Основные направления совершенствования правового регулирования защиты персональных данных в Российской Федерации в контексте правового опыта Европейского Союза

Европейский Союз на протяжении десятилетий выступает стратегическим партнером Российской Федерации и, в первую очередь, развитие взаимоотношений происходит в экономической плоскости.

Одним из приоритетных направлений деятельности Европейской комиссии является международное сотрудничество по вопросам защиты персональных данных для того, чтобы оказывать помощь на взаимной основе в обеспечении соблюдения актов о защите персональных данных, привлекать все заинтересованные стороны к дискуссиям и мероприятиям, направленным на содействие сотрудничеству в области обеспечения приемлемого уровня защиты персональных данных и т.д. Эти направления закреплены на уровне вторичного права ЕС в таких актах, как Регламент (ЕС) 2016/679, Директива (ЕС) 2016/680 и других, составляющих в настоящее время основу правового регулирования защиты данных в Союзе. При этом следует отметить, что аналогичные нормы, посвященные сотрудничеству в сфере защиты персональных данных на международном и региональных уровнях, содержатся и в законодательстве РФ.

В этой связи представляется необходимым провести сравнительный анализ правового регулирования защиты персональных данных Европейского Союза и Российской Федерации, с тем, чтобы выявить, каким

образом правовые акты ЕС и законы РФ о защите данных оказывали взаимное влияние. Это важно в свете развития дальнейшего сотрудничества РФ с ЕС и совершенствования российского законодательства в контексте правового опыта Европейского Союза.

Кроме того, в настоящее время вопросы защиты персональных данных активно продвигаются Россией в рамках Евразийского экономического союза (ЕАЭС). Так, одним из вопросов, поставленных Россией во время председательства в организации в 2018 году, была разработка соглашения между государствами-членами о персональных данных. Защита персональных данных является одним из приоритетных направлений деятельности Евразийской экономической комиссии, согласно Цифровой повестке ЕАЭС до 2025 года¹. Однако для того чтобы успешно сотрудничать с государствами-членами организации, Российской Федерации важно иметь собственное законодательство, отвечающее современным реалиям, включающее эффективные механизмы защиты данных и обеспечивающее высокий уровень защиты прав и свобод индивидов и, в частности, права на защиту персональных данных.

Все это свидетельствует о необходимости более глубокого изучения современного российского законодательства в области защиты персональных данных и практики его применения для того, чтобы выявить проблемы и высказать предложения в целях совершенствования законодательных актов Российской Федерации.

Законодательство Российской Федерации в области персональных данных основывается на Конституции РФ^[213][214] и международных договорах Российской Федерации и состоит из Федерального закона от 27 июля 2006 г.

№ 152-ФЗ «О персональных данных»¹ (далее - ФЗ «О персональных данных») и других федеральных законов.

В Конституции РФ закреплены правовые основы защиты персональных данных в Российской Федерации. Так, ст. 23 гарантирует право каждого на неприкосновенность частной жизни, ст. 24 содержит нормы о недопустимости сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, а в ч. 4 ст. 29 закреплено право искать, получать, передавать, производить и распространять информацию любым законным способом. В настоящий момент приведенные положения Конституции РФ конкретизируются в нормах федеральных законов посредством закрепления действенных правовых механизмов неприкосновенности частной жизни в целом и защиты персональных данных в частности.

Нормы, касающиеся правового регулирования защиты личных данных физических лиц в РФ в различных сферах общественных отношений, содержатся и в других законах, к примеру, в Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»^[215][216] (далее - ФЗ «Об информации»), в Федеральном законе от 25 января 2002 г. № 8-ФЗ «О Всероссийской переписи населения»^[217] (ст. 1 и ст. 8), в Федеральном законе от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства»^[218] (ст. 9), в главе 14 «Защита персональных данных работника» Трудового кодекса РФ^[219] и др. Обработка персональных данных правоохранительными органами РФ по вопросам, связанным с осуществлением ими своей деятельности, регламентируется в Федеральном

законе от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности»¹ (в статьях 5, 6, 7, 8), в ст. 6 Федерального закона от 3 апреля 1995 г. № 40-ФЗ «О федеральной службе безопасности»^[220][221] и др. Уголовная ответственность за нарушения персональных данных предусмотрена Уголовным кодексом РФ^[222] (ст. 137, ст. 140), а гражданско-правовая ответственность может быть применена на основании ст. 151 Гражданского кодекса РФ^[223]. Кодекс РФ об административных правонарушениях^[224]регламентирует административную ответственность за нарушение законодательства РФ в области персональных данных (ст. 11, ст. 13), а Трудовой кодекс РФ в свою очередь определяет, что лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке личных данных работника, привлекаются к дисциплинарной и материальной ответственности.

На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных^[225].

До принятия ФЗ «О персональных данных» существовала правовая проблема, которая заключалась в том, что такие основные отрасли законодательства, как гражданское и уголовное законодательство, не использовали понятие «персональные данные», применяя в своих нормах понятие «частной жизни», трактовки которого имеют существенные различия. Так, по мнению И.Л. Бачило, нарастание правовых норм относительно порядка работы с персональными данными не могло свидетельствовать о том, что все вопросы в этой области решены. В частности, длительное время оставался открытым вопрос о перечне персональных данных и размытости границы между данными о частной жизни субъекта и той частью информации о личности, которая подпадает под определение персональных данных^[226]. Наличие терминологических и некоторых других различий в законодательстве не позволяло с уверенностью говорить о возможности эффективного обеспечения права на защиту личных данных в административном или судебном порядке в случае его нарушения.

С принятием ФЗ «О персональных данных» большинство спорных моментов было урегулировано. Этот Закон направлен на обеспечение защиты права физических лиц на неприкосновенность частной жизни при выполнении операций по сбору и обработке персональных данных, осуществляемого путем установления общих принципов и условий сбора и обработки персональных данных, определения прав субъектов данных, обязанностей и ответственности операторов, установления условий трансграничной передачи персональных данных, а также регламентации государственного контроля и надзора за обработкой персональных данных и ответственности за нарушение положений настоящего Закона.

Неотъемлемым элементом системы правового регулирования защиты персональных данных в РФ выступают ратифицированные ею международные соглашения и конвенции.

предусмотрены федеральными законами РФ, применяются правила международного договора. Важным шагом с точки зрения обеспечения защиты прав субъектов данных в РФ, в том числе посредством привлечения к ответственности государственных органов за нарушения права на защиту персональных данных физических лиц, стала ратификация Россией Европейской Конвенции о защите прав человека и основных свобод¹ (далее - ЕКПЧ) в 1998 г. Как следствие, на Россию стала распространяться юрисдикция Европейского Суда по правам человека (далее - ЕСПЧ), начиная с 5 мая 1998 г. Таким образом, граждане РФ получили право на защиту своих нарушенных прав применительно к обработке персональных данных путем подачи жалоб в ЕСПЧ, так как, согласно ст. 8 ЕКПЧ, «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции».

Данное положение Конвенции подразумевает право человека на защиту его персональных данных. Такая позиция, в частности, содержится в отчете отдела по проведению исследований Совета Европы «Интернет: прецедентная практика Суда по правам человека»^[227][228]: «в соответствии с Конвенцией Совета Европы 1981 года о защите частных лиц в отношении автоматизированной обработки данных личного характера, «данные личного характера» определяются как любая информация, относящаяся к потенциально или фактически идентифицируемому лицу. Защита и хранение данных личного характера, очевидно, попадает в сферу действия частной жизни, защищенной ст. 8 ЕКПЧ». Европейский Суд также указал, что защита данных личного характера имеет важнейшее значение для возможности лица

₃ осуществлять право на неприкосновенность частной и семейной жизни^[229].

Итак, в настоящее время в России имеется комплексная нормативная база, призванная обеспечить эффективную реализацию физическими лицами права на защиту персональных данных. При этом основным ее звеном выступает ФЗ «О персональных данных», принятие которого связано с возрастающим влиянием на правовую систему России международного права, в том числе соглашений и конвенций, разработанных Советом Европы и Всемирной торговой организации (ВТО).

Вопросам правового регулирования защиты персональных данных в РФ стало уделяться внимание с начала XXI века. Разработка нормативного документа, регулирующего отношения, связанные с защитой персональных данных в РФ, изначально была продиктована причинами экономического характера. Так, одним из условий вступления России в ВТО было обеспечение необходимого уровня защиты данных физических лиц на территории страны. Для этой цели Российская Федерация 7 ноября 2001 года подписала Конвенцию № 108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных¹ (далее - Конвенция № 108). Данная Конвенция декларирует гражданам защиту от коммерческого использования электронных баз их персональных данных, причем обеспечивать такую защиту должно непосредственно само присоединившееся государство^[230][231].

Конвенция № 108 предусматривает, что государство, подписавшее документ, предъявляет усиленные технические требования к расположенным на его территории контролерам данных, то есть операторам, занимающихся обработкой персональных данных физических лиц. Для реализации положений Конвенции государство должно принять национальный закон о персональных данных, который закреплял бы указанные в Конвенции требования. До принятия такого закона можно было признать обработку

персональных данных незаконной в случаях, указанных в Конвенции, но о таких прецедентах в нашей стране ничего не известно. Следовательно, Конвенция № 108 формально была принята в Российской Федерации, но фактически продолжительное время не действовала из-за отсутствия внутригосударственных нормативных правовых актов.

ФЗ «О персональных данных» вступил в силу 26 января 2007 года и закрепил, что ответственными за соблюдение его положений органами являются: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)¹ - в части

организационных мер, а ФСТЭК^[232][233] и ФСБ^[234] - в части технических мер защиты^[235].

С момента принятия ФЗ «О персональных данных» защита прав и свобод физических лиц в отношении обработки персональных данных стала предметом частого рассмотрения в российских судах различного уровня, в том числе в Верховном Суде РФ^[236] и в Конституционном Суде РФ^[237] по вопросам толкования некоторых норм Закона. Кроме того, граждане РФ обращаются за защитой своего права на защиту персональных данных в ЕСПЧ, так как такая возможность на данный момент предусмотрена ЕКПЧ^[238].

Для того чтобы определить подходы к правовому регулированию защиты персональных данных в Европейском Союзе и Российской Федерации, необходимо провести сравнительный анализ российского законодательства о персональных данных и европейских правовых актов, регулирующих общественные отношения в сфере защиты персональных данных физических лиц.

Во-первых, очевидно, что большое влияние на содержание российского ФЗ «О персональных данных» оказала Директива 95/46/ЕС, действовавшая в Европейском Союзе на момент его принятия. В качестве примера можно привести несколько положений российского Закона, по смыслу и даже по содержанию аналогичных нормам, закрепленным в Директиве. Так, ст. 22 Закона обязывает оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов данных о своем намерении осуществлять обработку. Обязанность уведомлять уполномоченный орган о начале обработки данных была изначально закреплена лишь в европейской Директиве 95/46/ЕС^[239]. Далее в ч. 2 ст. 22 ФЗ «О персональных данных» определен ряд случаев, когда законодатель позволяет осуществлять обработку без предварительного уведомления уполномоченного органа по защите прав субъектов данных. Данная норма аналогична положению, закрепленному в Директиве 95/46/ЕС (ст. 18).

Анализ положений нормативных документов говорит о том, что ФЗ «О персональных данных» содержит и другие положения, принятые под влиянием европейской Директивы 1995 г., и, в частности, о трансграничной передаче персональных данных (ст. 12 Закона и ст. 25, ст. 26 Директивы), об обработке специальных категорий персональных данных (ст. 10 Закона и ст. 8 Директивы). Этот факт также подтверждает объем и структура российского

документа. ФЗ «О персональных данных» включает в себя шесть глав^[240]и всего 25 статей, что примерно соответствует Директиве, включающей в себя 34 статьи и семь глав с похожим содержанием.

Во-вторых, ФЗ «О персональных данных» регулирует обработку данных сразу в нескольких сферах общественной жизни. Для этого в ЕС в настоящее время предусмотрены разные правовые акты. Так, обработка персональных данных органами и учреждениями Союза регулируется Регламентом (ЕС) 2018/1725. Такое разделение сфер представляется оправданным, так как уместить в один Закон все требования по обработке данных, как частными лицами, так и государственными и муниципальными органами, достаточно сложно. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных содержатся в ст. 13 и в других положениях российского Закона.

ФЗ «О персональных данных» также содержит нормы, которые в европейском праве отнесены к сфере действия специальной «полицейской» Директивы (ЕС) 2016/680. В соответствии со ст. 6 Закона обработка личных данных допускается, в том числе, в следующих случаях: в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве и т.д. Данные нормы по смыслу соотносятся с п. 1 ст. 1 и другими положениями Директивы.

В ч. 2 ст. 10 Закона перечислены случаи, когда допускается обработка специальных категорий персональных данных правоохранительными и судебными органами, органами и службами государственной безопасности, органами прокуратуры и т.д. Аналогичные по содержанию основы обработки

специальных категорий данных указанными органами на уровне Союза заложены в Директиве (ЕС) 2016/680.

Компетентными органами, осуществляющими обработку персональных данных в указанных выше случаях, являются: органы внутренних дел РФ, Федеральная служба безопасности, Федеральная служба исполнения наказаний, Федеральная служба судебных приставов, прокуратура и др. Ст. 1 Директивы устанавливает, что обработку таких личных данных должен проводить компетентный орган государства-члена^[241].

В ч. 5 ст. 18 ФЗ «О персональных данных» говорится о том, что при сборе данных, в том числе посредством информационно­телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории РФ. В ЕС большинство вопросов, связанных с защитой персональных данных, обрабатываемых посредством электронных средств связи, регулируется Директивой 2002/58/ЕС и другими актами.

В-третьих, ФЗ «О персональных данных» наделяет широкими полномочиями в том, что касается сбора и последующей обработки личных данных, правоохранительные органы. Например, обработка специальных категорий персональных данных, полученных в установленных законодательством РФ случаях, допускается в связи с осуществлением прокурорского надзора органами прокуратуры.

Ст. 19 ФЗ «О персональных данных» предоставляет обширные полномочия по контролю и надзору за соблюдением правового режима защиты персональных данных правоохранительным органам. В частности, проекты нормативных правовых актов и проекты решений, принятых

ассоциациями и организациями операторов, подлежат согласованию с ФСТЭК России и ФСБ России. Кроме того, контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в государственных информационных системах персональных данных осуществляются ФСТЭК России и ФСБ России в пределах их полномочий.

В других федеральных законах имеются положения, позволяющие сбор и хранение информации о частной жизни лица без его согласия, составленные в духе конституционных принципов защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения безопасности общества и государства и усиленные в свете принятия ряда нормативных мер, направленных на борьбу с терроризмом. Примером может служить Федеральный закон от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности»¹, в статьях 5, 6, 7, 8 которого, в частности, говорится о том, что собирание сведений о личности может осуществляться путем опроса граждан, исследования предметов и документов, наблюдения, контроля почтовых отправлений, телеграфных и иных сообщений, прослушивания телефонных переговоров, снятия информации с технических каналов связи, а также получения компьютерной информации и некоторых других. Аналогичная позиция законодателя закреплена и в ст. 6 Федерального закона от 3 апреля 1995 г. № 40-ФЗ «О федеральной службе безопасности»^[242][243].

Согласно ч. 2 ст. 11 ФЗ «О персональных данных» обработка биометрических данных может осуществляться без согласия субъекта данных, в том числе: в связи с осуществлением правосудия и исполнением судебных актов; в связи с проведением обязательной государственной дактилоскопической регистрации; в случаях, предусмотренных законодательством РФ об обороне, о безопасности, о противодействии

терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе; уголовно­исполнительным законодательством РФ и т.д. Аналогичная позиция содержится и в Разъяснениях Роскомнадзора по вопросам отнесения фото- и видеоизображений, дактилоскопических данных и иной информации к биометрическим данным и особенностей их обработки от 30 августа 2013 г.¹

Таким образом, нормы ФЗ «О персональных данных» наделяют широкими полномочиями по сбору личной информации без согласия субъекта, в первую очередь, органы государственной безопасности. Учитывая то, что нормативные акты не предусматривают ответственности таких органов, то такая общая формулировка, на наш взгляд, может привести к злоупотреблению полномочиями со стороны соответствующих государственных органов и их должностных лиц (в личных интересах, с нарушениями регламентированных сроков и способов обработки и хранения и т.д.). Такие ситуации уже неоднократно рассматривались в рамках Европейского Суда по правам человека. В качестве примера можно привести дело «Роман Захаров против России», связанное с доступом спецслужб к данным о телефонных переговорах пользователей и бесконтрольному использованию полученных личных данных, и другие^[244][245].

В-четвертых, обращает на себя внимание различный статус национальных надзорных органов за обработкой персональных данных в РФ и ЕС. В положениях Регламента (ЕС) 2016/679, Директивы (ЕС) 2016/680 и других европейских правовых актов указано, что каждый надзорный орган государства-члена ЕС должен действовать с полной независимостью при выполнении своих задач и осуществлении своих полномочий в соответствии с правовыми актами ЕС, устанавливающими его компетенцию.

В Российской Федерации уполномоченным органом по защите прав субъектов данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)^[246]. Роскомнадзор является федеральным подразделением (службой) Минкомсвязи России - федерального органа исполнительной власти в ведении Правительства РФ, и поэтому говорить о его независимом статусе нельзя. Анализ норм ФЗ «О персональных данных» подтверждает данный тезис, так как в его положениях не говорится о том, что уполномоченный орган РФ (или его должностные лица) обладает независимым статусом.

Кроме того, обращает на себя внимание меньший объем прав и полномочий, которыми наделен российский контролирующий орган. При этом только некоторые права Роскомнадзора (ст. 23 ФЗ «О персональных данных») по осуществлению контроля и надзора в сфере обеспечения защиты данных, частично соотносятся с правами и полномочиями, которыми наделен национальный орган надзора в соответствии с Регламентом (ЕС) 2016/679. Однако круг полномочий надзорных органов государств-членов ЕС значительно шире, они разделяются по видам на следственные, предупредительные, консультативные и репрессивные. Следует отметить, что такие органы обладают рядом прав, не характерных для российского уполномоченного органа, например, правом выносить заключения и утверждать проекты кодексов поведения, выдавать аккредитации органам по сертификации, выдавать сертификаты и утверждать критерии сертификации и др. (п. 3 ст. 58 Регламента (ЕС) 2016/679).

В ч. 5 ст. 23 ФЗ «О персональных данных» законодатель устанавливает обязанности Роскомнадзора, как уполномоченного органа по защите прав субъектов данных. Большинство из приведенных в ней обязанностей

корреспондируют положениям ст. 57 Регламента (ЕС) 2016/679. При этом перечень задач и обязанностей национальных надзорных органов государств- членов ЕС гораздо шире и насчитывает 22 пункта, в то время как российский документ ограничивается 7 пунктами.

Федеральным законом от 25 июля 2011 г. № 261 -ФЗ в статью 23 ФЗ «О персональных данных» введена новая часть 5.1, согласно которой Роскомнадзор осуществляет сотрудничество с органами, уполномоченными по защите прав субъектов данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов данных, а также утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов. Юридическое закрепление норм о международном сотрудничестве в российском Законе нужно признать положительным моментом. Отметим, что Регламент (ЕС) 2016/679 также располагает положениями, регламентирующими данную сферу - ст. 50 «международное сотрудничество в области защиты персональных данных». Соответственно, на основании указанных норм российский орган может развивать сотрудничество, в том числе с надзорными органами государств- членов ЕС, а также с институтами, органами и учреждениями Союза.

В-пятых, за время своего существования российское законодательство, регулирующее отношения, связанные с защитой персональных данных, подвергалось минимальным изменениям. В частности, в ФЗ «О персональных данных» последние на данный момент поправки вносились в 2017 году. В общей сложности данный Закон изменялся и дополнялся 18 раз. Однако за время его существования ни разу не вносились поправки, например, в ст. 13 об особенностях обработки данных в государственных или муниципальных информационных системах персональных данных, в ст. 15 о правах субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации, в ст. 17 о праве на обжалование действий или бездействия оператора и др. Минимальные изменения, в основном уточняющего

характера, были внесены в положения Главы 3, посвященной правам субъекта персональных данных, в ст. 8 об общедоступных источниках персональных данных, в ст. 10, устанавливающую правила обработки специальных категорий персональных данных, и некоторые другие.

Что же касается ФЗ «Об информации», то за время его действия было внесено минимальное количество изменений и дополнений по вопросам защиты персональных данных. В частности, этот Закон был дополнен положением о том, что заявление гражданина, требующего прекратить выдачу сведений об указателе страницы сайта (ссылки) в сети «Интернет», позволяющих получить доступ к информации о заявителе, должно содержать согласие заявителя на обработку его персональных данных (ст. 10.3). Ст. 7 была дополнена положением о том, что если размещение информации в форме открытых данных может повлечь за собой нарушение прав обладателей информации, доступ к которой ограничен в соответствии с федеральными законами, или нарушение прав субъектов персональных данных, то размещение указанной информации в форме открытых данных должно быть прекращено по решению суда. В случае если размещение информации в форме открытых данных осуществляется с нарушением требований ФЗ «О персональных данных», размещение информации в форме открытых данных должно быть приостановлено или прекращено по требованию уполномоченного органа по защите прав субъектов данных.

Анализ изменений и дополнений российского законодательства в сфере защиты персональных данных позволяет сделать вывод о том, что они носят, по большей части, уточняющий характер, а в целом развитие правового регулирования защиты персональных данных в Российской Федерации идет гораздо более медленными темпами, чем в Европейском Союзе. В частности, на современном этапе в ЕС продолжается активная разработка проектов регламентов и директив, регулирующих вопросы защиты персональных данных компетентными правоохранительными органами ЕС, а также в сфере электронных коммуникаций. Издаются новые акты институтов ЕС,

принимаются акты уполномоченных органов по защите данных ЕС и надзорных органов государств-членов, реализуется большое количество стратегий на уровне ЕС, прямо или косвенно направленных на защиту персональных данных физических лиц.

Итак, несмотря на определенное влияние на законодательство РФ о персональных данных европейских правовых актов, тем не менее, были выявлены определенные различия в подходах ЕС и РФ к правовому регулированию защиты персональных данных физических лиц. Законодательство по вопросам защиты персональных данных в РФ развивается не так динамично, как этого требуют реалии времени. Это обусловливает тот факт, что оно по большинству вопросов довольно серьезно отстает от того уровня, который на данный момент установлен в Европейском Союзе и Европейской экономической зоне.

В первую очередь обращает на себя внимание сравнительно небольшая терминологическая база российского законодательства в сфере защиты персональных данных. Перечень определений, используемых в праве ЕС, согласно Регламенту (ЕС) 2016/679, значительно шире и включает в себя 26 основных понятий. При этом следует отметить, что большинство понятий, приведенных в ст. 3 ФЗ «О персональных данных» (а именно: «персональные данные», «оператор», «обработка персональных данных», «блокирование персональных данных», «обезличивание персональных данных», «информационная система», «трансграничная передача персональных данных»), соотносится с аналогичными понятиями, закрепленными в европейском Регламенте.

Вместе с тем ФЗ «О персональных данных» оперирует понятиями, которые не используются в европейских актах, например «автоматизированная обработка данных», «распространение персональных данных», «предоставление персональных данных», «уничтожение персональных данных». При этом понятие «биометрические персональные данные» в российском Законе вынесено в отдельную статью 11, которая

детально регламентирует обстоятельства, при которых обработка таких данных может осуществляться без согласия субъекта персональных данных.

Считаем, что с учетом современного уровня развития информационных систем, а также появления в последние годы технических возможностей для осуществления многочисленных операций по обработке, некоторые из понятий, используемых в Регламенте, могут быть адаптированы для целей правового регулирования защиты данных в РФ.

Ст. 10 ФЗ «О персональных данных» определяет, что обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается. В свою очередь, ст. 9 Регламента к категории специальных относит также данные о членстве в профсоюзах, генетические и биометрические данные, для целей однозначной идентификации физического лица, и данные о сексуальной ориентации человека.

Сравнивая положения российского законодательства и правовых актов ЕС, посвященные трансграничной передаче персональных данных, можно прийти к выводу, что европейские акты регулируют данную сферу гораздо более подробно. В частности, в отечественном законодательстве абсолютно не урегулирована передача персональных данных в международные организации, как правительственные, так и неправительственные.

Регламентация правового статуса физических лиц - субъектов персональных данных, который включает в себя их неотъемлемые права и обязанности, важна с точки зрения эффективного правового регулирования защиты персональных данных таких лиц. Правам субъекта персональных данных целиком посвящена Глава 3 ФЗ «О персональных данных». Проанализировав правовой статус субъекта персональных данных в РФ и ЕС, приходится констатировать, что российское законодательство значительно уступает европейским актам, как по объему, так и по содержанию основных прав субъекта данных, содержащихся в Главе 3 Регламента (ЕС) 2016/679.

Некоторые права, известные праву ЕС, в российском законодательстве до сих пор не применяются. Например, отсутствует регламентация права на портативность данных, детально не урегулировано право на уведомление об исправлении, на удаление данных и на ограничение обработки персональных данных.

В соответствии с Федеральным законом от 13 июля 2015 г. № 264-ФЗ¹, с 1 января 2016 г. в Российской Федерации каждый человек получил право быть забытым поисковой системой, которое по содержанию является в целом аналогичным введенному в ЕС праву на забвение (или праву на удаление данных)^[247][248]. Указанный Федеральный закон вводит в ФЗ «Об информации» статью 10.3, в соответствии с которой оператор поисковой системы в сети «Интернет» по требованию физического лица обязан прекратить выдачу сведений об указателе страницы сайта (ссылки) в сети «Интернет», позволяющих получить доступ к информации о заявителе^[249]. Анализ положений ст. 10.3 ФЗ «Об информации» позволяет определить, что речь идет именно о персональных данных физического лица.

Однако, несмотря на то, что в России имеется специальный закон, регулирующий обработку персональных данных, указанные поправки были внесены в ФЗ «Об информации». По неизвестным причинам российский законодатель решил не связывать право на забвение с персональными данными. Такая ситуация, по нашему мнению, осложняет единообразное толкование законодательства РФ применительно к ситуациям, связанным с

удалением личных данных пользователей в сети «Интернет». Кроме того, ФЗ «Об информации» не устанавливает объективные критерии разделения информации на актуальную и неактуальную. Напротив, он подчеркивает субъективный характер такой квалификации, говоря об утрате значения для заявителя. Кроме того, ФЗ «Об информации» не обязывает пользователя доказывать эту неактуальность, то есть степень «актуальности и значимости для заявителя» должен определять оператор поисковой системы. Как он сможет мотивированно объяснить гражданину значимость информации о нем самом, остается неясным. Кроме того, в аналогичной ситуации другой закон - ФЗ «О персональных данных» - в ст. 14 обязывает гражданина доказывать неактуальность его данных с целью их удаления оператором.

Анализ современного состояния правового регулирования защиты персональных данных в РФ, с учетом уровня развития информационных технологий, позволяет констатировать, что оно нуждается в серьезной доработке. При этом наиболее эффективным шагом, по нашему мнению, будет принятие специальных нормативных актов, регулирующих определенную специфическую сферу правового регулирования защиты данных. В первую очередь речь идет об обработке персональных данных правоохранительными органами в целях предупреждения, расследования, обнаружения уголовных преступлений, в том числе угроз общественной безопасности, и исполнения наказаний. Кроме того, требуется принятие нормативного акта, регулирующего обработку персональных данных с помощью электронных средств связи, в том числе передачу данных посредством сети «Интернет». Безусловно, разработка указанных документов может занять довольно продолжительное время. Однако в любом случае законодателю стоит рассмотреть данный вопрос для того, чтобы в перспективе Россия имела эффективную законодательную базу, по своему уровню не уступающую зарубежным.

В целях обеспечения высоких гарантий защиты основных прав и свобод физических лиц применительно к обработке их персональных данных

предлагается внести поправки в действующее законодательство РФ о защите персональных данных. Этот вариант является более оперативным, а потому высказанные в настоящей работе предложения, направленные на совершенствование российского законодательства, могут начать действовать в самое ближайшее время. При этом ориентиром, по нашему мнению, должны стать правовые акты Европейского Союза, представляющие собой одни из самых прогрессивных на сегодняшний день документов по защите прав и свобод физических лиц в отношении обработки персональных данных, не только в европейском, но и в мировом масштабе, в частности, Регламент (ЕС) 2016/679. Речь идет не о копировании норм европейских актов, а об их адаптации с учетом российского опыта и традиций в данной сфере, современного уровня развития технических средств по обеспечению безопасности личных данных в РФ и т.д.

В связи с вышеизложенным в целях совершенствования правового регулирования защиты персональных данных в России предлагается дополнить ФЗ «О персональных данных», как базовый нормативный правовой акт в этой сфере, следующими положениями.

1. Представляется необходимым расширить терминологическую базу законодательства о защите персональных данных. Так, в законодательстве РФ отсутствует определение понятия «субъект персональных данных». Из анализа определения «персональные данные», содержащегося в ч. 1 ст. 3 ФЗ «О персональных данных», вытекает, что под субъектом данных подразумевается физическое лицо, которое прямо или косвенно определено или определяется с помощью информации, относящейся к нему. Учитывая, что данное определение имеет достаточно общую формулировку и в ней не указывается, с помощью какой конкретно информации лицо может быть определено, это может вызвать различные толкования на практике. Предлагается дополнить ст. 3 ФЗ «О персональных данных» следующим определением: «Субъект персональных данных - это физическое лицо, которое идентифицировано, идентифицируется или может быть

идентифицировано прямо или косвенно, с помощью информации о нем, такой, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, уникальных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица, и, в частности, посредством ссылки на такую информацию».

2. ФЗ «О персональных данных» устанавливает определенные правила обработки данных и требования к ней, когда она осуществляется не самим оператором данных, а другим лицом, действующим по поручению оператора (в европейской терминологии именуемым «процессор»). В частности, регламентируются полномочия оператора по отношению к такому лицу (ст. 21). Однако в нормативных актах, в том числе в самом ФЗ «О персональных данных», отсутствует определение такого лица. В связи с этим необходимо разграничить понятия оператора и указанного лица (процессора), что важно с точки зрения применения мер ответственности за предусмотренные Законом нарушения. Для этого предлагается ввести в ст. 3 ФЗ «О персональных данных» следующее понятие: «Процессор - это физическое или юридическое лицо, государственный или муниципальный орган, который обрабатывает персональные данные от имени и по поручению оператора данных».

3. В ФЗ «О персональных данных» (ст. 21) имеются положения об обязанностях оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, однако отсутствует само понятие нарушения. Данный факт, по нашему мнению, затрудняет трактовку ситуаций, в которых может идти речь об ущемлении прав и свобод физических лиц, а также не способствует определению конкретной меры ответственности согласно ст. 24 Закона, так как не совсем понятно, какое действие будет являться нарушением персональных данных, а какое действие потребует лишь мер по уточнению, блокированию данных и т.д. В связи с этим, ст. 3 ФЗ «О персональных данных» следует дополнить следующим понятием: «Нарушение персональных данных - это нарушение безопасности,

приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к собранным, переданным или иным образом обрабатываемым персональным данным».

4. Такие понятия, как «угрозы безопасности персональных данных» и «уровни защищенности персональных данных» применяются только для целей ст. 19 ФЗ «О персональных данных», а понятие «биометрические данные» по неизвестным причинам содержится в ст. 11 ФЗ «О персональных данных». Считаем, что будет целесообразнее, чтобы указанные понятия распространяли свое действие на все положения Закона, а не только на его отдельные статьи. В связи с этим предлагается внести понятия «угрозы безопасности персональных данных», «уровни защищенности персональных данных» и «биометрические данные» в перечень основных понятий, используемых в Законе, содержащийся в ст. 3.

5. Учитывая появление новых технических средств обработки, увеличивших возможности использования персональных данных индивидов, весьма важно внести ряд изменений в Главу 3 ФЗ «О персональных данных», касающейся прав субъектов данных, для того чтобы способствовать более эффективной защите прав и свобод субъектов в условиях развития информационного общества. Так, в Законе использована формулировка, что субъект данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения. Это положение содержится в ст. 14 «право субъекта персональных данных на доступ к его персональным данным». Очевидно, что такая регламентация была принята под влиянием Директивы 95/46/ЕС, содержащей абсолютно аналогичные положения. Кроме того, право субъекта на возражение определяется в ст. 16 ФЗ «О персональных данных» о принятии решений на основании исключительно автоматизированной обработки.

Считаем, что необходимо разграничить данные права и условия их осуществления, в связи с чем предлагаем выделить в рамках Главы 3 ФЗ «О персональных данных» статью «Право субъекта персональных данных на

удаление его персональных данных», статью «Право субъекта персональных данных на исправление его персональных данных», «Право субъекта персональных данных на ограничение обработки его персональных данных», «Право субъекта персональных данных на возражение против обработки его персональных данных» и определить условия, при которых оператор будет обязан выполнить требование субъекта данных. Кроме того, следует включить в Главу 3 статью, регламентирующее право на портативность данных и изложить ее в следующей формулировке: «субъект данных имеет право на получение своих персональных данных, которые он предоставил оператору, в структурированном и машиночитаемом формате, и имеет право передавать эти данные напрямую другому оператору без каких-либо помех со стороны первого». При этом необходимо также предусмотреть перечень случаев и оснований, при которых возможно ограничение указанных прав.

6. Представляется важным разграничить в российском законодательстве право на удаление персональных данных и право быть забытым («право на забвение») информационной системой (чего не было сделано в праве ЕС). Положения о праве на забвение в настоящий момент содержатся в ст. 10.3 ФЗ «Об информации». В связи с этим предлагается перенести эти положения из ФЗ «Об информации» в отдельную статью «Право субъекта персональных данных на забвение» Главы 3 ФЗ «О персональных данных» с уточнениями, касающимися определения критериев для подразделения информации на актуальную и неактуальную.

7. Существенным недостатком отечественного законодательства является почти полное отсутствие регламентации прав несовершеннолетних лиц в отношении обработки их личной информации и, в частности отсутствие норм, регламентирующих условия получения согласия несовершеннолетнего на обработку его персональных данных. Положения,

касающиеся детей, содержатся лишь в ст. 10.5¹и в ст. 12^[250][251] ФЗ «Об информации», а также в ст. 10^[252] ФЗ «О персональных данных».

В европейских правовых актах содержатся специальные нормы о защите прав и свобод несовершеннолетних в связи с обработкой их личной информации. Так, в Регламенте (ЕС) 2016/679 декларируется, что особый правовой режим в отношении детей необходим, потому что они, в силу возраста и по другим причинам, в меньшей степени осознают риски, последствия публикации своих персональных данных, и поэтому подлежат применению соответствующие гарантии прав и свобод детей при обработке их данных. Считаем необходимым восполнить этот пробел в российском законодательстве, для чего необходимо определить условия, применимые к согласию несовершеннолетнего в отношении обработки его личной информации. В этих целях предлагается дополнить ст. 9 ФЗ «О персональных данных» частью 9, следующего содержания: «Обработка личных данных несовершеннолетнего лица должна считаться законной, если на момент начала обработки ему исполнилось не менее 14 лет. Если лицу не исполнилось 14 лет, такая обработка является законной только в том случае, и в той степени, в которой это разрешено специальным согласием, которое дается лицом, имеющим законную ответственность над ребенком. Оператор должен приложить все необходимые усилия для проверки в случаях, когда согласие предоставляется лицом, являющимся законным представителем ребенка, с учетом имеющихся технологий».

Таким образом, возраст согласия на обработку данных предлагается установить на уровне 14 лет, исходя из того, что в этом возрасте лицо получает паспорт гражданина РФ и приобретает ограниченную дееспособность. Кроме того, в этом возрасте большинство несовершеннолетних уже являются активными пользователями сети «Интернет» и, по нашему мнению, могут осознанно давать согласие на обработку личной информацию. Для снижения рисков считаем, что при сборе персональных данных у несовершеннолетних должна применяться ч. 7 ст. 14 ФЗ «О персональных данных». Вместе с тем считаем возможным проведение дополнительных консультаций по этому вопросу, в том числе с представителями гражданского общества и организациями по защите прав детей, а также с Уполномоченным при Президенте РФ по правам ребенка.

8. В правовой системе ЕС, как уполномоченные органы Союза, так и надзорные органы по защите данных государств-членов, наделяются независимым статусом, согласно императивным нормам европейских правовых актов. В обновленной редакции Рекомендаций Совета ОЭСР от 2013 г., касающихся Руководства по защите неприкосновенности частной жизни и трансграничной передаче персональных данных, указывается на необходимость обеспечения в странах-членах ОЭСР независимости органов по защите неприкосновенности частной жизни в ходе реализации их функций. В соответствии с параграфом 19 (b), для этого нужно предоставлять им необходимые управленческие и материальные ресурсы, а также экспертную поддержку с тем, чтобы эти органы могли эффективно исполнять свои функции и «принимать решения объективно, беспристрастно и на постоянной основе». Указанное Руководство ОЭСР не является обязательным для РФ, однако, как и правовые акты ЕС, указывает на однозначную тенденцию, которая заключается в предоставлении в развитых странах независимого статуса надзорным органам. Важно отметить, что при принятии решения об адекватности в отношении третьей страны, Комиссия

ЕС учитывает уровень защиты данных в этой стране и, в частности, правовое положение уполномоченных надзорных органов по защите данных.

Учитывая то, что Роскомнадзор является федеральным подразделением (службой) Минкомсвязи России - федерального органа исполнительной власти в ведении Правительства РФ, которому он подотчетен, то говорить о его независимом статусе нельзя. В частности, Правительство РФ устанавливает порядок организации и проведения проверок юридических лиц, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами.

Считаем, что законодательство России в сфере защиты персональных данных должно придерживаться наиболее прогрессивных международных и европейских тенденций. В этой связи предлагается передать полномочия по контролю и надзору за соответствием обработки персональных данных требованиям законодательства независимому органу. Независимый статус позволит надзорному органу проводить беспристрастные проверки и выявлять нарушения персональных данных в государственных и муниципальных органах. В настоящее время в функции Роскомнадзора не входит проверка нарушений личных данных такими органами, и он не вправе запрашивать у них информацию, необходимую для реализации своих полномочий (ч. 3 ст. 23) и т.д. Лучшим решением, по нашему мнению, будет учредить на федеральном уровне должность Уполномоченного по защите персональных данных в РФ.

В связи с этим, предлагается ввести в ФЗ «О персональных данных» отдельную главу, положения которой заменят ст. 23 и будут полностью посвящены условиям создания и деятельности независимого Уполномоченного. В частности, нужно подробно регламентировать его полномочия, функции, задачи, порядок назначения его членов и сотрудников и т.д. Для эффективного осуществления деятельности данного органа необходимо предусмотреть специальные юридические гарантии, которые

будут обеспечивать реальную независимость и непредвзятость его должностных лиц. Так, их полномочия должны подлежать эффективным судебным средствам правовой защиты (например, приравнять их по статусу к судьям). В Законе должно быть прописано, что должностные лица уполномоченного органа при выполнении своих задач и осуществлении своих полномочий должны оставаться свободными от внешнего влияния, прямого или косвенного, и не должны ни искать, ни получать инструкции от кого бы то ни было. Они должны воздерживаться от любых действий, несовместимых с их обязанностями, и не должны в течение срока их полномочий заниматься какой-либо другой деятельностью, невзирая на то, приносит она доход либо нет. Должностные лица уполномоченного органа должны соблюдать профессиональную тайну, как во время, так и после истечения срока их полномочий, в отношении любой конфиденциальной информации, которая стала им известна в ходе выполнения задач или осуществления полномочий.

Внесение указанных изменений и дополнений в законодательство РФ и, в частности, в ФЗ «О персональных данных», позволит значительно усовершенствовать правовое регулирование защиты персональных данных в России для того, чтобы оно могло отвечать новым вызовам безопасности личной информации каждого индивида, которые несет в себе технологический прогресс и глобализация, а также для того чтобы физические лица могли более эффективно осуществлять свои права в отношении обработки их персональных данных.

Как утверждает Джованни Бутарелли, занимающий на данный момент должность Европейского Уполномоченного по защите данных, «в настоящее время Европейский Союз занимает привилегированное положение в качестве ориентира для большей части мира в области конфиденциальности и защиты данных. Но для того, чтобы ЕС продолжал быть лидером в эпоху цифровых технологий, он должен действовать на основе своих собственных фундаментальных принципов конфиденциальности и защиты данных и

действовать быстро»¹. Вопрос о «привилегированном» положении ЕС в сфере правового регулирования защиты персональных данных, по сравнению с другими государствами и организациями, конечно, является дискуссионным. Однако нельзя не заметить, что развитие правового регулирования в Союзе на данном этапе действительно опережает многие страны, в том числе и Россию. Во многом это стало возможно благодаря проведению реформы правового регулирования, начало которой положило принятие на уровне ЕС Общего Регламента по защите данных.

Проведение реформы правового регулирования защиты персональных данных в РФ позволит приблизить российское законодательство к высоким европейским стандартам, эффективнее защищать основные права и свободы граждан и, в том числе, фундаментальное право на защиту персональных данных, осуществлять взаимовыгодное сотрудничество с ЕС по вопросам защиты данных и обеспечивать взаимоприемлемый режим для передачи данных, который будет отвечать требованиям законодательства Российской Федерации и правовых актов Европейского Союза. Начать реформу следует с внесения поправок в ФЗ «О персональных данных», которые позволят перейти к принятию в дальнейшем специальных федеральных законов. Начинать нужно уже сейчас, так как чем дольше времени потребуется для принятия нового набора правил, тем выше риск того, что наша страна может отстать в своем развитии.

В качестве заключения хотелось бы привести слова Джованни Бутарелли, которыми можно лаконично описать цель, к которой должно стремиться каждое демократическое государство и которые актуальны и по отношению к России: «Крайне важно сделать защиту данных более простой, понятной и менее бюрократической, чтобы она лежала в основе цифрового мира в настоящее время и в будущем»^[253][254].