Rambler's Top100
Статьи ИКС № 12 2013
Лилия ПАВЛОВА  10 декабря 2013

Персональные данные по-европейски

Евросоюз заканчивает переработку Конвенции о защите физических лиц при автоматизированной обработке персональных данных, принятой в 1981 г. Россия завершила процедуру ратификации этого документа лишь в нынешнем году. И все же мы идем в ногу с Европой. По крайней мере в части проблем.


Лилия ПАВЛОВАКонвенция устарела. Да здравствует конвенция?

Законодательство в сфере защиты информации давно пора привести в соответствие с реалиями современной жизни в интернете, ведь действующая конвенция основана на мышлении 80-х годов. В Евросоюзе сейчас проходит завершающую стадию согласований новый документ, который должен дать гражданам ЕС четкое понимание своих прав, а бизнесу – своей ответственности. Новая редакция конвенции должна гармонизировать подходы к защите персональных данных всех 28 стран Евросоюза. Как сообщил на IV конференции по защите персональных данных Дэвид Смит, заместитель комиссара по защите данных в Великобритании, в ноябре текущего года Европарламент пришел к некой общей позиции, но в совете министров, где представлены правительства разных стран, согласия еще нет. Между тем в середине следующего года срок полномочий членов Европарламента и Еврокомиссии истечет, и если к марту-апрелю не будет достигнуто соглашение, законопроект придется заново передавать на обсуждение уже новым членам. Это означает, что принятие нового законодательства отложится на год-другой, а его вступление в силу – еще на пару лет. Если же европейские министры придут к согласию к 2014 г., то через год-полтора страны Евросоюза получат новое законодательство, которое Д. Смит называет четким и простым. «Если закон нечеток и непрост, он будет непонятен гражданам, чьи права он призван защищать, и не поможет им, – отметил Д. Смит. – А бизнес должен четко понимать, что от него ожидается, иначе он просто не будет соответствовать требованиям. Четкость и простота – это то, на что мы все надеемся в новом регулировании Евросоюза».

Закрепленные в действующей конвенции основополагающие принципы защиты персональных данных в новом законодательстве сохранятся: информация должна быть точной, храниться в безопасности, не должна слишком долго накапливаться. В новой версии предусматривается расширение прав граждан в части контроля своих персональных данных в интернете. Скажем, если человек проводит операции онлайн-банкинга, он должен иметь доступ к информации о них и возможность их проверки. Кроме того, разработаны четкие правила получения согласия гражданина на обработку персданных. По признанию Д. Смита, до сих пор в странах Европы персональные данные часто обрабатываются без согласия на то человека, например когда он поступает на госслужбу. С другой стороны, любая структура в цепочке обработки персональных данных должна иметь законодательно закрепленные обязательства в отношении их защиты и быть подотчетной контролирующим органам, в которые граждане должны иметь право обратиться. При этом законодательство рассматривает вопросы защиты не только граждан ЕС, но и жителей других стран, чьи данные обрабатываются в информационном пространстве Евросоюза.

Быть забытым невозможно?

О праве «быть забытым», когда человек может удалить размещенную в интернете информацию о себе, говорится давно и много, но воз и ныне там. Как сообщила Бегзада Авдукич, инспекционный советник Агентства по защите персональных данных Боснии и Герцеговины, в этой стране отсутствие такого права пришло в прямое противоречие с существующим законодательством, по которому уголовное преследование несовершеннолетних не подлежит огласке. Между тем, электронные доски объявлений на сайтах судов вместе с прочей информацией о заседаниях автоматически выдают и персональные данные фигурантов дел, в том числе несовершеннолетних. По требованию агентства сотрудники судов удаляют подобную информацию, но копия страницы сохраняется в интернете. «Google сохраняет эти данные, они доступны для просмотра, – констатировала Б. Авдукич. – И хотелось бы знать, как защитить личную жизнь несовершеннолетних, особенно в случае их невиновности, и почему институты, которые должны защищать их права, нарушают закон и причиняют им вред на долгое время».

ИТ-специалисты понимают, что «стереть» информацию, уже размещенную в открытом доступе, а тем более растиражированную в соцсетях, – задача невыполнимая. По крайней мере на сегодня. Тем не менее, по мнению Д. Смита, человек должен иметь право заявить, что он больше не хочет, чтобы в Сети обрабатывали и хранили информацию о нем, – а значит, необходима дальнейшая работа в этом направлении.

Профиль реальной защиты

Примечательно, что в Европе, как и у нас, существует проблема «бумажной инфобезопасности» – избыточность требований к службам информационной безопасности операторов персональных данных. «Конечно, к оператору должны предъявляться общие требования, но он сам вправе определять, какими мерами добиться результата, – считает Д. Смит. – А в Евросоюзе общее регулирование основано на том, что бизнес обязан "поставить галочку" – заполнить все формы, не думая, как действительно обеспечить безопасность персональных данных». Защита должна стать частью культуры организации, образа мышления, а не вопросом выполнения бюрократических процедур, которые не дают нужного результата, считает представитель английского аналога Роскомнадзора. При этом важно, чтобы бизнес фокусировался на рисках для гражданина и потере его доверия. И важно, чтобы наказание было серьезным – в новой редакции конвенции предусматриваются штрафы в размере до 10 млн евро.

Россия окончательно завершила процедуру ратификации Конвенции Совета Европы только в нынешнем году, тем не менее ее опыт в решении новых задач в области защиты персональных данных вполне согласуется с европейским. Так, избыточность требований к информационным системам обработки персданных привела либо к их невыполнению, либо к «бумажной инфобезопасности». В качестве альтернативы было предложено использовать процедуру обезличивания персональных данных. Как сообщил Роман Шередин, заместитель руководителя Роскомнадзора, учитывая особый статус информационных систем государственных и муниципальных органов, связанных со значительным объемом обрабатываемых персональных данных, включая данные чувствительной категории, Постановление Правительства РФ от 21.03.2012 № 211 утвердило перечень мер, принимаемых операторами этих систем.

Одна из обязательных мер – обезличивание персональных данных при их обработке в информационных системах государственных и муниципальных органов, в том числе созданных и функционирующих в рамках федеральных целевых программ. Роскомнадзором утверждены методы и требования по обезличиванию персональных данных, разработаны методические рекомендации, которые, по словам Р. Шередина, в ближайшее время будут утверждены и доведены до всех операторов систем государственных и муниципальных органов. «На наш взгляд, обезличивание персональных данных позволит без ущерба для их безопасности снизить уровень затрат операторов, – отметил Р. Шередин. – Вместе с тем бурное развитие информационных технологий не позволяет нам успокоиться, необходимо непрерывно искать ответы на вызовы информационной среды, где накапливается все больше и больше персональных данных».

После материализации призрака

Объем размещенных в электронном виде персональных данных увеличивается ежесекундно, а уровень их защищенности остается под большим вопросом. О возможности тотального сбора персданных догадывались многие, но всколыхнувшие мир откровения Эдварда Сноудена поставили нас перед фактом: на сотни миллионов граждан по всему миру, включая глав правительств, данные собираются и обрабатываются без всякого их на то согласия, и защищаться надо не только от хакеров, но и от целых государств. На упомянутой конференции сенатор Руслан Гаттаров «вернул» Соединенным Штатам Америки слова их бывшего президента Рональда Рейгана: «...проповедование всемогущества государства и его превосходства над личностью делает государство центром зла». «По факту сейчас Соединенные Штаты оказываются центром зла, они возвысили себя над всем миром, – заявил Р. Гаттаров. – Эта страна создала интернет, она оказывает на него серьезное влияние и использует в своих интересах, нарушая права каждого из нас».

По мнению сенатора, сейчас именно США сделали первый шаг к разделению интернета на национальные территории. Движение в этом направлении будет усиливаться, считает Р. Гаттаров, и другим странам необходимо консолидироваться в борьбе за право своих граждан на неприкосновенность частной жизни. В этой борьбе выиграть непросто, поскольку большинство крупных мировых интернет-компаний американские или с американскими корнями и находятся под юрисдикцией США. Их невозможно призвать к ответственности в случае нарушения положений национальных законодательств или Конвенции Совета Европы. При этом, по словам сенатора, ряд американских компаний идут на контакт, открывают свои представительства в России и готовы к сотрудничеству. Системную работу Совет Федерации ведет с Microsoft, Google, Facebook. «Но Apple, Twitter, Yahoo нас не слышат, – констатировал Р. Гаттаров. – У них нет представительств в России, они не отвечают на наши запросы, не готовы вести с нами диалог. Их пользовательские соглашения нарушают большинство европейских законов, и если в одиночку не получается урезонить эти компании, надо урезонить их совместными усилиями».

* * *

Без тесного международного сотрудничества и взаимной помощи государств защиту прав граждан в Сети с уже наметившимися пограничными столбами обеспечить не удастся. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!