Почему не заработал закон "О персональных данных"

Издание: Финансовые Известия

Автор: Михаил Емельянников, директор по развитию бизнеса компании «Информзащита»

Вот уже три года прошло со дня вступления в силу федерального закона "О персональных данных". За это время принято три постановления правительства, масса приказов и нормативно-методических документов государственных органов, уполномоченных решать и контролировать те или иные вопросы обработки персональных данных (далее будем называть эти органы регуляторами). Потрачены же эти три года в основном не на создание условий, обеспечивающих реальную защиту прав граждан при обработке их персональных данных, а на споры об уровне технической защиты этой категории сведений при их обработке в информационных системах.

На главный вопрос, привели ли меры, принятые правительством и регуляторами, к действительному повышению защищенности сведений о частной жизни граждан, сокращению числа случаев неправомерного обращения с персональными данными - утечек, незаконной передачи баз данных в продажу и т.п., с сожалением приходится давать отрицательный ответ. Трудно не согласиться с выводом, сделанным в пояснительной записке к законопроекту депутата В.М. Резника, предусматривающему существенную корректировку текста нынешнего закона: "Практика реализации федерального закона позволяет сделать вывод о недостижении цели его принятия".

Повышение требований к уровню защищенности персональных данных граждан по логике должно было бы сопровождаться и усилением ответственности за нарушения, в первую очередь - за утечку персональных данных, приводящую к нарушению их конфиденциальности. Однако этого не произошло.

Все три года действия закона безжизненной с точки зрения применения ее к нарушителям остается статья 137 Уголовного кодекса "Нарушение неприкосновенности частной жизни", предусматривающая ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну (т.е. как раз персональных данных), без его согласия. Трудно назвать законным формирование баз данных о гражданах, включающих самый широкий набор сведений с целью их последующей продажи (т.е. именно распространения). Вот типичное предложение, которое я регулярно получаю по электронной почте в виде спама: "Внимание!!! Все базы объединены в единую систему поиска. Достаточно просто вбить в систему поиска ИНН или ФИО и система поиска выдаст Вам всю имеющуюся информацию". Включает предлагаемый к продаже "продукт" ценою всего-то 30 тысяч рублей, по заявлению продавца, более 600 (!) баз, связанных единым интерфейсом.

И совсем уж никого не пугает ст.13.11 КоАП - "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)", предусматривающая штраф до 1000 рублей для должностных лиц и до 10 тысяч рублей - для юридических. При сопоставлении со стоимостью реализации защитных мер только в информационной системе, исчисляемой в крупных компаниях-операторах миллионами рублей, наказание смехотворное. Вот и не торопятся владельцы и топ-менеджеры банков, страховых компаний, операторов связи и платных поликлиник вкладывать большие деньги в систему безопасности обработки персональных данных.

Кроме несущественности наказания против закона работает и неурегулированность многих его положений, ставящих многие привычные и обыденные действия фактически вне закона.

Все это приводит к сложившейся ситуации, когда закон есть, но все силы направлены не на защиту прав субъекта, ради которого он создавался, а на создание и проверку набора формальных требований, до которых субъекту никакого дела нет.