8 января 2014 г.

О гражданской инициативе, персональных данных и ЗАГСах

У меня появилась инициатива. Гражданская. Новогодние каникулы этому способствуют. Я предлагаю объявить 2014 год в России годом приведения обработки персональных данных органами государственной власти и местного самоуправления в соответствие российскому же законодательству. А то столько времени закон действует, сколько проверок провели, а толку …
И начать предлагаю с организаций, которые вносят первую и последнюю записи о субъекте персональных данных в государственную систему регистрации – с ЗАГСов.  К посту подвигли сообщения в прессе о проекте нового приказа Минюста об указании в заявлении на регистрацию брака сведений об образовании, национальности брачующихся и нажитых ими до брака детях, а также весьма фривольном обращении с персональными данными и основными документами, удостоверяющими личность, в ЗАГСе Рыбинска Ярославской области.
Простое вроде бы дело выдачи свидетельств о рождении, смерти, вступлении в брак и его расторжении и т.д. регламентируется весьма тщательно и подробно – двумя кодексами, Семейным и Гражданским, Федеральным законом от 15 ноября 1997 года № 143-ФЗ «Об актах гражданского состояния», аж тремя постановления правительства РФ: от 6 июля 1998 г. № 709 «О мерах по реализации Федерального закона «Об актах гражданского состояния»», от 31 октября 1998 г. N 1274 «Об утверждении форм бланков заявлений о государственной регистрации актов гражданского состояния, справок и иных документов, подтверждающих государственную регистрацию актов гражданского состояния», от 17 апреля 1999 г. № 432 «Об утверждении правил заполнения бланков записей актов гражданского состояния и бланков свидетельств о государственной регистрации актов гражданского состояния», «Административным регламентом предоставления государственной услуги по государственной регистрации актов гражданского состояния органами, осуществляющими государственную регистрацию актов гражданского состояния на территории Российской Федерации», утвержденным приказом Минюста РФ от 29 ноября 2011 г. № 412. Нормативными правовыми актами установлены формы заявлений, справок, бланков записи, свидетельств о записи и т.д., а также то, кем, когда и как все это заполняется.
Сами понимаете, абсолютно все, что в этих документах записано, за исключением служебных пометок, - это персональные данные. А теперь вопрос на засыпку: сколько раз термин «персональные данные» используется во всех этих документах в совокупности? Правильный ответ – 1 (Один). В Федеральном законе: «Сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, в том числе персональные данные, являются информацией, доступ к которой ограничен в соответствии с федеральными законами, и разглашению не подлежат» (редакция, кстати, установлена законом 2013 года). Я, конечно, понимаю, что наличие или отсутствие сакральных слов вовсе не является само по себе обязательным или правильным, но давайте посмотрим дальше.
Постановление Правительства № 432 устанавливает, что заполнение бланков актовых записей и бланков свидетельств производится рукописным способом либо с использованием технических средств (пишущих машин, компьютеров). Бланки актовых записей изготавливаются типографским способом либо с применением компьютера, при этом в случае применения компьютера изготовление и заполнение бланка актовой записи выполняются одновременно (то есть выдается распечатка с принтера, если по-русски).
Таким образом, мы имеет дело как с автоматизированной обработкой персональных данных, так и с обработкой без средств автоматизации. В силу необходимости обязательной регистрации каждого носителя персональных данных и их систематизации в специальных актовых книгах, есть все основания считать, что в данном случае «обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным» (ч.1 ст.1 152-ФЗ), и действия, совершаемые в ЗАГСах, подпадают под регулирование ФЗ «О персональных данных».
В соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15 сентября 2008 г. № 687 (п.7), при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (как раз наш случай), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Желающие могут самостоятельно ознакомиться с формами заявлений, бланков записей и справок и поискать там цели, сроки, способы обработки и перечень действий, а также оценить, например, возможность выполнения требований пункта «в» в форме 3 «Заявления о внесении сведений об отце ребенка в запись акта о рождении» (установлена ПП-1274).
Между тем ПП-687 от 15 сентября 2008 г. обязывало федеральные органы исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с его требованиями. На дворе – 2014 год.
Самое интересное – с требованием «б». Значительная часть документов, как заявлений, так и актов и свидетельств), содержит графу о национальности, сведения о которой, как мы помним, относятся к специальным категориям персональных данных. Поскольку сведения о национальности в соответствии с Федеральным законом вносятся в акты и выдаваемые на основании внесенных записей документы исключительно по желанию заявителя или заявителей или на основании ранее сделанной записи (т.е. внесение этих сведений не является обязательным), очень хотелось бы понять цель их обработки.
Что интересно, абзацы о том, что в заявления и записи о заключении и расторжении брака вносятся «национальность, образование, первый или повторный брак и при наличии у супругов общих детей, не достигших совершеннолетия, их количество (вносятся по желанию заявителя)», появились в законе только в 2013 году, когда все проблемы правоприменения законодательства о персональных данных были уже очевидны. Кроме целей обработки сведений о национальности, остается неясным влияние их наличия или отсутствия на возможность заключения и расторжения брака, а также соответствие запроса таких сведений у брачующихся требованиям ст.5 152-ФЗ, устанавливающей такие принципы обработки персональных данных, как законность, справедливость, ограничение обработки достижением конкретных, заранее определенных и законных целей, неизбыточность обрабатываемых данных по отношению к заявленным целям. В законе об актах записи гражданского состояния о целях такой обработки нет ни слова, в последующих постановлениях Правительства – тем более.
Тайну частично приоткрыла газета «Коммерсантъ», сообщившая 9 декабря о подготовке приказа Минюста об изменении форм бланков заявлений и отчетности ЗАГСов. Представитель министерства заявил, что это необходимо для «официального статистического учета населения». И опять вопросы. Как может Минюст своим приказом внести изменения в документы, утвержденные постановлением Правительства, и с каких пор статучет стал областью регулирования Минюста? Наконец, как можно считать достоверными статистическими данными сведения, предоставляемые исключительно по желанию заявителей и как будет оцениваться репрезентативность такой выборки? Вопросы есть, а вот ответов – не видно. Кстати, следов принятия этого приказа в новогодней неразберихе пока найти не удалось.
Есть в связи с этим еще пара нюансов. Часть 2 ст.10 152-ФЗ не содержит оснований для обработки специальных категорий персональных данных, связанных с записью актов гражданского состояния, следовательно, на их обработку отдел ЗАГС должен получить письменное согласие субъекта по форме, установленной частью 4 ст.9 такого закона. Формы заявлений, установленные ПП-1274, однозначно этим требованиям не соответствуют и как согласие рассматриваться не могут. Между тем среди документов, подаваемых для регистрации и расторжения брака, регистрации ребенка на сайте госуслуг и аналогичных региональных сайтах, никаких согласий на обработку спецкатегорий персональных данных не указано.
Наличие спецкатегорий существенно влияет на содержание и уровень технической защиты персональных данных. А ИСПДп в ЗАГСе должна быть обязательно: в соответствии с п.52 Административного регламента, в ЗАГСе «КАЖДОЕ рабочее место специалиста оборудуется персональным компьютером с возможностью доступа к необходимым информационным базам данных, печатающим устройством».

Но об этом – во второй части поста. На днях. Праздники кончились J.

3 комментария:

  1. Этот комментарий был удален автором.

    ОтветитьУдалить
  2. Поддерживаю инициативу. Сам давненько уже подумываю посягнуться на гос. учреждения. Особенно в части учреждений, затрагивающих операторов ПДн как работодателей. Различные внебюджетные фонды, инспекции по охране труда, военкоматы и пр. В подавляющем большинстве случаев они требуют от опраторов больше, чем могут по имеющимся правовым основаниям. Достаточно зайти в HR или в бухгалтерию и спросить, что и в каком виде они отправляют в учётные и надзорные органы.
    Например, ФСС, при проверке материальных выплат, просит копии документов (свидетельств о рождении, о смерти и др.). При телефонном разговоре, правовых оснований предоставления им именно копий документов - ссылаются, что они необходимы в соответствии с налоговым законодательством. Военкоматы требуют копии военных билетов. В общем остаётся читать и разбираться самому.
    А вот беседуя с представителями некоторых региональных управлений РКН о подобной нагрузке в части объёма и категорий ПДн на оператора - удалось получить их понимание. И как выход - письменное обращение в ведомство с копией в РКН (им действительно хочется быть в курсе): что, в каком виде и на основании чего.
    Наверно по этому в прошлом году разбор политик конфиденциальности г-ном Гаттаровым у зарубежных компаний всегда воспринимался с улыбкой. (В чужом глазу соринку видим - в своём бревна не замечаем).

    ОтветитьУдалить
    Ответы
    1. Могу только согласиться по всем пунктам. Поэтому надо что-то делать - жаловаться, писать в РКН, публиковать посты. Само не рассосется ;-(

      Удалить