Федеральный закон № 152-ФЗ «О персональных данных» был принят 27 июля 2006 г. (далее — ФЗ «О персональных данных», Закон о персональных данных). Изначально в законе содержалась норма (п. 3 ст. 25), которая предписывала привести все информационные системы персональных данных в соответствие с требованиями закона не позднее 1 января 2010 г. Однако накануне 2009 г. в указанную норму были внесены изменения, которыми срок приведения всех информационных систем в соответствие был продлен до 1 января 2011 г.
Внесение таких изменений было обусловлено, прежде всего тем, что выявилось немало проблем с реализацией на практике требований Закона о персональных данных и принятых во исполнение его нормативных правовых актов. Сыграло здесь роль и то, что почти все подзаконные нормативные правовые акты, конкретизирующие положения закона, были приняты в 2008 г., т.е. гораздо позднее вступления в силу самого закона. Более того, часть документов федеральных органов исполнительной власти, содержащих требования к информационным системам персональных данных, были первоначально выпущены под грифом «ДСП».
В силу этого подавляющее число операторов персональных данных оказались неспособными привести свои информационные системы в соответствие с установленными требования к указанной дате, что и обусловило необходимость внесения в закон вышеупомянутых изменений.
Остановимся подробнее на отдельных проблемах, возникших при реализации некоторых положений законодательства.
Одно из условий правомерности обработки оператором персональных данных сформулировано в ч. 1 ст. 6 ФЗ «О персональных данных»: «обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи».
Реализация на практике предписания закона о получении согласия лиц на обработку их персональных данных ведет к возникновению у операторов необходимости фиксировать факт получения такого согласия, поскольку в силу ч. 3 ст. 9 ФЗ «О персональных данных» обязанность предоставить доказательство получения согласия субъекта персональных данных на их обработку возлагается именно на оператора.
Некоторые исследователи обращают внимание, что операторам придется документально фиксировать полученное согласие субъекта и хранить этот документ на случай, если субъект вдруг решит обратиться в суд в связи с нарушением его прав. Действительно, с точки зрения дальнейшей защиты своих интересов в суде для операторов наилучшей формой получения согласия субъекта персональных данных на обработку этих данных будет именно письменная форма. Однако представляется, что такая ситуация будет вести, с одной стороны, к неоправданному увеличению массива документации в организациях — операторах персональных данных, и с другой стороны — к неоправданному увеличению объема собираемых персональных данных о лице.
Дело в том, что Закон о персональных данных предъявляет к форме письменного согласия строгие требования. Согласно ч. 4 ст. 9 Закона письменное согласие субъекта на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
Получается, что в конкретных случаях при оформлении письменного согласия субъекта на обработку персональных данных оператор может получить еще больше сведений о лице, чем ему требуется для целей обработки (например, при сборе персональных данных для создания телефонных справочников оператор получит еще и паспортные данные лица, занесенные в форму письменного согласия).
Существующее положение, безусловно, является основанием для уточнения содержащихся в Законе о персональных данных норм, касающихся формы письменного согласия на обработку персональных данных.
Стоит оговориться, что ФЗ «О персональных данных» обязывает оператора получать письменное согласие на обработку персональных данных только в конкретных случаях, перечисленных в данном законе (например, при обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни; при обработке биометрических персональных данных и др.).
В других случаях согласие субъекта на обработку его персональных данных может быть выражено в иной форме (в устной форме, в форме конклюдентных действий и т.д.). Например, с учетом развития современных технологий и сети Интернет такое согласие может быть выражено следующим образом: путем постановки «галочки» напротив строки о своем согласии на обработку персональных данных при размещении своих персональных данных в сети Интернет (например, при покупке товаров через Интернет - магазины), путем простого прохождения по определенным ссылкам и др.
Учитывая это, представляется необходимым уточнить в законе само понятие «согласие на обработку персональных данных», с тем, чтобы у операторов появилось больше возможностей для получения согласия на обработку данных различными способами, и уменьшилась необходимость собирания избыточного объема данных путем получения письменных согласий по установленной форме.
Кроме того, в законе содержатся некоторые исключения из общего правила о необходимости получения согласия на обработку персональных данных. На основании ч. 2 ст. 6 Закона оператор имеет право не запрашивать такое согласие, в частности, в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных, и др.
Исследователями высказывается мнение о том, что ст. 6 Закона о персональных данных нуждается в доработке для уточнения перечня случаев, при которых согласие субъекта получать не требуется. Например, из п. 1 ч. 2 ст. 6 Закона следует, что получение согласия не требуется в случае, если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
При этом остается неясным, как должен решаться вопрос о необходимости получения согласия на обработку в тех - случаях, когда федеральный закон предусматривает обработку персональных данных (например, Федеральный закон от 8 августа 2001 г. № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»), но не отвечает всем перечисленным в п. 1 ч. 2 ст. 6 Закона критериям (не устанавливает цель обработки персональных данных или полномочия оператора и т.д.).
Другое требование законодательства о персональных данных, реализация которого вызвала, пожалуй, наибольшие трудности, — это требование о принятии оператором необходимых мер для защиты персональных данных от неправомерного доступа к ним и от иных неправомерных действий с этими данными (ч. 1 ст. 19 ФЗ «О персональных данных»).
Согласно ч. 1 ст. 19 ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Во исполнение данной нормы на уровне подзаконных актов были установлены достаточно жесткие требования к тому, как должна обеспечиваться техническая защита персональных данных, содержащихся в информационных системах.
Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Федеральной службе безопасности Российской Федерации (далее — ФСБ) и Федеральной службе по техническому и экспортному контролю Российской Федерации (далее — ФСТЭК) было предписано утвердить нормативные правовые акты и методические документы, содержащие требования по обеспечению безопасности персональных данных.
В 2008 г. названные органы приняли соответствующие нормативные документы. В этих документах получили свое закрепление, в частности, следующие требования:
во-первых, требование о прохождении информационной системой, в которой содержатся персональные данные, процедуры оценки соответствия в виде обязательной сертификации по требованиям безопасности информации либо декларирования соответствия (в зависимости от класса информационной системы);
во-вторых, требование о необходимости получения операторами при проведении мероприятий по обеспечению безопасности персональных данных лицензии на осуществление деятельности по технической защите конфиденциальной информации;
в-третьих, требование о необходимости разработки и принятия организацией комплекса внутренних локальных актов, регламентирующих вопросы обработки и защиты персональных данных (акт об отнесении информационной системы персональных данных к одному из классов; список лиц, допущенных к работе с персональными данными в информационной системе; локальные акты, устанавливающие правила работы с персональными данными, и т.д.).
Кроме того, для некоторых случаев нормативными актами ФСБ была установлена обязанность операторов использовать не любые технические средства защиты, а именно шифровальные (криптографические) средства защиты информационных систем персональных данных, что также влечет необходимость получения в органах ФСБ соответствующей лицензии и введения в организации особых условий работы с информационной системой, защищаемой такими техническими средствами.
Исполнение указанных требований стало практически невыполнимой задачей для операторов персональных данных, поскольку для этого требуются немалые финансовые, технические и организационные ресурсы. В безвыходную ситуацию попали не только небольшие организации, но и крупные компании (банки, страховые организации и др.), в том числе имеющие и длительное время применяющие свои собственные утвержденные стандарты защиты информационных систем, содержащих персональные данные клиентов.
Не смогли исполнить установленные требования закона даже такие операторы, как государственные и муниципальные органы, поскольку изначально при планировании бюджета ими не были заложены расходы, связанные с необходимостью приведения в соответствие с законом имеющихся в органах информационных систем персональных данных.
Все эти обстоятельства стали причиной внесения поправок в Закон о персональных данных в части продления сроков приведения информационных систем в соответствие с требованиями закона до 1 января 2011 г.
Стоит отметить, что помимо перенесения сроков законодатель также внес изменения в ст. 19 Закона и исключил из нее требование о необходимости применения операторами для обеспечения безопасности персональных данных шифровальных (криптографических) средств защиты. Однако другие требования, содержащиеся в Законе и принятых на основании него подзаконных актах, пока не претерпели изменений.
Между тем есть основания полагать, что некоторые требования к операторам по защите информационных систем персональных данных являются избыточными.
В частности, это касается требования о необходимости получения потенциальными операторами лицензии на техническую защиту конфиденциальной информации во всех случаях обработки персональных данных.
Как отмечается в литературе, содержащиеся в законодательстве о лицензировании формулировки нуждаются в уточнении. На данный момент под «технической защитой конфиденциальной информации» согласно «Положению о лицензировании деятельности по технической защите конфиденциальной информации» от 15 августа 2006 г. № 504 понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Регулирующие органы, руководствуясь таким определением лицензируемого вида деятельности, выдвигают требование получения потенциальными операторами лицензии на техническую защиту конфиденциальной информации даже в тех случаях, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений), что не вытекает из положений Закона о персональных данных и не соответствует духу Федерального закона «О лицензировании отдельных видов деятельности». Если учесть, что обязанность защиты персональных данных возлагается, за малым исключением, на всех юридических лиц, то при таком подходе получение лицензии превращается в чисто фискальную функцию (Волчинская Е.К. Некоторые правовые проблемы применения Федерального закона «О персональных данных» // Персональные данные. 2009. № 2).
Напрашивается вывод, что положения законодательства о лицензировании требуют внесения уточнений с целью устранения обязанности операторов для всех случаев обработки персональных данных получать лицензию Стоит также определить целесообразность введения в отношении операторов таких мер, как использование ими только сертифицированных средств защиты информации и необходимости проведения аттестации информационных систем.
В качестве еще одного требования к операторам Закон о персональных данных устанавливает обязанность оператора до начала обработки персональных данных уведомить уполномоченный государственный орган о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 ФЗ «О персональных данных»).
После получения уведомления уполномоченный орган вносит сведения об операторе в реестр операторов, осуществляющих обработку персональных данных. В соответствии с действующими нормативными правовыми актами уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (далее — «Роскомнадзор»), на что указано в п. 5.1.1.4 «Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», утвержденного Постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228.
С реализацией на практике положений Закона об уведомлении уполномоченного органа об обработке персональных данных также возникли некоторые проблемы. К концу 2009 г. большая часть потенциальных операторов не уведомила «Роскомнадзор» о своих намерениях: часть операторов не сделала этого в силу незнания о наличии указанной обязанности, другая же часть не сделала этого сознательно, ввиду неспособности привести свои информационные системы персональных данных в соответствие с установленными требованиями.
Между тем Закон о персональных данных закрепляет некоторые исключения из общего правила о необходимости уведомлять уполномоченный орган. Согласно ч. 2 ст. 22 ФЗ «О персональных данных» уведомлять уполномоченный орган не требуется, в частности, при обработке персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) являющихся общедоступными персональными данными;
4) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
5) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных и др.
Несмотря на наличие указанных исключений, в большинстве случаев операторы все же обязаны уведомлять «Роскомнадзор» о своих намерениях вести обработку. Поскольку практически каждое юридическое лицо сталкивается с необходимостью обработки персональных данных физических лиц, есть вероятность, что реестр операторов будет включать большую часть существующих в стране организаций.
Представляется, что изложенный в законе перечень исключений из обязанности по уведомлению «Роскомнадзора» об обработке персональных данных нуждается в уточнении. В частности, этот перечень может быть дополнен посредством включения в него случаев, при которых не требуется согласие лица на обработку его персональных данных (ведь если в конкретном случае обработка может происходить без согласия самого субъекта персональных данных, то вряд ли есть необходимость уведомлять уполномоченный орган о намерении проводить такую обработку). Подводя итог всему изложенному, хотелось бы отметить, что в настоящей статье освещены лишь некоторые проблемы, возникшие при реализации на практике норм Федерального закона «О персональных данных» и принятых на основании него подзаконных актов. Но даже эти проблемы уже свидетельствуют о необходимости совершенствования нормативной правовой базы, регулирующей отношения по обработке персональных данных.
О важности изменения законодательства в этой сфере свидетельствует и тот факт, что 20 октября 2009 г. по инициативе Комитета по безопасности, Комитета по конституционному законодательству и государственному строительству и Комитета по финансовому рынку Государственной Думы Российской Федерации состоялись Парламентские слушания на тему «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных». По итогам проведения слушаний были приняты Рекомендации, содержащие, по сути, стратегию совершенствования законодательства о персональных данных.
Не вызывает сомнений, что выполнение этих Рекомендаций будет способствовать улучшению ситуации с защитой прав субъектов персональных данных и соблюдением операторами установленных требований.
Журнал «Человек и Закон», август 2010