Проблемы реализации Федерального закона "О персональных данных"

Вступление в силу Федерального закона от 27.07.2006 г. №152-ФЗ "О персональных данных" (далее - ФЗ №152) сформировало разные мнения относительно дальнейшей ситуации, касающейся защиты персональных данных в стране. Некоторые считают это значительным шагом на пути к формированию нормативной правовой базы в сфере защиты информации, что даст возможность России стать равноправным участником многих мировых экономических и политических процессов. Другие же имеют иную точку зрения, полагая, что реализация данного закона в полном объеме невозможна из-за недостаточности проработки некоторых его положений.

Следует обозначить несколько из озвученных операторами проблем, возникающих при реализации Федерального закона "О персональных данных".

Проблема толкования понятий. Пути ее разрешения сводятся в основном к выбору одного наиболее подходящего варианта толкования. Согласно ст.3 ФЗ №152, персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, другая информация. Понятно, что восприятие любого определения, содержащего такие словосочетания, как "любая информация" или "другая информация", не может иметь четких границ, а, следовательно, у любого правоприменителя сложится свое представление, какие же данные являются персональными.

Следующая проблема - обязанность оператора персональных данных получить лицензию на осуществление технической защиты конфиденциальной информации.

В Указе Президента Российской Федерации от 06.03.1997 г. №188 "Об утверждении перечня сведений конфиденциального характера" персональные данные образуют один из блоков сведений конфиденциального характера. Согласно ст.17 Федерального закона от 08.08.2001г. №128-ФЗ "О лицензировании отдельных видов деятельности" деятельность по технической защите конфиденциальной информации подлежит лицензированию. А в случаях, предусмотренных руководящими документами ФСТЭК России, операторы информационных систем персональных данных при проведении мероприятий по обеспечению безопасности персональных данных должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Еще одной проблемой операторов является осуществление трансграничной передачи персональных данных, с которой уже столкнулись туристические фирмы, компании, оказывающие транспортные услуги и т.д. У этих операторов возникает множество вопросов при выполнении требований ст.12 ФЗ №152, посвященной трансграничной передаче персональных данных, в части обязанности убедиться в обеспечении адекватной защиты прав субъектов персональных данных на территории иностранного государства. Каким образом оператору необходимо доказывать выполнение этих требований при осуществлении проверки Уполномоченного органа по защите прав субъектов персональных данных, пока не известно. Кроме того, законодательно не урегулированы случаи осуществления трансграничной передачи, если:

  • персональные данные передаются российскому гражданину на территорию иностранного государства;
  • филиал российского оператора находится на территории иностранного государства;
  • персональные данные передаются из филиала российского оператора в иностранном государстве на территории Российской Федерации.

В настоящее время проблемы несовершенства законодательства в сфере персональных данных стали находить свое отражение в средствах массовой информации (СМИ). В изданиях крупных и не очень, электронных и печатных стали появляться новости об утечках информации, о новых технических средствах ее защиты, о планируемых мероприятиях, посвященных информационной безопасности. На настоящий момент в Российской Федерации зарегистрировано только одно СМИ, полностью посвященное проблематике персональных данных: электронный журнал "Персональные данные", который содержит комментарии и операторов, и государственных регуляторов, и экспертов, занимающихся данной тематикой.

Однако, рассуждая о трудностях защиты персональных данных, нельзя забывать и о правовой неграмотности операторов.

Распространенной ошибкой, например, банков, является осуществление обработки персональных данных на основании п.2 ч.2 ст.6 ФЗ №152, согласно которому при обработке персональных данных в целях исполнения договора согласия субъекта не требуется. Эта позиция будет верна только в случае, когда оператор обрабатывает персональные данные исключительно в рамках договора. В примере с банками данное исключение не работает, поскольку ведение "черных списков" и осуществление рассылки информационных сообщений явно не являются целями заключаемых с клиентами договоров.

Еще одна проблема состоит в реализации требований ст.19 ФЗ №152, согласно которой оператор обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерных действий.

Многие операторы значительно усложняют себе жизнь, обрабатывая персональные данные субъектов в "привычном" объеме, забывая о принципе достаточности данных. Так, операторы буквально своими руками повышают класс информационной системы персональных данных, а, следовательно, увеличиваются и расходы на ее защиту.

С организационными мерами защиты персональных данных дело обстоит еще сложнее. Законодательство не содержит требований к организационным мерам защиты персональных данных, да и Уполномоченный орган по защите прав субъектов персональных данных еще не успел сформировать позицию относительно того, как проверять соответствие обработки персональных данных требованиям ФЗ №152. С криптографическими средствами защиты информации все гораздо проще: постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами" к средствам криптографической защиты информации относит, в том числе, ключевые документы, перечень которых определен ФСБ России.

А операторы персональных данных до сих пор не знают, какие доказательства, в том числе какие организационные документы необходимо предъявить Уполномоченному органу, чтобы успешно пройти проверку.

Один из способов решения данной проблемы видится в просвещении операторов в вопросах, касающихся обработки персональных данных, а также применения к ним организационных мер защиты. Достичь этого компания-оператор сможет, если ее специалисты будут твердо знать, что обработка персональных данных в соответствии с требованиями ФЗ №152, и их защита, действительно, имеет важное значение. Существенную роль при этом сыграет посещение специалистами компаний-операторов научно-практических семинаров по проблемам защиты персональных данных с целью получения ответов на интересующие их вопросы.

Одним словом, операторам персональных данных не стоит поддаваться панике в связи с возникающими проблемами при реализации требований ФЗ №152. Наоборот, необходимо занять активную позицию для их выполнения. Ведь цель ФЗ №152 - обеспечение защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, что, очевидно, не так-то просто.

 


Страница сайта http://silicontaiga.ru
Оригинал находится по адресу http://silicontaiga.ru/home.asp?artId=9776