Проблемы правовой охраны операторами персональных данных

(Назарова Д. Н.) («Информационное право», 2010, N 1)

ПРОБЛЕМЫ ПРАВОВОЙ ОХРАНЫ ОПЕРАТОРАМИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Д. Н. НАЗАРОВА

Назарова Дарья Николаевна, юрист Института развития свободы информации.

Рецензент — ведущий советник аппарата Комитета Государственной Думы по безопасности, кандидат экономических наук Волчинская Е. К.

В статье содержится анализ некоторых проблем, связанных с реализацией операторами требований Федерального закона «О персональных данных» и принятых в соответствии с ним подзаконных актов, вносятся предложения о совершенствовании нормативной правовой базы, регулирующей отношения по обработке персональных данных.

Ключевые слова: персональные данные, операторы персональных данных, обработка и защита персональных данных.

Law on Personal Data: Certain Problems of Realization D. N. Nazarova

The article contains analysis of certain problems related to realization by operators of requirements of Federal law «On Personal Data» and the sub-legal acts adopted in this connection, notes the necessity of improvement of normative-law base regulating relations in the sphere of processing personal data.

Key words: personal data, processing and protection of personal data, security of information.

Федеральный закон N 152-ФЗ «О персональных данных» <1> был принят 27 июля 2006 г. (далее — ФЗ «О персональных данных», Закон о персональных данных). Изначально в Законе содержалась норма (п. 3 ст. 25), которая предписывала привести все информационные системы персональных данных в соответствие с требованиями Закона не позднее 1 января 2010 года. Однако накануне 2009 г. в указанную норму были внесены изменения, которыми срок приведения всех информационных систем в соответствие был продлен до 1 января 2011 г. <2>. ——————————— <1> Собрание законодательства Российской Федерации. 2006. N 31 (ч. I). Ст. 3451. <2> См.: Федеральный закон от 27 декабря 2009 г. N 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных» // Российская газета. 2009. 29 дек. N 252.

Внесение таких изменений было обусловлено прежде всего тем, что выявилось немало проблем с реализацией на практике требований Закона о персональных данных и принятых во исполнение его нормативных правовых актов. Сыграло здесь роль и то, что почти все подзаконные нормативные правовые акты, конкретизирующие положения Закона, были приняты в 2008 г., т. е. гораздо позднее вступления в силу самого Закона. Более того, часть документов федеральных органов исполнительной власти, содержащих требования к информационным системам персональных данных, были первоначально выпущены под грифом «ДСП» <3>. В силу этого подавляющее число операторов персональных данных оказались неспособными привести свои информационные системы в соответствие с установленными требованиями к указанной дате, что и обусловило необходимость внесения в Закон вышеупомянутых изменений. ——————————— <3> См.: Приказ ФСТЭК РФ, ФСБ РФ и Мининформсвязи РФ от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» // Российская газета. 2008. 12 апр. N 80; Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК РФ 14 февраля 2008 г. // URL: http://www. fstec. ru/_razd/_ispo. htm; Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены заместителем директора ФСТЭК РФ 15 февраля 2008 г. // URL: http://www. fstec. ru/_razd/_ispo. htm; Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК РФ 15 февраля 2008 г. // URL: http://www. fstec. ru/_razd/_ispo. htm; Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утверждены заместителем директора ФСТЭК РФ от 15 февраля 2008 г. URL: http://www. fstec. ru/_razd/_ispo. htm.

Остановимся подробнее на отдельных проблемах, возникших при реализации некоторых положений законодательства о персональных данных. Одно из условий правомерности обработки оператором персональных данных сформулировано в ч. 1 ст. 6 ФЗ «О персональных данных»: «…обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи». Реализация на практике предписания Закона о получении согласия лиц на обработку их персональных данных ведет к возникновению у операторов необходимости фиксировать факт получения такого согласия, поскольку в силу ч. 3 ст. 9 ФЗ «О персональных данных» обязанность представить доказательство получения согласия субъекта персональных данных на их обработку возлагается именно на оператора. В этой связи некоторыми исследователями отмечается, что операторам придется документально фиксировать полученное согласие субъекта и хранить этот документ на случай, если субъект вдруг решит обратиться в суд в связи с нарушением его прав <4>. ——————————— <4> См.: Храмцовская Н. А. Закон о персональных данных: последствия для делопроизводства // URL: http://www. ippnou. ru/article. php? idarticle=003195

Действительно, с точки зрения дальнейшей защиты своих интересов в суде для операторов наилучшей формой получения согласия субъекта персональных данных на обработку этих данных будет именно письменная форма. Однако представляется, что такая ситуация будет вести, с одной стороны, к неоправданному увеличению массива документации в организациях — операторах персональных данных, и с другой — к неоправданному увеличению объема собираемых персональных данных о лице. Дело в том, что Закон о персональных данных предъявляет к форме письменного согласия строгие требования. Согласно ч. 4 ст. 9 Закона письменное согласие субъекта на обработку своих персональных данных должно включать в себя: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; 3) цель обработки персональных данных; 4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 6) срок, в течение которого действует согласие, а также порядок его отзыва. Получается, что в конкретных случаях при оформлении письменного согласия субъекта на обработку персональных данных оператор может получить еще больше сведений о лице, чем ему требуется для целей обработки (например, при сборе персональных данных для создания телефонных справочников оператор получит еще и паспортные данные лица, занесенные в форму письменного согласия). В этой связи представляется, что есть основания для уточнения содержащихся в Законе о персональных данных норм, касающихся формы письменного согласия на обработку персональных данных. Стоит оговориться, что норма ст. 10 ФЗ «О персональных данных» обязывает оператора получать письменное согласие на обработку персональных данных только в конкретных случаях, перечисленных в данном Законе (например, при обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни; при обработке биометрических персональных данных и др.). В других случаях согласие субъекта на обработку его персональных данных может быть выражено в иной форме (в устной форме, в форме конклюдентных действий и т. д.). Например, с учетом развития современных технологий и сети Интернет такое согласие может быть выражено следующим образом: путем постановки «галочки» напротив строки о своем согласии на обработку персональных данных при размещении своих персональных данных в сети Интернет (например, при покупке товаров через интернет-магазины), путем простого прохождения по определенным ссылкам и др. В этой связи представляется необходимым уточнить в Законе само понятие согласия на обработку персональных данных с тем, чтобы у операторов появилось больше возможностей для получения согласия на обработку персональных данных различными способами и уменьшилась необходимость собирания операторами избыточного объема персональных данных путем получения письменных согласий по установленной форме. В Законе содержатся некоторые исключения из общего правила о необходимости получения согласия на обработку персональных данных. На основании ч. 2 ст. 6 Закона оператор имеет право не запрашивать такое согласие, в частности, в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; 3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 4) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных и др. Исследователями высказывается мнение о том, что ст. 6 Закона о персональных данных нуждается в доработке для уточнения перечня случаев, при которых согласие на обработку персональных данных субъекта получать не требуется. И с этим мнением нельзя не согласиться. Например, из п. 1 ч. 2 ст. 6 Закона следует, что получение согласия не требуется в случае, если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора. При этом остается неясным, как должен решаться вопрос о необходимости получения согласия на обработку в тех случаях, когда федеральный закон предусматривает обработку персональных данных (например, Федеральный закон от 8 августа 2001 г. N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей») <5>, но не отвечает всем перечисленным в п. 1 ч. 2 ст. 6 Закона критериям (не устанавливает цель обработки персональных данных или полномочия оператора и т. д.) <6>. ——————————— <5> Российская газета. 2001. 10 авг. N 153 — 154. <6> См.: Храмцовская Н. А. Указ. соч.

Другое требование законодательства о персональных данных, реализация которого вызвала, пожалуй, наибольшие трудности, — это требование о принятии оператором необходимых мер для защиты персональных данных от неправомерного доступа к ним и от иных неправомерных действий с этими данными (ч. 1 ст. 19 ФЗ «О персональных данных»). Согласно ч. 1 ст. 19 ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Во исполнение данной нормы на уровне подзаконных актов были установлены достаточно жесткие требования к тому, как должна обеспечиваться техническая защита персональных данных, содержащихся в информационных системах. Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» <7> Федеральной службе безопасности Российской Федерации (далее — ФСБ) и Федеральной службе по техническому и экспортному контролю Российской Федерации (далее — ФСТЭК) было предписано утвердить нормативные правовые акты и методические документы, содержащие требования по обеспечению безопасности персональных данных. ——————————— <7> Собрание законодательства Российской Федерации. 2007. N 48 (ч. II). Ст. 6001.

В 2008 г. названные органы приняли соответствующие нормативные документы <8>. В этих документах получили свое закрепление, в частности, следующие требования: во-первых, требование о прохождении информационной системой, в которой содержатся персональные данные, процедуры оценки соответствия в виде обязательной сертификации по требованиям безопасности информации либо декларирования соответствия (в зависимости от класса информационной системы); во-вторых, требование о необходимости получения операторами при проведении мероприятий по обеспечению безопасности персональных данных лицензии на осуществление деятельности по технической защите конфиденциальной информации <9>; в-третьих, требование о необходимости разработки и принятия организацией комплекса внутренних локальных актов, регламентирующих вопросы обработки и защиты персональных данных (акт об отнесении информационной системы персональных данных к одному из классов; список лиц, допущенных к работе с персональными данными в информационной системе; локальные акты, устанавливающие правила работы с персональными данными, и т. д.). Кроме того, для некоторых случаев нормативными актами ФСБ была установлена обязанность операторов использовать не любые технические средства защиты, а именно шифровальные (криптографические) средства защиты информационных систем персональных данных, что также влечет необходимость получения в органах ФСБ соответствующей лицензии и введения в организации особых условий работы с информационной системой, защищаемой такими техническими средствами. ——————————— <8> См.: Приказ ФСТЭК РФ, ФСБ РФ и Мининформсвязи РФ от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» // Российская газета. 2008. 12 апр. N 80; Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена Заместителем директора ФСТЭК РФ 14 февраля 2008 г. // URL: http://www. fstec. ru/_razd/_ ispo. htm; Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены заместителем директора ФСТЭК РФ 15 февраля 2008 г. // URL: http://www. fstec. ru/_razd/_ispo. htm; Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК РФ 15 февраля 2008 г. // URL: http://www. fstec. ru/_razd/_ispo. htm; Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утверждены заместителем директора ФСТЭК РФ от 15 февраля 2008 г. // URL: http://www. fstec. ru/_razd/_ispo. htm; Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8-го Центра ФСБ РФ 21 февраля 2008 г. N 149/5-144 // URL: http:// pd. rsoc. ru/low; Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных, утверждены руководством 8-го Центра ФСБ РФ 21 февраля 2008 г. N 149/6/6-622 // URL: http:// pd. rsoc. ru/low. <9> См.: Постановление Правительства РФ от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации» // Российская газета. 2006. 29 авг. N 190; Постановление Правительства РФ от 29 декабря 2007 г. N 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» // Собрание законодательства Российской Федерации. 2008. N 2. Ст. 86.

Исполнение указанных требований стало практически невыполнимой задачей для операторов персональных данных, поскольку для этого требуются немалые финансовые, технические и организационные ресурсы. В безвыходную ситуацию попали не только небольшие организации, но и крупные компании (банки, страховые организации и др.), в том числе имеющие и длительное время применяющие свои собственные утвержденные стандарты защиты информационных систем, содержащих персональные данные клиентов <10>. Не смогли исполнить установленные требования Закона даже такие операторы, как государственные и муниципальные органы, поскольку изначально при планировании бюджета ими не были заложены расходы, связанные с необходимостью приведения в соответствие с Законом имеющихся в органах информационных систем персональных данных. ——————————— <10> См.: Сошина В. Персональная защита отменяется? // Национальный банковский журнал. 2009. N 11(67). С. 96 — 99.

Все эти обстоятельства стали причиной внесения поправок в Закон о персональных данных в части продления сроков приведения информационных систем в соответствие с требованиями Закона до 1 января 2011 г. Стоит отметить, что помимо перенесения сроков законодатель также внес изменения в ст. 19 Закона и исключил из нее требование о необходимости применения операторами для обеспечения безопасности персональных данных шифровальных (криптографических) средств защиты. Однако другие требования, содержащиеся в Законе и принятых на основании его подзаконных актах, пока не претерпели изменений. Между тем есть основания полагать, что некоторые требования к операторам по защите информационных систем персональных данных являются избыточными. В частности, это касается требования о необходимости получения потенциальными операторами лицензии на техническую защиту конфиденциальной информации во всех случаях обработки персональных данных. Как отмечается в литературе, содержащиеся в законодательстве о лицензировании формулировки нуждаются в уточнении. На данный момент под технической защитой конфиденциальной информации согласно Положению о лицензировании деятельности по технической защите конфиденциальной информации от 15 августа 2006 г. N 504 <11> понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. Регулирующие органы, руководствуясь таким определением лицензируемого вида деятельности, выдвигают требование получения потенциальными операторами лицензии на техническую защиту конфиденциальной информации даже в тех случаях, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений), что не вытекает из положений Закона о персональных данных и не соответствует духу Федерального закона «О лицензировании отдельных видов деятельности». Если учесть, что обязанность защиты персональных данных возлагается, за малым исключением, на все юридические лица, то при таком подходе получение лицензии превращается в чисто фискальную функцию <12>. ——————————— <11> См.: Постановление Правительства РФ от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации» // Российская газета. 2006. 29 авг. N 190. <12> См.: Волчинская Е. К. Некоторые правовые проблемы применения Федерального закона «О персональных данных» // Персональные данные. 2009. N 2.

Из вышеизложенного можно сделать вывод, что положения законодательства о лицензировании требуют внесения уточнений с целью устранения обязанности операторов для всех случаев обработки персональных данных получать лицензию <13>. Стоит также определить целесообразность введения в отношении операторов таких мер, как использование ими только сертифицированных средств защиты информации и необходимости проведения аттестации информационных систем. ——————————— <13> См.: Там же.

В качестве еще одного требования к операторам персональных данных Закон устанавливает обязанность оператора до начала обработки персональных данных уведомить уполномоченный государственный орган о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 ФЗ «О персональных данных»). После получения уведомления уполномоченный орган вносит сведения об операторе в реестр операторов, осуществляющих обработку персональных данных. В соответствии с действующими нормативными правовыми актами уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (далее — Роскомнадзор), на что указано в п. 5.1.1.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 <14>. ——————————— <14> Собрание законодательства Российской Федерации. 2009. N 12. Ст. 1431.

С реализацией на практике положений Закона об уведомлении уполномоченного органа об обработке персональных данных также возникли некоторые проблемы. К концу 2009 г. большая часть потенциальных операторов не уведомили Роскомнадзор о своих намерениях: часть операторов не сделали этого в силу незнания о наличии указанной обязанности, другая же часть не сделали этого сознательно, ввиду неспособности привести свои информационные системы персональных данных в соответствие с установленными требованиями. Между тем Закон о персональных данных закрепляет некоторые исключения из общего правила о необходимости уведомлять уполномоченный орган. Согласно ч. 2 ст. 22 ФЗ «О персональных данных» уведомлять уполномоченный орган не требуется, в частности, при обработке персональных данных: 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3) являющихся общедоступными персональными данными; 4) включающих в себя только фамилии, имена и отчества субъектов персональных данных; 5) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных, и др. Несмотря на наличие указанных исключений, в большинстве случаев операторы все же обязаны уведомлять Роскомнадзор о своих намерениях вести обработку. Поскольку практически каждое юридическое лицо сталкивается с необходимостью обработки персональных данных физических лиц, есть вероятность, что реестр операторов будет включать большую часть существующих в стране организаций. Представляется, что изложенный в Законе перечень исключений из обязанности по уведомлению Роскомнадзора об обработке персональных данных нуждается в уточнении. В частности, этот перечень может быть дополнен посредством включения в него случаев, при которых не требуется согласие лица на обработку его персональных данных (ведь если в конкретном случае обработка может происходить без согласия самого субъекта персональных данных, то вряд ли есть необходимость уведомлять уполномоченный орган о намерении проводить такую обработку). Подводя итог всему изложенному, хотелось бы отметить, что в настоящей статье освещены лишь некоторые проблемы, возникшие при реализации на практике норм Федерального закона «О персональных данных» и принятых на основании его подзаконных актов. Но даже эти проблемы свидетельствуют о необходимости совершенствования нормативной правовой базы, регулирующей отношения по обработке персональных данных. О важности изменения законодательства в этой сфере свидетельствует и тот факт, что 20 октября 2009 г. по инициативе Комитета по безопасности, Комитета по конституционному законодательству и государственному строительству и Комитета по финансовому рынку Государственной Думы Российской Федерации состоялись Парламентские слушания на тему «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных». По итогам проведения слушаний были приняты Рекомендации, содержащие, по сути, стратегию совершенствования законодательства о персональных данных. Не вызывает сомнений, что выполнение этих Рекомендаций будет способствовать улучшению ситуации с защитой прав субъектов персональных данных и соблюдением операторами установленных требований.

От редакции: Уважаемые читатели! Учитывая возрастающий интерес научной общественности к законодательству в информационной сфере, предлагаем продолжить обсуждение направлений совершенствования как Федерального закона «О персональных данных», так и иных федеральных законов, требующих изменения в связи с необходимостью создания непротиворечивых правовых механизмов защиты персональных данных в различных сферах деятельности.

——————————————————————