пятница, 8 ноября 2019 г.

Ответ на вопрос коллеги: Согласие на передачу персональных данных третьим лицам при рассмотрении обращений граждан


Вопрос: Как на практике между собой совмещаются положения 152-ФЗ (требуется согласие на передачу ПДн третьим лицам) и 59-ФЗ (согласие на обработку ПДн заявителя не дается) в рамках организации работы в единой базе данных органов власти субъекта РФ?

Ответ: Это работа юриста – определить, под какое законодательство подпадают конкретные виды обработки конкретных ПДн. Самостоятельно это сделать непросто, поскольку таких законов стало много, и требования в них, мягко говоря, неодинаковые.

В целом же нужно изо всех сил стремиться к тому, чтобы согласия были не нужны – вплоть до инициативы о принятии специального регионального закона. Согласия требуется очень тщательно формулировать, собирать, хранить, они в любой момент могут быть отозваны – нужно отслеживать их действительность; при появлении нового вида обработки или при передаче третьей стороне согласие часто нужно брать заново … Если же согласия не нужны – и проблем нет :)

Замечу также, что в законе № 59-ФЗ я не обнаружила норм, устанавливающих право не получать согласие на передачу данных третьим лицам. Буду благодарна, если Вы подскажете мне статью закона, в котором об этом говорится.

В этом законе есть лишь запрет на распространение сведений о частной жизни без согласия гражданина.
Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»

Статья 6. Гарантии безопасности гражданина в связи с его обращением

2. При рассмотрении обращения не допускается разглашение сведений, содержащихся в обращении, а также сведений, касающихся частной жизни гражданина, без его согласия. Не является разглашением сведений, содержащихся в обращении, направление письменного обращения в государственный орган, орган местного самоуправления или должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов.
Как показывает судебная практика, правоохранительные органы по поводу получения согласия на обработку ПДн могут менять свою позицию. Сошлюсь на одно дело, которое я описывала у себя на блоге:
Судебная практика: Брать или не брать с граждан согласие на обработку персональных данных?

Требования законодательства, касающиеся получения согласия граждан на обработку их персональных данных, настолько непонятны широкой общественности, что многие организации, в том числе и государственные органы, подстраховываясь, начинают собирать согласия при любом обращении гражданина. В свою очередь граждане, сталкиваясь с такими непривычными для них требованиями, возмущаются и начинают писать жалобы в прокуратуру.

Данное судебное дело интересно не только тем, что в судебном решении были подробно изложены позиции сторон, но и тем, что само нарушение возникло после того, как в декабре 2011 года Сысертским межрайонным прокурором в Администрацию Сысертского городского округа было внесено представление об устранении нарушений законодательства в области обработки персональных данных, где, в частности, было указано на необходимость получения оператором письменного согласия субъектов персональных данных на их обработку. Через два месяца, в феврале 2012 года, та же прокуратура посчитала, что «обязывая граждан давать согласие на обработку персональных данных, Администрация опять нарушает закон» :)

См.: http://rusrim.blogspot.com/2013/06/blog-post_14.html 
К сожалению правовых коллизий в связи с обработкой персональных данных возникает очень много, и это связано, с моей точки зрения, прежде всего с тем, что закон, «списанный» с законодательства Евросоюза, не учитывает особенности системы государственного управления России и развития информационных технологий на всех уровнях системы государственного управления.

По большому счёту нормы закона рассматривают самые простые варианты обработки персональных данных и слабо регламентируют ситуации, в которых для управления используются системы коллективной работы и/или когда в интересах эффективного выполнения своих задач государственные органы повторно используют персональные данные для целей, отличающихся от первоначально заявленных целей обработки.

Поскольку в данном случае речь идет об информационных системах регионального уровня, то, с моей точки зрения, именно на региональном уровне есть возможность урегулировать этот вопрос (такое право законом предусмотрено) и включить в нормы соответствующего регионального законодательства положения, предусматривающие, что при использовании информационных систем для обработки и рассмотрения обращений граждан не требуется получения их согласия на обработку персональных данных. Сам факт обращения гражданина может рассматриваться как его согласие на обработку его ПДн, поскольку без этого рассмотреть обращение и дать на него ответ обычно не представляется возможным.

Соответственно, в этих нормах или явным образом должны быть названы третьи стороны, которым ПДн передаются на обработку, или сказано, кто наделяется полномочиями отбирать такие третьи стороны.

Изучение практики правоприменения показывает, что для большинства граждан не имеет значения, кому передаются их ПДн и кто их обрабатывает - при условии, что они получают желаемый результат. Практически все судебные споры и конфликты по поводу ПДн, по моим наблюдениям, вторичны, и связаны с тем, что недовольные результатами рассмотрения их обращений граждане ищут возможность отомстить обидчикам, т.е. вопрос персональные данных становится «дубиной народной войны» в конфликтных ситуациях. При этом стоит иметь в виду, что в последние годы из общего числа обращений граждан в Роскомнадзар по поводу нарушений законодательства о персональных данных, реальные нарушения были выявлены по итогам проверок в 12% случаев. Остальные проверки лишь потрепали нервы операторам ПДн, чего, собственно, граждане и добивались! :)

Комментариев нет:

Отправить комментарий