• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Закон «О персональных данных»: поправки приняты, концепция не изменилась

Новая редакция закона «О персональных данных» не только не уменьшила государственное администрирование в этой сфере, но и усилила его. По-прежнему требуется приведение закона в соответствие с духом европейского регулирования, с ФЗ «Об информации, информационных технологиях и защите информации», с Конституцией РФ.

Европейское регулирование в сфере защиты персональных данных

Принятый после ратификации Россией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, Федеральный закон «О персональных данных» продолжает вызывать споры экспертов и участников рынка. Еще не получив опыта правоприменения, он уже был скорректирован в наиболее одиозных своих нормах. Однако представляется, что причина «неприменимости» закона кроется в самой его концепции, предусматривающей тотальное и неоправданно детальное государственное администрирование в данной сфере.

Базовая конвенция и последующие евродирективы обязывают стран-участниц обеспечить защиту персональных данных путем соблюдения следующих понятных и справедливых требований:

• Информация собирается и обрабатывается только для объявленных, явных и законных целей законными и добросовестными методами, с согласия ее субъектов (кроме особых, явно оговоренных случаев).

• Собирается только относящаяся к делу информация, необходимая для объявленной цели, и хранится она в форме, позволяющей идентифи-цировать ее субъектов, не дольше, чем это необходимо.

• Собранная информация корректно обрабатывается, при необходимости уточняется и актуализируется.

• Принимаются меры против несанкционированного раскрытия или злоупотребления информацией. Данные, оборудование и программное обеспечение предохраняются от физического повреждения.

При этом регуляторные меры страны-участницы выбирают самостоятельно. От них не требуется, например, администрировать деятельность операторов персональных данных. Предполагается, что лица, связанные с персональными данными, подчиняясь национальному регулированию, самостоятельно и добросовестно примут необходимые меры и применят соответствующие процедуры и технические средства.

Тем самым европейское регулирование не накладывает на государство обязанность вводить детальное регламентирование такой деятельности, нести ответственность за его необходимость и достаточность, а также контролировать следование ему.

Основная задача европейского регулирования – защита граждан от возможных злоупотреблений со стороны государства, особенно в случаях, когда они вынуждены предоставлять свои персональные данные в рамках установленных административных процедур. В таких случаях граждане, давая свое согласие на обработку персональных данных, действуют безальтернативно, поэтому представляется обоснованным, чтобы требования к защите персональных данных устанавливались прежде всего для государственных и иных организаций, оказывающих населению госуслуги.

Но когда потребитель вступает в отношения с коммерческими предприятиями, действующими в условиях рынка, он самостоятельно делает выбор и принимает решение о достаточности или недостаточности предлагаемой ими защиты его персональных данных. Следовательно, здесь полная регламентация действий оператора персональных данных по их защите излишня (и, как показывает анализ, она все равно не охватывает всего разнообразия двусторонних и многосторонних отношений, включая агентирование). В таких случаях целесообразнее регулировать права и ответственность сторон*.

Избыточность администрирования в ФЗ «О персональных данных»

Отечественный закон выстроен по схеме Директивы 95/46/ЕС Европарламента/Евросовета от 24.10.95 «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», однако в отличие и от нее, и от базовой конвенции вводит в своей ст. 19 детальную регламентацию в этой сфере, поручая правительству установить требования к защите персональных данных, определить состав и порядок организационных и технических мер такой защиты, причем во всех информационных системах, а не только в государственных. Этот подход принципиально расходится со ст. 16 рамочного закона «Об информации, информационных технологиях и защите информации», согласно ч. 5 которой подобные требования предъявляются только к государственным информационным системам.

Эксперты и участники рынка постоянно обращали внимание всех субъектов законодательного процесса на избыточность установленного в ст. 19 ФЗ «О персональных данных» администрирования, тем не менее в новой редакции закона оно было существенно расширено (табл. 1).

Помимо установленных законом вполне понятных в духе европейского регулирования обязательств по обеспечению безопасности персональных данных (ст. 19 ч. 1 обеих редакций), оператор теперь не волен выбирать состав принимаемых им для этого мер, а должен следовать указаниям ст. 18.1 ч. 1 и ст. 19 ч. 2 (там обращает на себя внимание обязательное применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации), а также будущих подзаконных нормативных правовых актов. Свободен же он только в том, что не регламентировано: «Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами…» (ст. 18.1 ч. 1).

В качестве своеобразной компенсации за тотальную регламентацию новая редакция закона устанавливает контроль и надзор за выполнением мер по обеспечению безопасности персональных данных только для их обработки в государственных информационных системах (ст. 19 ч. 8), а возможность введения контроля и надзора за деятельностью остальных операторов персональных данных отнесена в ч. 9 на усмотрение правительства (табл. 2).

При этом очевидно, что отсутствие контроля и надзора никоим образом не снимает обязательств по соблюдению установленных требований и выполнению предписанных мер, равно как и не освобождает от ответственности за нарушения в этой сфере.

Для приведения закона «О персональных данных» в соответствие с базовым ФЗ «Об информации, информационных технологиях и защите информации» следует скорректировать его ст. 18.1 и 19, установив, что деятельность по защите персональных данных регламентируется только для операторов государственных информационных систем, а остальным достаточно выполнять требования ст. 16 ч. 4 ФЗ «Об информации, информационных технологиях и о защите информации».

Неконституционность вводимой законом регламентации

Вся рассмотренная регламентация представляется необоснованной, поскольку в ее введении нет необходимости, предусмотренной ст. 55 ч. 3 Конституции РФ. Ниоткуда не следует, что права субъектов персональных данных нельзя обеспечить иначе как тотальной регламентацией мероприятий по их защите. Наглядная иллюстрация безрезультатности и бессмысленности такой регламентации, а также контрольно-надзорной деятельности в этой сфере – широкое предложение на черном рынке сведений из баз данных именно государственных органов и организаций, содержащих как персональные данные, так и коммерческую тайну.

Очевидно, что могущественные государственные структуры, включая силовые, с технической точки зрения вполне надежно защищают свои информационные системы от проникновения извне. Также очевидно, что продаваемая из них весьма объемная и вполне актуальная информация добыта отнюдь не в результате взлома этой защиты. И ситуация, конечно, не исправится от того, что принятые технические и организационные меры будут утверждены постановлениями правительства или приказами уполномоченных ведомств.

Таким образом, вводимые законом требования отнюдь не необходимы для целей ст. 55 ч. 3 Основного закона. Требуется лишь элементарное соблюдение уже существующих законов, исполнение всеми ведомствами, прежде всего правоохранительными, своих функций.

Некорректность формулировок закона

Некоторые прямые нормы Федерального закона допускают различное толкование, другие приводят к неожиданным следствиям, которых законодатели, наверняка, не имели в виду.

1. Понятие «оператор персональных данных» (ст. 3 ч. 2) формально распространяется на огромное количество лиц: на сотни тысяч российских школ, детских садов, работодателей, включая государственные организации. При этом в определении «оператор – … юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных…» фрагмент фразы после «а также» можно толковать двояко:

– либо включая в круг операторов и лиц, которые обрабатывают персональные данные, и лиц, определяющих цели и содержание такой обработки (т.е. расширяя круг операторов);

– либо относя к числу операторов лиц, которые не только заняты непосредственно обработкой, но при этом еще и сами определяют ее цель и содержание (т.е. сужая учитываемую область).

Первое толкование представляется менее вероятным, поскольку тогда операторами персональных данных будут являться миллионы наемных работников, выполняющих такие действия по заданию своих работодателей. Очевидно, однако, что нормы закона не должны допускать такое противоположное толкование.

2. Введенное в ст. 11 ч. 1 уточнение, согласно которому биометрические персональные данные считаются теперь таковыми, если «используются оператором для установления личности их субъекта», легализовало хотя бы обработку обезличенных (толпа или случайные лица в кадре) фото-, кино- или видеоизображений – при прежнем определении возникала коллизия со ст. 152.1 ГК РФ. Однако остается формальное требование получения именно письменного разрешения на опубликование фотографий или распространение ТВ-сюжетов с участием называемых при этом лиц. Ведь, действительно, без «установления личности» изображение не может быть снабжено верной подписью или комментарием. Особенно удивительно это по отношению к публичным, широко известным лицам. И даже если однажды такое лицо дало согласие на публикацию (и соответствующий выпуск СМИ, согласно ст. 8 закона, получил статус «общедоступного источника»), то каждый следующий раз на распространение нового изображения или видеоряда требуется новое же разрешение.

3. Если при распространении персональных данных используются «средства автоматизации, и в том числе информационно-телекоммуникационные сети», то «рядовые» граждане, не являющиеся журналистами, учеными или творческими работниками, не имеют права сообщать (например, публиковать в Интернете) никакие сведения о других лицах без их согласия (ст. 6 ч. 6). Более того, давая интервью для СМИ перед телекамерой или просто в микрофон (а изображение и звук сейчас обрабатываются на компьютерах), каждый, кто сообщает какие-либо сведения о третьем лице, может быть обвинен в использовании средств автоматизации, пусть даже принадлежащих не ему, а СМИ, – закон не придает этому обстоятельству значения. При этом речь идет не о клевете, а просто о любых фактах, возможно, известных многим. Во всех таких случаях распространитель сведений должен быть готов доказывать, что делал это «исключительно для личных и семейных нужд» (ст. 1 ч. 2 п. 1) либо, наоборот, «для достижения общественно значимых целей» (ст. 6 ч. 1 п. 7) – и эти две крайности сами по себе уже выглядят парадоксально.

Законодатели, конечно, имели в виду защиту личной и семейной тайны, информации о частной жизни (ст. 23 ч. 1 и ст. 24 ч. 1 Конституции РФ), однако поскольку понятие «персональные данные» гораздо шире, то получилось зримое несоответствие свободе слова и свободе оборота информации (ст. 29 ч. 1 и 4 Конституции РФ). С другой стороны, оговорка «для личных и семейных нужд» в ст. 24 ч. 1 Конституции РФ не предусмотрена.

О соотношении понятий «персональные данные» и «личная и семейная тайна», «информация о частной жизни» – читайте в следующем номере «ИКС».

__________________________________________________________
*Можно, например, предложить гипотетический закон «О безопасности жизни», поручающий правительству утвердить «Требования к поведению на территории Российской Федерации» (или, допустим, «Нормы безопасного проживания»), следуя которым граждане уменьшали бы для себя возможные риски и угрозы. Однако в реальности подобное регламентирование применяется лишь в наиболее опасных случаях, а весь остальной спектр отношений регулируется путем установления ответственности за те или иные антиобщественные деяния и поступки в УК и КоАП РФ.