
В любом случае действия операторов противоречит духу 152-ФЗ.
Во-первых, невозможно говорить, что обработка ПД в этих случаях «необходима» для предоставления услуг. Что Базовый регистр, что УЭК лишь облегчают предоставление услуг, но ни в коей мере не является необходимостью (условием) их получения. Получение услуги было и остается возможным без УЭК (что прямо написано в 210-ФЗ) и Базового регистра (что следует из НПА, определяющих порядок предоставления конкретных услуг). В случае УЭК, кстати, получить услугу с ее помощью сегодня невозможно даже теоретически: она, увы, не принимается на Портале госуслуг.
Во-вторых, сбор и использование имеющихся в распоряжении иных органов власти ПД без ведома субъектов ПД не учитывает базовые принципы «точности», «актуальности», не «избыточности» 152-ФЗ (ст. 5). Имеющиеся в распоряжении органов власти ПД могут быть противоречивыми (повсеместное явление) и не актуальными (аналогично). В результате субъект ПД получит УЭК, на которой содержатся неточные данные. Аналогичная ситуация с Базовым регистром, записи в котором, согласно Положению, имеют «равные юридическую силу и правовые последствия», что и документы на бумажных носителях. Неточные или неактуальные сведения могут быть причиной отказов в предоставлении услуги. При этом даже формальная цель, ради которой осуществляется обработка ПД без согласия субъекта (предосталвение услуги), не достигается.
Также факт передачи персональных данных для выпуска УЭК или ведения Базового регистра с точки зрения 152-ФЗ есть обработка ПД, «несовместимая» с целями их сбора. Прямое нарушение закона.
Снова передаем привет Роскомнадзору и прочим надзорным органам.
(Более детальный и весьма качественный анализ Базового регистра можно прочитать здесь.)