|
|
Обзор
Рынок ИТ: итоги 2007Обзор подготовлен
При поддержке
27 июля 2006 года был принят Федеральный закон «О персональных данных».
27 января 2007 года (за исключением отдельных положений) он вступил в силу.
С 1 января 2008 года деятельность операторов считается легализованной при наличии регистрации этих операторов в реестре, который ведется Уполномоченным органом по защите прав субъектов персональных данных.
Уже предусмотрена уголовная и административная ответственность за нарушение положений вышеназванного Закона. Но по российской традиции действующее законодательство не всегда учитывает положение реальных дел. Так стало и с компаниями, чья деятельность связана с персональными данными.
В соответствии с Законом, эти компании получили статус операторов. Что же из этого следует? На них возложены дополнительные обязанности, включая обязанность по направлению уведомления о начале обработки персональных данных. С этого собственно и начинается получение статуса оператора. К ним будут предъявляться дополнительные требования, в частности, по принятию мер, которые оператор обязуется осуществлять по обеспечению безопасности персональных данных при их обработке.
Оператор должен выполнять требования Закона. Это справедливо. Защита персональных данных в наше время стремительного развития информационных технологий очень важна и актуальна. Но давно известно, что степень важности и актуальности регулируемой государством сферы, а в целом, и эффективности государственного регулирования, в частности, может быть повышена, если государство не только воспользуется средствами принуждения для проведения стратегической линии в определенной сфере, но и, используя эти же средства, окажет поддержку тем субъектам, к которым предъявляет дополнительные требования.
Что же получается сегодня? Получив статус оператора, компания попадает в реестр, в котором в полной мере будет освещена ее деятельность по работе с персональными данными. Количество операторов пока никто не пытался четко определить. Одно из мнений: посчитать их количество по Единому государственному реестру юридических лиц. Однако не стоит забывать, что все они пока не выделяются из общей массы действующих на территории Российской Федерации юридических лиц. Отличительной чертой таких компаний будет их деятельность, связанная с обработкой персональных данных. Стоит отметить, что до настоящего времени законодательного требования по выделению работы с персональными данными как самостоятельного вида деятельности или вида деятельности сопутствующего основному нет, и в описании иных видов деятельности Общероссийского классификатора видов экономической деятельности также обработка персональных данных не упоминается.
Законом предусмотрен и определен Уполномоченный орган по защите прав субъектов персональных данных, в функции которого входит проведение контроля и надзора за соответствием обработки персональных данных требованиям Закона. В результате проведения мероприятий административной реформы функции Уполномоченного органа возложены на Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия.
Кстати, в отличие от рекомендаций международного права, статус Уполномоченного органа в Российской Федерации имеет свои характерные черты. Сравнение специфики Уполномоченного органа в Российской Федерации с международной практикой представлено в таблице:
Международная практика и Федеральный закон «О персональных данных»
В мировой практике | В Федеральном законе «О персональных данных» |
Уполномоченный (должностное лицо) или Уполномоченный орган? | |
В разных странах по-разному | Уполномоченный орган |
Обладает ли независимым статусом? | |
Да, независимый статус закреплен в законе | Нет |
В каких рамках функционирует? | |
Независимый государственный орган | В рамках исполнительной власти |
Порядок формирования | |
Определен в законе | Не определен |
Требования к членам надзорного органа | |
Как правило, сформулированы в законе | Не определены |
Обладает ли правом рассматривать жалобы и проводить проверки? | |
Да | Да |
Обладает ли правом осуществлять административное производство и накладывать штрафы? | |
В большинстве стран — да (но не во всех) | Да |
Может ли участвовать в судебных процессах и самостоятельно обращаться в суд для защиты прав граждан? | |
Иногда | Может |
Занимается ли приемом и регистрацией уведомлений об обработке персональных данных? | |
Да | Да |
Имеет ли полномочия разрабатывать рекомендации по исполнению законодательства о персональных данных? | |
Да | Не определено |
Ведет ли просветительскую деятельность? | |
Иногда в законах это определено, но чаще подразумевается | Не определено |
Участвует ли в законотворческой деятельности? | |
Да | Да |
Участвует в международном сотрудничестве? | |
Да | Не определено |
Публикует регулярные отчеты? | |
Да | Да |
Одновременно определены федеральные органы исполнительной власти, на которые возложены функции по контролю и надзору за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. В настоящее время такими органами выступают Федеральная служба по техническому и экспортному контролю и Федеральная служба безопасности Российской Федерации.
В результате Федеральным законом определены три контрольно надзорных органа в сфере персональных данных. Теоретически это значит три проверки в одной сфере на одного оператора. К сожалению, закон не определяет механизмов взаимодействия этих федеральных органов. Эта первая проблема.
Как Уполномоченному органу сформировать перечень объектов контроля? Следуя логике Закона, формируя механизмы реализации функции контроля Уполномоченный орган, не мудрствуя лукаво, получит готовый перечень таких объектов, если откроет созданный им же Реестр операторов персональных данных. По состоянию на сегодняшний день Реестр содержит информацию о 2034 компаниях, осуществляющих обработку персональных данных.
Таким образом, компания, легализуя свою деятельность в качестве оператора персональных данных, автоматически попадает в зону постоянного риска, являясь потенциальным и постоянным объектом контроля и надзора со стороны трех ранее упомянутых уполномоченных органов.
Если взять за основу точку зрения, что количество операторов приблизительно равно количеству компаний в Едином государственном реестре юридических лиц, и затем вычесть из этого числа количество компаний, включенных в Реестр операторов персональных данных, то вывод напрашивается сам собой.
Все остальные компании, и даже не принципиально важно их количество, заняли выжидательную позицию в попытках уяснить практику применения Федерального закона «О персональных данных», и особенно, негативные последствия, которые могут для них возникнуть.
Ведь всех операторов можно условно разделить на три группы: крупные, средние и малые. Крупные операторы, такие как, например, Пенсионный фонд Российской Федерации, крупные операторы связи, такие как ОАО «Вымпелком», в большинстве своем уже подали уведомления и включены в Реестр. Малые операторы на практике самые законопослушные. Соблюдение требований законодательства — их единственное оружие при взаимодействии с государством. Кроме этого, объем обрабатываемых ими персональных данных значительным не назовешь.
Таким образом, в основном, выжидают средние по размеру и по объему обрабатываемых персональных данных операторы, а их количество и является определяющим для формирования Реестра операторов, а в итоге и для выявления объектов контроля.
В результате Реестр формируется слишком медленно, и скорость его формирования зависит лишь от активности компаний, обрабатывающих персональные данные. Это вторая проблема, от решения которой напрямую зависит формирование Уполномоченным органом перечня объектов контроля.
Защита информации о личной жизни граждан предусмотрена в Конституции Российской Федерации. Поощряя определенным способом деятельность по регистрации в реестре операторов компаний, работающих с персональными данными, государство получит не только сознательное и добровольное соблюдение операторами требований Закона, даже если это будет значить для них дополнительное расходование своих финансовых ресурсов, но и динамично формируемый Реестр операторов персональных данных.
Какие способы это могут быть? Представляется, что самым очевидным способом может стать такая организация проведения контрольно-надзорных мероприятий, при которой такие мероприятия будут носить исключительно плановый характер, то есть операторы будут заранее извещены о приходе представителей уполномоченных органов. При этом проверка должна быть комплексной, то есть включать изучение всего комплекса вопросов, подлежащих проверке, и входящих в компетенцию и Уполномоченного органа, и ФСТЭК России и ФСБ России. Учитывая количество операторов, уже внесенных в реестр, и его постоянное пополнение, частота проверочных мероприятий будет для таких операторов не столь обременительной, как это можно было предположить.
Еще одним способом может стать проведение Уполномоченным органом комплекса исследований, направленных на выявление законодательных или иных нормативных правовых актов, которые регулируют отдельные сферы деятельности, связанные с обработкой конфиденциальной информации, включая персональные данные. Руководствуясь сформированным перечнем таких актов можно определить круг субъектов, осуществляющих деятельность в этих сферах.
Например, одни организации действуют самостоятельно, регламентируя работу с персональными данными своими внутренними документами. Такие организации занимаются сбором персональных данных исключительно для своих внутренних нужд и их вид деятельности не предусматривает необходимости передавать такие данные иным организациям. В основном это юридические лица, вступившие в трудовые отношения с работником, т.е. любой субъект, наделенный правом заключать трудовые договоры. Получаемая информация — это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Порядок сбора, хранения и обработки данной информации определяется Трудовым кодексом Российской Федерации и локальными актами юридического лица. К этой же категории организаций можно отнести федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, в которых предусмотрена государственная служба, и которые получают персональные данные государственных служащих, сведения об их профессиональной служебной деятельности и о стаже (об общей продолжительности) государственной службы.
Другим организациям приходится взаимодействовать друг с другом по вопросу передачи информации, в том числе и по передаче информации, содержащей персональные данные граждан. Ярким примером служит Федеральная налоговая служба. В соответствии с Налоговым кодексом Российской Федерации взаимодействие осуществляется между налоговыми органами, органами внутренних дел, органами государственных внебюджетных фондов и таможенными органами, их должностными лицами.
Еще одним примером являются операторы связи, которые для реализации требований нормативных правовых актов по оказанию услуг различных видов связи осуществляют передачу информации, включая и персональные данные клиентов, третьим лицам.
Классификация этих субъектов по принципу «работает один» или «работают во взаимодействии» поможет сформировать еще одну категорию объектов контроля. При этом все субъекты взаимодействия будут являться операторами персональных данных и попадать под контроль уполномоченных органов в области защиты персональных данных.
Следует отметить, что очень важно уполномоченным органам рассмотреть возможность внесения в действующие классификаторы типа ОКВЭД еще одного вида или видов деятельности, связанных с обработкой персональных данных. Изменение классификатора сделает необходимым включение нового вида деятельности в уставные документы вновь создаваемых компаний, а для Уполномоченного органа такое изменение классификатора будет означать автоматическое формирование перечня потенциальных объектов контроля.
Федеральный закон «О персональных данных» является определенным нововведением, практика по которому только начинает складываться. Обычно это длительный и тяжелый процесс. Сделать его более эффективным — в силах и интересах компаний, работающих с персональными данными. Ведь в настоящее время идет формирование нормативной правовой базы в области персональных данных.
Уполномоченный орган готовит предложения по совершенствованию Федерального закона. Даже сейчас практика уже показывает пробелы в регулировании. ФСБ России и ФСТЭК России положили начало формированию нормативной технической базы в области защиты персональных данных. 17 ноября 2007 года вышло постановление Правительства Российской Федерации «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Во исполнение отдельных его положений ФСБ России, ФСТЭК и Мининформсвязи России 13 февраля 2008 г. издан совместный приказ № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». И ведь это только начало.
Создание «Ассоциации операторов» позволит аккумулировать практику применения Федерального закона, организовать обмен опытом при организации деятельности по работе с персональными данными, формировать предложения по совершенствованию законодательства и устранению пробелов в правовом регулировании области персональных данных.
Для контролирующих органов Ассоциация может стать средством доведения необходимой для операторов информации, и даст возможность проведения разъяснительной и пропагандисткой деятельности в области персональных данных.
Елена Голованова