1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Комментарий к ст. 16 Закона о персональных данных
1. Комментируемая статья определяет права субъектов персональных данных по отношению к принятию решения, порождающего юридические последствия, основанного исключительно на автоматизированной обработке персональных данных. Право на возражение против такой обработки, декларированное данной статьей, должно быть основано, в первую очередь, на праве получения информации о том, какая логика положена в основу выработки "автоматизированного решения".
Законодатель не раскрывает ни содержания, ни характера принятого решения, влекущего за собой юридические последствия для субъекта персональных данных. Применительно к положениям рассматриваемой статьи это не имеет принципиального значения. Решение такого рода будет выступать в роли основания возникновения соответствующих правоотношений лишь при условии, что потенциально создает возможности возложения на субъекта персональных данных дополнительных обязанностей и ограничений и является следствием автоматизированной обработки. Создаваемые юридические последствия могут иметь для субъекта персональных данных также и позитивные моменты (например, предоставления лицу дополнительных льгот и преимуществ) либо затрагивать отдельные аспекты его личности, такие как выполнение им своей работы, кредитоспособность, надежность, поведение и т.п.
В целях защиты интересов субъектов персональных данных, законодатель обязывает оператора предварительно уведомлять последних о порядке принимаемого им решения как результата автоматизированной обработки персональных данных и возможных юридических последствиях его реализации, а также разъяснять порядок защиты субъектом своих прав и законных интересов. С целью их реализации оператор персональных данных должен предоставить субъекту возможность заявить возражения против принимаемого решения. Согласно общему смыслу и принципам настоящего Закона возражения на вынесенное решение должно приноситься в письменной форме. Однако несоблюдение формы не лишает субъекта персональных данных возможности защиты своих прав и интересов. О результатах рассмотрения внесенного в адрес оператора возражения и принятом решении оператор должен уведомить субъекта персональных данных не позднее семи рабочих дней с момента его получения.
Реализация принятого решения, порождающего юридические последствия для субъекта персональных данных, по общему правилу осуществляется с его письменного согласия до тех пор, пока не будет заявлено обратное. В данном случае действия оператора будут признаны осуществляемыми без согласия субъекта персональных данных, пока оператором не будет доказан факт его получения. С этой целью все действия, подпадающие под действие положений настоящей статьи, оператору целесообразно закреплять в письменном виде.
2. В процессе принятия настоящего Закона особое внимание обращалось на то обстоятельство, следует или не следует ограничивать действие представленных положений системами автоматизированной и компьютерной обработки персональных данных. В пользу такого ограничения говорит целый ряд факторов, в том числе серьезная угроза неприкосновенности частной жизни индивидуума, возникающая в связи с появлением автоматизированных систем и компьютерных банков данных и со все более явным преобладанием автоматизированных методов обработки данных, особенно в процессе международных обменов данными.
С другой стороны, ограничение действия настоящей статьи исключительно системами автоматизированной обработки данных имело бы ряд недостатков. Во-первых, на уровне определений достаточно трудно провести четкую линию раздела между автоматизированной и неавтоматизированной обработкой данных. Существуют, например, смешанные типы систем, которые могут предусматривать, а могут и не предусматривать автоматизированную обработку данных. Эти трудности усугубляются постоянным совершенствованием технологий: например, вводятся в действие новейшие методы полуавтоматической обработки данных на основе микрофильмов или микрокомпьютеров, которые начинают все более широко использоваться частными лицами в целях, которые являются, с одной стороны, безобидными, а с другой — не поддающимися контролю. Более того, если рассматриваемые положения будут касаться только компьютеров, то результатом этого может стать отсутствие системного подхода, "провалы" и создание широких возможностей для того, чтобы операторы могли обходить правила, используя неавтоматизированные методы обработки данных в целях, которые могут оказаться небезопасными.
Наиболее целесообразным представляется применение положений настоящей статьи к обработке персональных данных в самом широком их понимании, вне зависимости от конкретных технологий, используемых в этом процессе.
