Если вы не знаете человека в лицо, то даже вся информация, перечисленная в определении «персональные данные» в предыдущей версии закона в совокупности, не позволит однозначно идентифицировать человека. Но, если будет указано только имя человека под его фотографией, то это сразу позволит его идентифицировать. Не стопроцентно, но с очень высокой степенью вероятности. А если человек вам был знаком, то малейший намек позволит однозначно определить принадлежность этих данных к нему. Это можно продемонстрировать на таком примере: «Этого «наноначальника» ненавидит вся страна». Вопрос: это обезличенные данные или оличенные? Личность субъекта, о котором идет здесь речь, может быть установлена однозначно? Человеком, хоть иногда смотрящим телевизор и читающим газеты - однозначно. Жителем таежной глубинки или бомжом – вряд ли. Таким образом совершенно очевидно, что процедура определения принадлежности персональных данных субъекту персональных данных напрямую и самым непосредственным образом зависит от тезауруса определяющего субъекта.
Так что прежде, чем давать определение «обезличиванию» персональных данных, необходимо дать определение, что есть «оличивание» персональных данных. Тогда что есть «обезличивание» станет ясно само собой.
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Комментарий:
Общепризнанная единая формулировка термина «база данных» на сегодняшний день отсутствует. Определение этого термина, данное в законах РФ «Об авторском праве и смежных правах» и «О правовой охране программ для ЭВМ и баз данных», с точки зрения методологии науки не выдерживает никакой критики. В каком смысле этот термин использован в данном законе? И, главное, зачем? Если исключить из рассматриваемого определения слова «содержащихся в базах данных», его уже можно было бы читать.
2) Информационные технологии – это способы создания, фиксации, переработки и распространения информации[5]. Поэтому «технологии» в состав системы входить не могут по определению самого понятия.
3) К техническим средствам, обеспечивающим обработку персональных данных, можно отнести все, что угодно, например, лампочку в кабинете сотрудника, обрабатывающего персональные данные, стул на котором он сидит, телефонный аппарат, по которому он говорит, и т.д. и т.п. Все эти и многие другие технические средства обеспечивают обработку (в т.ч. и персональных) данных.
4) Система, по науке, состоит из трех компонентов:
Элементов; 2) связей; 3) отношений
или в терминах современной науки:
Структуры; 2) коммуникаций; 3) смыслов.
Элементами (структуру) информационной системы являются (образуют) средства вычислительной техники. Связи (коммуникации) этих элементов обеспечивают средства связи и телекоммуникации. Отношения (смыслы) обеспечивают программные средства. Таким образом, согласно науке, информационная система состоит из:
1) средств вычислительной техники;
2) средств связи и телекоммуникации;
Программных средств (программного обеспечения).
В результате получаем вполне научное определение:
Информационная система персональных данных – это совокупность средств вычислительной техники, средств связи и телекоммуникаций, а так же программного обеспечения, при помощи которых обрабатываются персональные данные.
Определение понятия «информационная система персональных данных», приведенное в настоящем законе, противоречит науке и здравому смыслу, исходя из чего его следует признать крайне неудачным.
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Комментарий:
Определение стилистически построено так, что передача персональных данных любому из перечисленных субъектов, находящихся на территории России, под него не подпадает. Поэтому передача персональных данных посольствам иностранных государств, отделениям и филиалам иностранных компаний, представительствам и прочим организациям и предприятиям, а так же иностранцам, находящимся в момент передачи таких данных на территории России, не считается трансграничной. Вопрос о том, сделано это специально или по недомыслию, остается открытым.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Комментарий:
Законодательство состоит не только из законов, но и из подзаконных актов, нормативных правовых актов, издаваемых Президентом РФ, Правительством РФ, другими органами власти.
2) Законодательство в области персональных данных и, в первую очередь, рассматриваемый закон, противоречит Конституции РФ и практически никак не коррелировано с международными правовыми актами по данному направлению[6].
2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
Комментарий:
Если строго следовать букве данного положения, то ни законов, ни подзаконных актов, устанавливающих особенности обработки персональных данных с использованием средств автоматизации, больше нигде быть не должно. Всё только в этом законе!
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
Комментарий:
Принцип (лат. principium — первоначало, основа) — 1) исходное, не требующее доказательств положение теории (то же, что аксиома или постулат); 2) внутреннее убеждение, неизменная позиция или правило поведения (то же, что максима или заповедь)[7].
Какие постулаты и заповеди могут быть в законе? В научной теории, в уставе политической партии, в концепции, еще где угодно, но только не в законе!
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
Комментарий:
Закон устанавливает принцип законности!? А принцип справедливости – это вообще для программы политической партии, политической прокламации, листовки, для митинга, но не для закона. В юриспруденции говорят о «праве справедливости»[8], но не о «принципе справедливости» и уж, тем более, не о «справедливой основе», да еще в форме нормы закона.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Комментарий:
1) «Обработка … должна ограничиваться достижением … целей» - оборот обыденной речи. «Обработка» никому ничего не должна. Чтобы ограничить нечто, необходимо знать физические параметры, которые нужно о-граничивать. Какие физические параметры «обработки» обязывает соблюдать настоящий закон? Об этом в законе ни слова.
Обработку может и должен ограничивать субъект (в данном законе – оператор): а) по срокам обработки и хранения; б) по виду (спектру) собираемых данных; в) по количеству субъектов, данные о которых собираются и обрабатываются.
Что следует понимать под термином «законные цели»? Какие цели законные, а какие нет? Цель «оказать помощь малоимущему гражданину» законна? Как она «ограничивает» обработку персональных данных?
3) «Цели сбора» и «цели обработки» не тождественны. Как правило, целью сбора персональных данных является их последующее внесение в какие-то документы (в т.ч. базы данных). Получается, что как только собрали персональные данные и внесли их в базу (т.е. достигли цели сбора), сразу же должны всё и уничтожить!?
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Комментарий: