Обзоры практики

Е. Г. Воробьёв

Президент Нотариальной палаты Иркутской области

 

 

Обзор практики применения Федерального закона

«О персональных данных» от 27 июля 2006 г. № 152-ФЗ

 

На сегодняшний день достаточно спорным является вопрос о том, можно ли относить нотариусов Российской Федерации к операторам и обработчикам персональных данных (далее – ПДн). Реалии сегодняшнего дня таковы, что по российскому законодательству нотариусы ими являются, что подтверждено законодательными актами РФ, актами Федеральной нотариальной палаты и её отделов и комиссий, а также флагманами Российского нотариата: нотариальными палатами Москвы и Санкт-Петербурга. Попытаемся разобраться с приведенными понятиями. Начнем с истоков этой проблемы и аргументируем серьезность данного вопроса для нотариальной сферы деятельности в том числе.

С первым появлением информационных технологий в 60-70 годах (в России позднее)  значительно увеличился интерес к персональным данным и частной жизни граждан. На это повлиял и мировой прогресс в целом, и стремительное развитие в области информационных технологий, а конкретно - появление мощных компьютеров и, соответственно, появление возможности их использования в различных сферах жизни, в том числе и в качестве слежки и контроля частной жизни, влияния на мировые процессы, умы граждан и т.д., и т.п. Всё это повлекло за собой необходимость принятия нормативных актов, регулирующих сбор и обработку персональных данных. Так в Германии в 1977 г. принят конституционный Закон «О защите персональных данных», в Великобритании с июля 1998 г. действует Закон «О защите информации», в Швеции – Закон «Об охране информации» (1973г.). Подобные законы принимаются и в других странах Европы и мира в целом. Подходы разных стран к проблеме защиты персональных данных имеют много общего. Например, можно выявить ряд основных элементов их защиты:

А. Ограничение объема и использования персональных данных перечнем целей, для которых они предназначены;

Б. Создание механизмов, которые позволяют субъекту персональных данных узнавать о наличии и о содержании его персональных данных, а также требовать их исправления;

В. Указание лиц и их реквизитов, несущих ответственность за соблюдение решений и правил, касающихся защиты персональных данных и неприкосновенность их частной жизни.

В связи с этим можно сделать вывод, что нормативно-правовые акты, защищающие неприкосновенность индивидуальных свобод и частной жизни в сфере персональных данных, охватывают все этапы: от сбора данных до их хранения или уничтожения, при этом стараются обеспечить максимальное информирование субъектов персональных данных, их участие в процессе контроля.

К проблеме защиты ПДн  на международном уровне впервые обратилась Организация по экономическому сотрудничеству и развитию (ОЭСР), которая в 1980 г. приняла рекомендации, касающиеся основных положений о защите неприкосновенности частной жизни и международных обменов ПДн (любая информация, относящаяся к индивидууму, чья личность либо известна, либо может быть установлена). Как установлено в преамбуле к Рекомендациям Совета ОЭСР, его предметом являются два положения: защита частной жизни и индивидуальных свобод, с одной стороны,  и содействие развитию свободных потоков персональных данных, с другой. 

В настоящее время основным международно-правовым документом в этой сфере является Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятая в 1981 году в Страсбурге. Принципиально важным моментом Конвенции является закрепление основных гарантий для граждан-субъектов ПДн, включая право на информированность о сборе данных о себе, право контролировать использование своих персональных данных, право судебной защиты нарушенных прав. В ноябре 2001 г. её подписала и Российская Федерация. В 2005 году Государственная Дума Российской Федерации ратифицировала данную Конвенцию, возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов персональных данных. Первым шагом в реализации взятых обязательств стало принятие 27 июля 2006 г. Федерального закона «О персональных данных» № 152-ФЗ. Законом устанавливаются общие унифицированные требования к обработке персональных данных во всех сферах, где используются эти данные, определяются права субъектов персональных данных и обязанности операторов, осуществляющих обработку данных, а также меры государственного контроля за деятельностью операторов.

Закон «О персональных данных» (далее – Закон о ПДн) ставит большой круг вопросов по его применению, в том числе и в нотариальной деятельности.   Необходимость обеспечения безопасности персональных данных в наше время – это объективная реальность. Использование информационных технологий достигло такого уровня, что компьютерный злоумышленник может узнать нотариальную тайну, даже не заходя в нотариальную контору. Таким образом, защита информации и защита персональных данных – это требование времени, общества, бизнеса и государства. Для того, чтобы нотариат был нужен и полезен обществу в будущем, не следует отказываться от применения информационных технологий, а, наоборот, необходимо научиться использовать их эффективно и безопасно.

Попробуем разобрать Закон о ПДн и некоторые подзаконные акты, касающиеся этого вопроса, на примере особо злободневных вопросов, возникших у нотариального сообщества, и в связи с этим непринятия части нотариального сообщества по отношению к себе этого закона. Какие вопросы в основном возникают у нотариуса:

 

- Являются ли нотариус и нотариальная палата оператором обработки ПДн.

А) Есть ли цель обработки.

Б) Недостаточно ли соблюдать ст. 5 Основ законодательства Российской Федерации о нотариате (далее – Основы) о тайне совершения нотариальных действий.

В) Подпадает ли нотариус под архивное законодательство. 

Г) Автоматизированную обработку ПДн осуществляет нотариус или неавтоматизированную.

- Обязан ли нотариус уведомить уполномоченный орган по защите прав субъектов ПДн об обработке.

- Обязаны ли нотариусы и нотариальные палаты брать письменные согласия на обработку ПДн.

- Должны ли нотариусы и нотариальные палаты защищать обрабатываемые ПДн.

- Что есть для нотариуса блокирование и уничтожение обрабатываемых ПДн.

- Могут ли нотариус и нотариальная палата сами разработать пакет документов и технически обеспечить защиту ПДн.

- Какова ответственность в области защиты ПДн.

На эти и другие вопросы мы постараемся найти ответы или обозначить проблему.

Являются ли нотариус и нотариальная палата оператором обработки ПДн.

Первый вопрос, пожалуй, является самым серьезным, т.к. от него и зависят все остальные.

А) Есть ли цель обработки.

В соответствии со ст.3 Закона о ПДн операторами являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.  Для ИТ-специалистов и контролирующих органов (Роскомнадзор) ответ однозначный - является, а вот с юридической точки зрения, что такое «определяющие цели и содержание обработки ПДн». Вроде с первого взгляда сам нотариус не определяет цели, ее определяет законодательство о нотариате, устав Федеральной нотариальной палаты, устав нотариальной палаты соответствующего субъекта, положения тех и других и т.п. Нотариусу трудно понять идею законодателя и ИТ- специалиста о привязках этого закона к его  деятельности, однако, можно найти цели, которые мы так или иначе определяем, а уже за ними идет содержание обработки ПДн (как это оформить).

Нотариус осуществляет обработку ПДн для достижения следующих целей:

- нотариус самостоятельно рассматривает возможность совершения нотариального действия, в том числе сделок, т.к. в своей деятельности он независим и беспристрастен, действует в соответствии с действующим законодательством;

- предоставление документов для проверок государственным надзорным органам (Минюст России в лице его территориальных органов), проверяющим от нотариальной палаты (нотариусы, аппарат нотариальной палаты) в соответствии с требованиями действующего законодательства Российской Федерации;

- предоставление сведений уведомительного или поискового характера, в том числе об открывшемся наследственном деле, письма в компетентные органы и гражданам, передача заявлений, запросы (по которым имеется предварительное согласие клиента или не имеется таковое), но в силу закона нотариус выполняет их;

-заключение и исполнение договоров с клиентами и/или реализация совместных проектов (обслуживание у конкретного нотариуса и перечисление денег за нотариальные услуги по договору);

-проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

-проведение мероприятий по урегулированию претензий, сообщений клиентов по вопросам качества обслуживания и т.д., и т.п.;

-рассмотрение возможности заключения трудовых договоров, соглашений с субъектом ПДн (секретари, помощники и т.д.);

-регулирование трудовых (гражданско-правовых) отношений субъекта с работодателем (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества);

-передача нотариусом персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством (нанятые бухгалтера, фирмы для обслуживания нотариуса).

Можно в целях и еще много чего указать. С чем-то можно и не соглашаться, но если хоть одно положение из этого списка устоит, значит цель обработки имеется.

В своем письме от 23.12.2011 г. № 2515/07-17 Федеральная нотариальная палата, опираясь на Закон о ПДн, относит нотариусов к операторам персональных данных и на своем сайте дает ответы на некоторые вопросы нотариусов.

Б) Не достаточно ли соблюдать ст. 5 Основ о тайне совершения нотариальных действий.

Мнение, что нотариус не является оператором персональных данных, т.к. законодательство и так требует соблюдения нотариальной тайны, следовательно, безопасность данных, в том числе персональных данных, обеспечивается статьями 5 и 16 Основ, которые предусматривают обязанность нотариуса хранить в тайне сведения, которые стали ему известны в связи с осуществлением его профессиональной деятельности. Также Указ Президента от 06.03.1997 г. «Об утверждении Перечня сведений конфиденциального характера» относит сведения, связанные с профессиональной деятельностью нотариуса, к сведениям, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами. Проблема такого подхода заключается в том, что, во-первых, упор делается на конфиденциальность информации, иными словами, о ее неразглашении и сохранении в тайне, но Закон о ПДн, кроме того, требует принятия ряда конкретных мер, чтобы обеспечить безопасность информации, причем конкретной информации – персональных данных. Необходимо заметить, что врачебная тайна также отнесена вышеназванным указом Президента к сведениям конфиденциального характера, однако Закон о ПДн позволяет обрабатывать персональные данные при оказании медицинских услуг только лицу, «профессионально занимающемуся медицинской деятельностью и обязанному в соответствии с законодательством РФ сохранять врачебную тайну» (пункт 4 части 2 статьи 10 Закона о ПДн). То есть обязанность нотариуса хранить нотариальную тайну и необходимость обеспечить защиту персональных данных не являются вещами взаимоисключающими.

В) Подпадает ли нотариус под архивное законодательство. 

Есть мнение о регулировании деятельности нотариуса архивным  законодательством, т.к. некоторые полагают, что действие соответствующего закона не распространяется на отношения, возникающие при «организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации» Пунктом 4 статьи 22 Федерального закона от 22.10.2004 г. «Об архивном деле в Российской Федерации» записи нотариальных действий отнесены к документам Архивного фонда Российской Федерации до их передачи на постоянное хранение.

Не подпадает под определение архивных документов то, что сейчас хранится в компьютере нотариуса. С точки зрения Закона «Об архивном деле в Российской Федерации» архивный документ – это «материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства». Информация же в компьютере нотариуса не подлежит хранению и может быть удалена без каких-либо последствий, также она не имеет юридического значения и может быть недостоверной. Информация в компьютере нотариуса и сам компьютер, как сказано выше, являются информационной системой персональных данных (далее – ИСПДн), облегчающей работу нотариуса. Архив нотариальных документов может создаваться и существовать вне зависимости от существования ИСПДн, при необходимости персональные данные субъекта могут быть удалены из ИСПДн без каких-либо последствий, а из документов архива нет. Одна из основных целей создания ИСПДн определена в Основах: составлять проекты сделок, заявлений и других документов, изготовлять копии документов и выписки из них. Информация в компьютере, хотя и имеет материальный носитель, но не является архивными документами в силу определения, следовательно, обработка такой информации не подпадает под исключения, на которые не распространяется Закон о ПДн. Закон о ПДн призван охватить максимально большое количество случаев обработки персональных данных. Кроме того, нотариусами работа осуществляется не для  личных нужд.

Если нотариусы будут опираться на тот факт, что документы являются архивным фондом, то можно указать следующее:

1. В Основах не прописано, что документы являются собственностью Российской Федерации.

2. Подразумевается, что прописано и в Правилах нотариального делопроизводства, утвержденных решением правления Федеральной нотариальной палаты от 18.11.2009 г. №11/09, приказом Министерства юстиции Российской Федерации от 19.11.2009 г. № 404, что до передачи в соответствующий архив документы находятся на оперативном хранении, то есть не являются частью архивного фонда Российской Федерации, таковыми они могут стать только после сдачи в архив.

3. Если так, то необходимо соблюдение требований, предъявляемых к архивам, которые гораздо жестче, чем требования о защите ПДн: определенные площади, определённая влажность, определенное освещение, требования защиты: охранные сигнализации, системы пожаротушения, системы охлаждения, вентилирования. То есть на практике если при проведении проверки указать, что документы относятся к архивному фонду, то в первую очередь проверяется соответствие  требований хранения  архива, а если они не будут соответствовать всем требованиям, то будут проверяться на соответствие Закону о ПДн.

Г) Автоматизированную обработку ПДн осуществляет нотариус или не автоматизированную. 

Не хотелось бы повторяться, на сайте Федеральной нотариальной палаты есть статья, где конкретно говорится о том, что нотариус осуществляет автоматизированную обработку ПДн. По нашему мнению, если в самой работе по совершению нотариальных действий этого не усматривается, то на сегодняшний день отрицать это нельзя в большей степени в работе с Информационной системой нотариуса «еНот» и запросами с использованием электронной цифровой подписи. Хотелось бы отметить, что в настоящее время автоматизированная обработка персональных данных понимается очень широко, то есть не обязательно должна быть специальная программа на компьютере, которая ПДн систематизирует. В данном случае  обработка персональных данных с помощью средств вычислительной техники, то есть простое использование компьютера, в том числе набор текста документа в программе Word,  подпадает под автоматизированную обработку (ст. 3 Закона о ПДн). Ранее было большое количество судебных споров по вопросу, относить ли те или иные действия к автоматизированной обработке, что включать в это понятие, после чего в Закон о ПДн были внесены изменения и понятие стало максимально расширенным (в ред. Федерального закона от 25.07.2011 N 261-ФЗ). 

Учитывая вышесказанное, считаем, что нотариуса все же следует рассматривать как оператора персональных данных.

  Обязан ли нотариус уведомить уполномоченный орган по защите прав субъектов ПДн об обработке.

Анализ части 2 статьи 22 Закона о ПДн определяет случаи, в которых уведомление об обработке ПДн не является обязательным:

- если субъекта ПДн связывают с оператором трудовые отношения;

- если обработка ПДн осуществляется лишь для исполнения договора, заключенного с субъектом ПДн;

- если персональные данные относятся к членам общественных объединений или религиозных организаций;

- если персональные данные являются общедоступными;

- если персональные данные включают только ФИО;

- если персональные данные необходимы только для однократного пропуска субъекта ПДн на территорию организации или в аналогичных целях;

- если речь идет о федеральных автоматизированных информационных системах, а также государственных автоматизированных информационных системах, созданных для обеспечения безопасности государства и защиты общественного порядка;

- если обработка персональных данных осуществляется без использования средств автоматизации в соответствии с законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Нотариус из всего вышесказанного не подпадает под действие этой статьи и должен уведомить компетентные органы (Роскомнадзор) об обработке им ПДн. В соответствии с Законом о ПДн оператор обязан уведомить уполномоченный орган об обработке персональных данных. Территориальные органы Роскомнадзора обладают доступными и законными способами установить факт деловой активности лица (оператора): запросить необходимую информацию у оператора, провести плановую проверку, а также проверку по жалобам и обращениям физических и юридических лиц. Отсутствие уведомления от оператора Роскомнадзор вправе расценить как административное правонарушение, предусмотренное статьей 19.7 Кодекса РФ об административных правонарушениях (далее – КоАП).

Обязаны ли нотариусы и нотариальные палаты брать письменные согласие на обработку ПДн.

Не требуется получения согласий, если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов ПДн. Законов таких довольно много: об оперативно-розыскной, врачебной, адвокатской, благотворительной, банковской и прочих видах деятельности. Если какой-либо федеральный закон, регулирующий вид конкретной деятельности, например, в качестве профессионального участника рынка ценных бумаг, предусматривает получение ПДн от субъектов и их обработку в целях осуществления деятельности, то никаких согласий для этого не требуется. 

   Должны ли нотариусы и нотариальные палаты защищать обрабатываемые ПДн.

Нотариус в своей деятельности использует компьютер, интернет, электронную почту, электронную цифровую подпись и т.д., т.е использует информационные технологии – а это процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (пункт 2 статьи 2 Федерального закона от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации»). Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (в том числе средства изготовления, тиражирования документов и другие технические средства обработки буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и тому подобное), средства защиты информации, применяемые в информационных системах («Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено Постановлением Правительства РФ 17.11.2007 г. № 781 (далее – Постановление Правительства № 781)).

Необходимо подчеркнуть, что в соответствии со статьей 19 Закона о ПДн оператор, тем не менее, обязан применять средства защиты, прошедшие в установленном порядке процедуру оценки соответствия, то есть имеющие сертификат соответствия ФСТЭК; такое же требование содержится в Постановлении Правительства № 781. Ответственность оператора за использование несертифицированных средств защиты предусмотрена пунктом 2 статьи 13.12 КоАП, санкция предусматривает штраф, а для юридических лиц также предусмотрена конфискация несертифицированных средств защиты.

В соответствии со статьей 18 Закона о ПДн оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства по защите ПДн.

 Что есть для нотариуса блокирование и уничтожение обрабатываемых ПДн.

Еще одной проблемой для соблюдения указанного закона нотариусом являются его положения о выполнении требования закона об уничтожении персональных данных. На сегодняшний день нотариус не ведет электронного реестра, поэтому уничтожить данные в компьютере по заявлению клиента не составляет большого труда и ни на что не влияет, т.к. компьютер используется, по сути, в качестве печатной машины с сохранением данных. Что касается  уничтожения данных из письменных документов, нотариус работает по специальному закону, Основам и Правилам нотариального делопроизводства. Их и необходимо соблюдать, сроки хранения обозначены, правила уничтожения определены.    

По новой редакции Закона о ПДн уничтожение можно не делать вообще, переведя данные документы в архив или произведя их обезличивание. Возможно, в законе будут уточнения и изменения, и этот порядок тоже будет действовать для таких структур, как нотариат, суд, паспортные столы и другие, и по этому поводу будет что-то конкретно прописано. 

Что в таком случае делать? Необходимо возвращаться к определению в законе: «уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных».

Из всего вышесказанного можно заключить, что вопрос уничтожения персональных данных на сегодняшний день для некоторых особых структур не урегулирован.

Могут ли нотариус и нотариальная палата сами разработать пакет документов и технически обеспечить защиту ПДн.

Все это возможно на сегодняшний день сделать без участия фирм- посредников, которые за указанную работу берут серьезные деньги. 

А) Нет необходимости осуществлять лицензирование деятельности по ТЗКИ и аттестацию ИСПДн по требованиям безопасности информации.

Б) Положение о методах и способах защиты информации в информационных системах персональных данных внесло важное изменение: отменена обязательная аттестация ИСПДн вне зависимости от классов. Это важно, так как стоимость проведения таких процедур достаточно велика и измеряется десятками тысяч, а то и сотнями тысяч рублей.

Необходимо подчеркнуть, что в соответствии со статьей 19 Закона о ПДн оператор, тем не менее, обязан применять средства защиты, прошедшие в установленном порядке процедуру оценки соответствия, то есть имеющие сертификат соответствия ФСТЭК; такое же требование содержится в Постановлении Правительства № 781. Ответственность оператора за использование не сертифицированных средств защиты предусмотрена пунктом 2 статьи 13.12 КоАП, санкция предусматривает штраф, а для юридических лиц также предусмотрена конфискация не сертифицированных средств защиты.

В) Закон не требует наличия сертификата соответствия у специального программного обеспечения, участвующего в обработке ПДн, используемого оператором при обработке персональных данных, в частности, для составления нотариальных документов. Сертификация необходима для средств защиты, и ее проводит разработчик этого средства. При выборе средств защиты следует учитывать срок действия сертификата. 

Какова ответственность в области защиты ПДн.

Уголовная ответственность за нарушение требований ФЗ «О персональных данных»:

ст. 137 Уголовного кодекса Российской Федерации - незаконное собирание и распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении;

ст. 140 Уголовного кодекса Российской Федерации - неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации.

Гражданско-правовая ответственность за нарушение требований ФЗ «О персональных данных»:

Субъект ПДн могут потребовать прекращения использования персональных данных, исключения (удаления) их. Также возможны требования, связанные с компенсацией морального вреда.

Административная ответственность за нарушение требований ФЗ «О персональных данных»:

Наказание возможно в виде штрафа до 10 тысяч рублей.  

ст. 5.39 КоАП РФ - отказ в предоставлении гражданину документов и материалов, непосредственно затрагивающих права и свободы гражданина либо несвоевременное представление таких материалов, либо предоставление гражданину неполной или заведомо недостоверной информации;

ст. 13.11 КоАП РФ - нарушение установленного законом порядка сбора, хранения, использования и распространения персональных данных;

ст. 13.14 КоАП РФ - разглашение информации, доступ к которой ограничен федеральным законом;

ст. 19.7 КоАП РФ - непредставление или несвоевременное представление уведомления об обработке персональных данных или иной информации по запросу уполномоченного органа.

Выводы: Нотариус и нотариальные палаты на сегодняшний день являются операторами и обработчиками ПДн и должны принять все необходимые меры по защите информации, ставшей ей доступной в результате их деятельности.

Законодательство о персональных данных довольно сложное и затрагивает разные отрасли и сферы деятельности. Поэтому для решения проблем, возникающих при его применении, необходимо привлечь не только юристов, ИТ-специалистов, но и проверяющие и контролирующие органы, чтобы выработать единый подход к решению вопросов обработки и защиты персональных данных. Законодательство в этой сфере будет и дальше изменяться, расширяться, уточняться, т.к. на сегодняшний день многие вопросы не решены.

Достаточно ли применить только организационные меры или необходимо внедрить какие-то дополнительные технические средства защиты информации при обработке ПДн? Естественно, нужно оценивать применение тех или иных технических средств, исходя из таких критериев, как достаточность и необходимость.