Персональные данные в публичном секторе: можно все
В российском законодательстве о персональных данных (ПД) есть несколько известных дыр, позволяющих органам власти для упрощения жизни менять сущность регулирования, одни положения законодательства интерпретируя «в свою» пользу, а другие игнорируя.
Ниже не исчерпывающий анализ, только примеры.
П. 4 ч. 1 ст. 6 № 152-ФЗ «О персональных данных» допускает обработку ПД, если она «необходима для предоставления государственной или муниципальной услуги…, для обеспечения предоставления такой услуги». И если обработка ПД для предоставления услуг конкретному заявителю обоснована, то «обеспечение предоставления государственных услуг» настолько широкое понятие, что под него, если игнорировать другие нормы закона, можно подвести практически любую деятельность органа власти.
Публичные органы де-факто используют именно расширительную интерпретацию и по своему усмотрению собирают, анализируют и обмениваются ПД с другими властными (и не только) органами.
Другое дозволение дает 210-ФЗ «О госуслугах»: межведомственный обмен допускаются в целях, «связанных… с ведением базовых государственных информационных ресурсов [далее - БГИР] в целях предоставления государственных или муниципальных услуг». Формула «связанный с ведением БГИР» предоставляет ведомствам открытый перечень оснований для обмена ПД: связать ведение того или иного ресурса с обменом - вопрос для ведомств технический.
Третий пример то ли слишком широкой, то ли игнорируемой нормы: статья 18 Закона о ПД говорит: «если персональные данные получены не от субъекта персональных данных, оператор… до начала обработки… обязан предоставить субъекту…: наименование оператора…; цель обработки ПД и ее правовое основание; предполагаемых пользователей ПД; … источник получения ПД». Обратите внимание: предоставить самостоятельно до начала обработки, а не в случае запроса от субъекта ПД.
Информирование субъекта по закону необходимо и в случае обработки ПД для «обеспечения предоставления госуслуг», и для «ведения БГИР». От этой обязанности оператор освобождается если… «персональные данные получены оператором на основании федерального закона». Здесь мы снова сталкиваемся с неверным расширительным толкованием закона. Законодатель говорил про конкретно указанные в том или ином законе данные, а ведомства считают, что раз «обеспечение предоставления» услуг или «ведение БГИР» указаны в федеральном законе (152-ФЗ и 210-ФЗ), то, значит, можно обмениваться ПД, никого об этом не информируя.
Независимо от правильной интерпретации двусмысленных норм, можно констатировать:
- На практике субъект персональных данных лишен возможности узнать, каким публичным оператором, с какой целью, каким образом и на каком основании обрабатываются его ПД;
- На практике субъект персональных данных лишен возможности защитить свои права, в том числе исправить относящиеся к нему ошибочные записи в государственных информресурсах;
- На практике публичные операторы ПД массово осуществляют обмен ПД без должного правового закрепления и без фиксации содержания и событий обмена, при этом нарушаются принципы обработки ПД, определенные № 152-ФЗ (ст. 5):
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, … актуальность…. Оператор должен принимать необходимые меры… по удалению или уточнению неполных или неточных данных.
Надзорный орган (Роскомндазор) из процессов, за которые он как бы отвечает, по сути самоустранился.