Персональным данным требуется отсрочка?

Издание: ИКС, декабрь 2009 г.

Автор: Александр Васюнин, специалист департамента маркетинга компании «Информзащита»

Много слов было сказано о несовершенстве российской нормативно-правовой базы по персональным данным. Все эксперты в один голос заявляли о противоречивости требований законодательных актов и сложностях для операторов персональных данных по внесению изменений в существующие информационные системы для соответствия новым требованиям, а также указывали на ограниченность сроков, установленных законом.

Для понимания контекста проблемы давайте немного оглянемся назад и вспомним основные этапы становления законодательства о персональных данных в Мировом сообществе.

Основы современного европейского законодательства были заложены после принятия 10 декабря 1948 года на уровне ООН «Всеобщей декларации прав человека»,  устанавлива­ющей основные принципы государствен­ных отношений, введение новых конституций рядом ведущих стран Европы, создание системы общественных организаций и регулярное проведение международных кон­­ференций. Статья 12 этой декларации установила, что «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств».

В 60-х годах прошлого века прогресс в развитии компьютерной техники и информационных технологий стал оказывать большое влияние на все области деятельности человеческого общества. Это привело к появлению такого важного термина как «информа­ционное общество» – ключевому понятию экономики, главной особенностью которого является получение и распределение знаний и информации.

Международное признание важности проблемы защиты персональных данных было закреплено в 1981 году принятием странами Совета Европы Конвенции «О защите физических лиц при автоматизи­ро­ванной обработке персональных данных». Конвенция исходит из того, что права и интересы личности в условиях применения новейших информационных технологий, компьютерных и телекоммуникационных средств могут быть нару­шены в результате несанкционированных сбора, обработки, хранения и распространения сведений персонального характера ей же во вред, тем самым сведя на нет ее природные, жизненные права, являющиеся ос­но­вой свободы, общей справедливости и мира.

Европейский Союз стремился к тому, чтобы субъекты персональных данных имели четко определенные права и возможность обратиться к должностному лицу или органу, который обязан предпринять действия для их защиты. Каждой стране, которая является участником Евросоюза, было рекомендовано создать институт уполномоченного по защите персональных данных.

Следующим логическим шагом стало появление директивы 95/46/ЕС Европейского Пар­ла­мента и Совета Европейского Союза от 24 октября 1995 года о защите физических лиц при обработке персональных данных и свободного обращения этих данных. Здесь стоит особо отметить, что одним из положений директивы 95/46/ЕС стала рекомендация учитывать отраслевую специфику в рамках взаимодействия с различными профессиональными ассоциациями в рамках их компетенции для облегчения исполнения требований данной директивы.

В целях углубления отраслевого принципа защиты персональных данных, провозглашенного Директивой 95/46/ЕС, была утверждена Директива 97/66/ЕС Европейского Парламента и Совета Европейского Союза от 15 декабря 1997 года об обработке персональных данных и защите неприкосновенности частной жизни в сфере телекоммуникаций. Она дополняет и конкретизирует правила обработки данных в информационных системах, которые собираются операторами во время предоставления телекоммуникационных ус­луг. Позже появилась директива 2002/58/ЕС Европейского парламента и Совета Европейского Союза от 12 июля 2002 г. относительно обработки личных данных и защите личной тайны в сфере электронных коммуникаций, которая заменила Директиву 97/66/ЕС, регулировавшую схожую сферу отношений, но не учитывавшую современное состояние электронной связи.

Обеспечению прав на защиту персональных данных в телекоммуникационных сетях также посвящены ряд рекомендаций Совета Европы.

Как видно, европейское законодательство в области персональных данных с самого начала шло параллельно с техническим прогрессом и учитывало современные тенденции в области технологий.

Давайте теперь обратимся к российским реалиям в этой области. Основными побуждающими мотивами принятия закона о персональных данных явилось стремление развить положения Конституции РФ о личной тайне и неприкосновенности информации о частной жизни физического лица, а также осознание необходимости в более тесной интеграции России в мировое  и европейское сообщество.

В первую очередь хочется выделить начавшийся еще в 1995 году переговорный процесс по присоединению России к Всемирной торговой организации. В 2001 году Распоряжением Правительства Российской Федерации был утвержден План мероприятий по приведению законодательства Российской Федерации в соответствие с нормами и правилами ВТО, предусматривающий разработку ряда законопроектов, принятие  которых позволит в целом решить проблему адаптации нормативной правовой базы России к требованиям ВТО.

Так, Россия в 2005 году ратифицировала Конвенцию «О защите физических лиц при автоматизи­ро­ванной обработке персональных данных» и, во исполнение взятых на себя обязательств, в следующем, 2006 году, был принят Федеральный закон №152-ФЗ «О персональных данных». Далее, во исполнение закона, был принят ряд нормативно-правовых актов:

• Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

В середине 2008 года были выпущены Методические документы ФСТЭК  России, имеющие гриф ДСП:

• «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
• «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»;
• «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

В 2008 году появились методические документы ФСБ:

• «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;
• «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».

После выхода этих нормативно-правовых актов разгорелась нешуточная дискуссия как в экспертном сообществе, так и среди представителей различных ветвей власти.

20 октября 2009 года прошли Парламентские слушания на тему: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных». В первую очередь были засвидетельствованы глубокие системные проблемы и противоречия в нормативно-правовой базе, а также противоречия между государственными регуляторами и операторами персональных данных.

Было указано на ориентированность нормативно-правовых документов на защиту собственно персональных данных, а не прав граждан при обработке их персональных данных в информационных системах, что противоречит Конвенции Совета Европы и Федеральному закону «О персональных данных», которые в качестве своих целей устанавливают обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

Вторая проблема связана с высокими требованиями ФСТЭК России по защите информационных систем персональных данных, что также противоречит Европейскому опыту. В частности Статья 17 Директивы 95/46/ЕС Европейского Пар­ла­мента и Совета Европейского Союза о защите физических лиц при обработке персональных данных и свободного обращения этих данных прямо увязывает необходимые меры со стоимостью их реализации:

«Государства-участники обеспечат, что контролер должен будет реализовать надлежащие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения или случайной утраты, изменения, неправомерного раскрытия или доступа, в частности, когда обработка влечет передачу данных по сети, а также от всех иных незаконных форм обработки. С учетом состояния и стоимости их реализации такие меры должны обеспечить надлежащий уровень безопасности для рисков, представленных обработкой и природой защищаемых данных».

Требования же ФСТЭК по защите персональных данных во многом повторяют требования по защите сведений, составляющих государственную тайну, что ложится серьезным финансовым бременем на хрупкие плечи операторов персональных данных. К тому же методические документы ФСТЭК имеют гриф для служебного пользования и не находятся в открытом доступе, что было признано неконструктивным.

Еще один момент, на который обратили внимание участники слушаний – отсутствие учета отраслевой специфики, что ставит в сложное  положение многие компании, основная деятельность которых связана с использованием больших объемов персональных данных, например, организации телекоммуникационного сектора. В этом контексте позитивную направленность имеет работа Инфокоммуникационного Союза над проектом отраслевого стандарта операторов связи «Разработка концепции защиты персональных данных в информационных системах персональных данных операторов связи» при участии компаний «большой тройки».

Также прозвучало предложение внести изменения в Федеральный закон № 128-ФЗ «О лицензировании отдельных видов деятельности» для исключения необходимости получения лицензии на техническую защиту конфиденциальной информации при обработке такой информации для собственных нужд.

Но, безусловно, одной из главных тем был вопрос о возможности переноса сроков приведения информационных систем персональных данных в соответствие требованиям закона на год или даже на два года. Аргументация понятна — методические документы государственных регуляторов были выпущены не так давно, а времени осталось буквально несколько месяцев. Несмотря на эти доводы, Роскомнадзор официально заявил, что настаивает на нецелесообразности изменения срока приведения информационных систем персональных данных в соответствие с законом «О персональных данных». Конечно, не до конца понятны критерии, по которым регуляторы будут определять степень вреда, нанесенного субъектам персональных данных, однако надо отметить, что именно обращения субъектов являются основным поводом для проверок, а статистика показывает неумолимый рост обращений субъектов персональных данных с каждым годом. В заключение стоит порекомендовать операторам персональных данных не игнорировать требования по защите персональных данных, так как полное бездействие с надеждой на то, что никто не придет, связаны с принятием на себя повышенных рисков, а сам факт проведения работ по защите персональных данных и аргументированная позиция по возможным спорным вопросам уже является залогом спокойствия в непростых современных условиях.

P.S. Статья была написана и опубликована еще до переноса сроков ФЗ-152.