Rambler's Top100
Статьи ИКС № 12 2011
Наталия КИЙ  06 декабря 2011

Что ждет персональные данные?

Ответ на вопрос, вынесенный в заголовок, очевиден: персональные данные ждет уходящая в бесконечность гармонизация. Слово, заменившее советское «дальнейшее совершенствование», удачно прикрывает недоделки и недодумки.

Закон принят. Правовое поле упорядочено? Нет.

Из мнений специалистов по безопасности

 

Недоделки в измененном Законе о персональных данных – теперь под номером ФЗ-261 и с названием «О внесении изменений в ФЗ «О персональных данных» (от 25 июля 2011  г.) – уже разобрали по косточкам или еще успеют это сделать большинство специалистов-безопасников и заинтересованных физ- и юрлиц (см., например, «ИКС» № 7–8’2011, с. 6–7, блоги на IKSMEDIA.RU). По верному замечанию Илларии Бачило (Институт государства и права РАН), сделанному на октябрьской конференции «Защита персональных данных», у нас большинство законов в области информационного общества через год-два подвергаются новой редакции и доработке. И это не время так быстро бежит, и не информационное общество так быстро строится, и не персданные так творчески обрабатываются и защищаются, а так законы делаются. В русле национальных российских традиций рождаются законы-матрешки – ФЗ «О внесении изменений в ФЗ...».

По оценке Минкомсвязи, два года координировавшего процесс создания новой редакции Закона о персональных данных от 2006 г., ФЗ-261 от 2011 г. учел европейский опыт регулирования и директивы ЕС; скорректировал определение персданных опять же в соответствии с европейскими принципами; внес изменения в понятийный аппарат; расширил перечень операций обработки персданных без согласия субъекта; подробно описал перечень юрлиц, которым обработка персональных данных может быть передана на аутсорсинг; создал механизм защиты от ложных запросов; ввел требование о назначении ответственного за обработку персональных данных в организации и т.д.

Общественность не устает указывать на неоднозначность трактовок, неопределенность критериев, отсутствие в штате операторов персданных специалистов по информационной безопасности, необходимость начала работы над списком адекватных стран для трансграничной передачи данных, логическую несогласованность действующей нормативной базы с новым законом.

Типовые нарушения
при использовании ИС
персональных данных
  • Несоответствие криптосредств документам используемого класса (в сторону его занижения)
  • Истекшие сроки действия сертификатов использования криптосредств
  • Отличие используемых версий криптосредств и сертификатов (требуется работа с поставщиками криптосредств)
  • Текучесть кадров операторов персданных, как следствие – низкий уровень знаний в области персональных данных и нормативных актов.
Источник: ФСБ России 
Чтобы действовал закон

Самая насущная задача момента – реализация новой версии закона, для чего требуется подготовка нормативных правовых документов. Как сообщил на упомянутой конференции по защите персональных данных Александр Гермогенов, замдиректора департамента создания и развития информационного общества Минкомсвязи, подзаконные акты правительственного и ведомственного уровня должны быть подготовлены в конце 2011-го – 2012 г. Четыре постановления правительства будут посвящены перечню мер защиты персональных данных для государственных и муниципальных органов, уровням их защищенности, требованиям к защищенности персданных в ходе обработки и порядку согласования с ФСБ и ФСТЭК предложений бизнес-сообщества. Ведомственные акты ФСБ, ФСТЭК и Роскомнадзора должны будут утвердить, в частности, нормы по состоянию и содержанию организационных и технических мер защиты, перечень стран для трансграничной передачи персональных данных.

Представители регулирующих органов, в частности ФСБ, заверяют, что основным принципом при разработке нормативной базы будет максимальная преемственность по отношению к имеющимся документам, существующие нормативные правовые акты пока не отменяются и продолжают действовать (как, например, Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 2007 г.). «Неофициальная позиция регуляторов состоит в том, что все, что сейчас разработано, действует. Те работы, которые сделаны, должны быть сохранены», – подтверждает Андрей Курило (Центробанк), добавляя, что неплохо бы официальным органам документально подтвердить свою оценку ситуации.

Кто придумал велосипед?

Однозначного ответа на этот вопрос нет. По легенде руку к нему приложил Леонардо да Винчи, значительно позднее – русский крепостной крестьянин Артамонов, немецкий профессор Карл фон Дрез, шотландский кузнец Макмиллан, юный французский мастер детских колясок Лалман, английский изобретатель Джон Кемп Старли... В общем, старались всей Европой в течение нескольких веков. И результат того стоит.

Как сказал журналистам представитель молдавских защитников персональных данных, не надо изобретать велосипед – его уже придумали европейцы. Гармонизировать персональные данные и правила их жизни надо не только с российскими реалиями, но и с другими странами, прежде всего европейскими – не в безвоздушном пространстве живем, иные отечественные компании имеют представительства по всему миру. История законодательства о персональных данных несравнима с историей велосипеда, но руку тоже приложили многие. И европейская конвенция 1995 г. (EU Data Protection Directive) стала признанным механизмом защиты персональных данных. В числе базовых принципов обработки персданных в ЕС – сбор данных с участием объекта и предотвращение избыточности сбора данных.

Что сегодня в международном тренде? Как свидетельствует Константин Платов из компании «Инфорсер», которая около пяти лет работает на стыке национальных и интернациональных институтов персональных данных, активно выражена тенденция сокращения разрыва между юридическими требованиями и практикой; выделяются группы данных, подлежащих специальной защите; обеспечиваются права граждан на доступ к информационным системам, содержащим их персданные; ярко выражено стремление к созданию эффективных механизмов контроля; создается институт уполномоченных в качестве контролирующих в этой сфере.

Это наше будущее. Думается, не очень близкое, если учесть, в каких муках оно рождается по крохам и фрагментам.

Карать или сотрудничать?

«Карательная функция присутствует, но на втором плане. Главное – защита персональных данных наших граждан», – делится представитель Федеральной службы безопасности, которая осуществляет контроль и надзор за сохранностью персданных у государственных операторов (в соответствии со ст. 19 Закона о персданных служба по поручению правительства может быть наделена такими полномочиями и в отношении негосударственных операторов – в случае особой важности обрабатываемых данных).

А вот опыт соседей и недавних соотечественников свидетельствует, что принуждение и наказание в деле защиты данных граждан может стоять не на втором, а... на последнем, шестом месте. Кая Пусепп, замдиректора Инспекции по защите данных Эстонии, впереди ставит разъяснение, формирование правовых обычаев, консультирование, досудебное разбирательство, аудит и предоставление разрешений. И только потом штраф. Но зато какой – 32 тыс. евро! «Это не штраф, это козырь! Мы редко используем наказание: в прошлом году наложили всего два штрафа», – комментирует дама-инспектор, у которой, по ее собственному выражению, «в глазах горит огонь защиты персональных данных».

В эстонской инспекции – 18 чиновников, в основном юристы, специализирующиеся на разных сферах деятельности. Персональные данные прописаны отдельной строкой в бюджете Эстонии с 1999 г., 100% расходов инспекции покрывает государство. В бюджете страны 2011 г. на защиту данных граждан заложено 592 446 евро. «Когда несколько лет назад мы узнали из опроса, что только 18% соотечественников знают о нашей работе, мы пришли в ужас», – вспоминает К. Пусепп. Что было сделано, чтобы повысить влияние инспекции при небольших ресурсах? Работа была пересмотрена, введена специализация инспекторов по сферам деятельности, в офисе запретили использовать слова «субъекты персональных данных». «Это не субъекты – это люди! – говорит К. Пусепп. – Если держишь в одной руке наказание и страх, а в другой руке – партнерство, то последнее куда как весомее». Формирование правовых обычаев – вот чем в первую голову занимается эстонский инспектор. Правовые обычаи – понятие наимудрейшее, означающее, что соблюдение договоренностей, правил и законов – в крови.

К большому сожалению, не из нашей жизни. Конечно, за десять лет воспитать 1,3 млн сдержанных и организованных эстонцев можно, а вот 140 млн россиян с анархией в крови... Менталитет – штука непобедимая. Но вот в Эстонии человек может обратиться к любому оператору персональных данных и за пять дней узнать об их наличии и составе, выяснить, кто обращался за теми или иными сведениями и их обрабатывал. В России эта процедура по новому закону займет месяц вместо семи дней, как было раньше. Это уже не менталитет, это регулирование.

  

Так что будет с персональными данными? Они будут не только – хорошо ли, плохо ли – храниться и защищаться, но, как верно напоминает заслуженный юрист России профессор И. Бачило, они должны эффективно использоваться. В интересах самих граждан, бизнеса, государства. «Закон о персональных данных в версии 2011 г. делает акцент на защиту. Нам надо уточнять рациональное использование», – говорит И. Бачило. Предстоит разобраться, когда персональные данные переходят в режим публичной информации (это важно, скажем, для работы журналистов), дать более четкое определение общедоступных персданных и разделить их с общедоступными источниками таких данных. Специалисты предлагают не только раскрыть в законе понятие «биометрия», но и включить в состав персональных данных такие естественные для современной жизни явления, как электронная подпись, электронные адреса.

Персональные данные, их защита и использование из одиозной темы будут превращаться (наверняка не без новых утечек и скандалов) в часть личного и общественного бытия. Если уж не в правовой обычай, так в правовую среду партнерства человека и государства, человека и бизнеса.  


Наталия Кий 

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!