Опять попутали постное со скоромным [Разъяснение по биометрическим ПДн]

Аватар пользователя avetyan
Автор: Аветян Артем,
(1)
()
Опубликовано в:

Вчера, 1 сентября для Российской Федерации вступила в силу Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Затянувшийся процесс ратификации был официально завершен 15 мая этого года в Страсбурге [1], когда ратификационная грамота была передана на хранение Генеральному секретарю Совета Европы  Турбьёрну Ягланду. Официально вступление в силу Конвенции происходит в первый день месяца, следующего после истечения трехмесячного срока со дня сдачи на хранение ратификационной грамоты. Почти восьмью годами ранее Российский Парламент принял федеральный закон о ее ратификации, который также расширил действие Конвенции: Российская Федерация в соответствии с подпунктом "с" пункта 2 статьи 3 Конвенции взяла на себя дополнительные обязательства в части применения Конвенции к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации. Это расширение было отражено в базовом законе о персональных данных следующей конструкцией:

[Статья 1, Часть1] Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных <…> с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Иными словами, федеральный закон касается только персональных данных, «содержащихся в картотеках или иных систематизированных собраниях персональных данных», по которым при этом можно осуществлять поиск и (или) доступ «в соответствии с заданным алгоритмом», используются для этого средства автоматизации или нет, по большому счету, значения не имеет. Конструкция всецело отвечает духу Конвенции и четко ограничивает сферу применения закона. К сожалению, эта редакция статьи действует относительно недавно, а предыдущая не отличалась конкретностью, чем давала повод к расширительному толкованию и многочисленным манипуляциям. Но и сейчас, по прошествии двух лет с момента внесение поправок, закон по-прежнему пытаются натянуть на все подряд, где видят фразу «персональные данные» и получают, конечно же, абсурд.

За день до наступления знаменательной даты, о которой писалось выше, Роскомнадзор опубликовал «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки» [2] подготовленные с участием «представителей экспертного сообщества». Ничуть не умаляя их заслуг в повышении открытости работы службы и значимости предпринимаемых попыток ведения открытой дискуссии (правда, пока за закрытыми дверями), хотелось бы пройтись катком испепеляющей критики по самим разъяснениям. У меня есть своя позиция по данному вопросу, изложенная в блоге [3], но сейчас не хотел бы говорить о разности позиций, а остановиться только на слабых местах Разъяснений.


  1. Притягивание за уши Гражданского кодекса

Нормы гражданского кодекса и нормы ФЗ о персональных данных имеют принципиально разные сферы применения. В гражданское право ориентировано на регулирование отношений равноправных субъектов, действующих в условиях автономии воли и имущественной самостоятельности, тогда как законодательство о персональных данных исходит из предположения, что субъект персональных данных имеет заведомо гораздо меньше возможностей по защите своих прав. По этой причине, в законе о персональных данных относительно возможных действий операторов с данными установлена презумпция – все, что не разрешено, то запрещено. Гражданское право оперирует диаметрально противоположной презумпцией: все, что не запрещено, то разрешено. То есть сферы действия закона о персональных данных и Гражданского кодекса не могут пересекаться, и это явствует из текстов приводимой статьи 152.1 ГК и текста первой статьи ЗоПД.

Статья Гражданского кодекса говорит о совершенно определенном объекте права: личное неимущественное право гражданина на его изображение. Важно понимать, что для ГК этот гражданин ни в коем случае не субъект персональных данных в смысле ЗоПД, таким образом нельзя говорить о согласии в смысле статьи 9 ЗоПД со всеми его специфическими свойствами, такими как возможность безусловного отзыва. ГК подразумевает совсем иное «согласие», а именно согласие заключить сделку с другим субъектом гражданских правоотношений относительно данного конкретного права.

ЗоПД же может касаться только прав на изображение гражданина включенное в систематизированное собрание таких же изображений других граждан, теперь уже субъектов персональных данных. Иными словами, ГК работает с каждым конкретным правом, а ЗоПД подключается только тогда, когда эти права сгруппированы в пачку и касаются множества субъектов персональных данных, для целей ЗоПД объединенных в группу с общими интересами, которые защищаются наравне с интересами оператора персональных данных.


  1. Подмена причины следствием

Рекомендации ссылаются на «Перечень персональных данных, записываемых на электронные носители информации…» при этом дается ссылка на якобы категорическое утверждение, что «цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа», однако, это не так.
В перечне, на который дается ссылка, есть следующий пункт:

6. Цветное цифровое фотографическое изображение лица владельца документа (биометрические персональные данные владельца документа)

Существенным фактом, который сообщается в данном изъявительном предложении, является то, что на электронный носитель информации записывается «цветное цифровое фотографическое изображение лица», которое является «биометрическими персональными данными». Иными словами, на «электронный носитель информации» в паспорте записывается не любое «цветное цифровое фотографическое изображение лица», а только то, что является «БПДн», то есть «на основании которого можно установить его личность и которое используются оператором для установления личности». Исключение последнего условия из логической цепочки авторами Разъяснений, приводит к противоречию, так как само по себе условие «возможности установления и использования для установления» не содержится в понятии «цветное цифровое фотографическое изображение лица», но содержится в понятии «биометрических персональных данных». Ниже попроще, для математиков, от противного.

Пусть:
«цветное цифровое фотографическое изображение лица» = «ФОТО»
«биометрические персональные данные» = «БПДн»
«на основании которого можно установить его личность и которое используются оператором для установления личности» = «УСЛОВИЕ»

Тогда:
По определению: (любые «БПДн» = «ПДн» и «УСЛОВИЕ»)
Если («ФОТО» = «БПДн»), то приходим к противоречию что: (любое «ФОТО» = «ПДн» и «УСЛОВИЕ»), так как «ФОТО» по определению аналитически не включает в себя «УСЛОВИЕ», но «УСЛОВИЕ» может лишь присоединяться к «ФОТО» синтетически, в качестве предиката.

Таким образом, смысл пункта перечня в следующем: «цветное цифровое фотографическое изображение лица» только в том случае записывается на «электронные носители информации» в паспорте, если оно также является «биометрическими персональными данными».


  1. Подмена понятий «установление» и «удостоверение»

В Разъяснения используется двоякое толкование понятия «установление» (для обозначения понятия используются синонимы "установление" и "определение"), вот первое использование:

Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе  которых  можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления [не верно! фото используется для  "удостоверения" тождественности личности, изображенной на нем с образцом. прим. автора] личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.

Очевидно, что в данном пассаже нарушена  логическая цепочка и допущена фактическая ошибка:

Во-первых, за условием что «…позволяющие установить, принадлежит ли» должно следовать еще одно обязательное условие отнесения фотографии к БПДн: «и которые используются оператором для установления личности», однако в данном случае «установления» личности по фотографии не происходит. Личность устанавливается по другим данным: по ФИО, табельному номеру, номеру пропуска и т.п.

Во-вторых, фотография «…используются оператором для установления личности субъекта персональных данных в случае сомнения», то есть для удостоверения тождественности личности, изображенной на фотографии на пропуске, с лицом в базе данных СКУД.

Как ни странно, далее по тексту есть совершенно адекватный пассаж, который полностью противоречит первому случаю:

Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.

Как мы видим, в первом случае авторы используют формулировку «для установления личности субъекта персональных данных в случае сомнения», а во втором «действия с использованием указанных данных направлены на подтверждение их принадлежности» – при том, что смысл их предельно близок, авторы используют их для доказательства диаметрально противоположных посылок.


  1. Расширительное толкование сферы действия ЗоПД

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами - органами следствия и дознания в целях установления личности конкретного лица.

Предположение, что изначально рентгеновские снимки хранились в систематизированном собрании, имеет право на жизнь, но вот какое отношение к закону о персональных данных имеет случай установления по ним личности субъектами ОРД, я понять уже затрудняюсь. Ситуация сама по себе абсурдная, так как для признания этих данных БПДн необходимо одновременное соблюдение следующих условий:



  1. Наличие у оператора систематизированного собрания рентгеновских снимков (в больнице – вполне возможно, но есть ли такое собрание у субъекта ОРД, который устанавливает личность?)

  2. Возможность использования этих снимков для установления личности по другому снимку (что само по себе довольно сомнительно: именно установление, а не удостоверение личности, скажем погорельца по снимку его зуба, сначала всетаки выборка предельно сужается, а сравнение в случае с зубами происходит всеже вручную. А вот например отпечатки пальцев - это да, автоматизированно);

  3. Использование этого собрания снимков оператором  для установления личности. (в нашем случае личность устанавливает субъект ОРД, а оператор ли он?)

Реализация всех трех условий у одного оператора персональных данных весьма не реалистично, кроме того, так как субъект ОРД в нашем случае не обладает систематизированным собранием снимков – по смыслу закона невозможно являться оператором одного снимка одного человека (ну а если обладает целой базой, то это что-то новенькое:))) ), а значит это и не биометрические персональные данные вовсе.

Тоже касается видеонаблюдения, про которое в Разъяснениях много еще чего понаписано, в общем правильного, но к собственно закону о персональных данных отношения не имеющего. Это все касается защиты частной жизни и служит тем же целям, но ЗоПД не регулирует эту сферу правоотношений, просто потому, что простая видеозапись – это не систематизированное собрание персональных данных.

[1] http://minsvyaz.ru/ru/news/index.php?id_4=43762
[2] http://www.rsoc.ru/news/rsoc/news21529.htm
[3] http://avetyan.livejournal.com/25829.html

Оцените материал:
Total votes: 356
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя paulmg

Наконец-то нашелся еще один человек, который прочитал первую статью 152-ФЗ!
Респект и уважуха! :-)

up
21 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.