CC BY
956
УДК 342.72
Актуальные проблемы правового регулирования оборота и защиты
персональных данных в России
д. ю. крюкова - старший преподаватель кафедры информатики и математики ВИПЭ ФСИН России, кандидат технических наук;
ю. в. мокрецов - старший преподаватель кафедры административно-правовых дисциплин ВИПЭ ФСИН России, кандидат экономических наук
В статье рассматривается российское законодательство в сфере защиты и оборота персональных данных субъекта-обладателя, приводятся основные нормативно-правовые акты по изучаемому вопросу, определяются и классифицируются проблемы регулирования оборота и защиты персональных данных, главными из которых являются организационные, правовые, финансовые, делается акцент на правовых проблемах и способах их решения.
Ключевые слова: персональные данные; субъект персональных данных; оператор; конфиденциальность; юридическая ответственность; автоматизированная обработка информации; оборот; обработка; защита персональных данных; контроль технической защиты.
Urgent problems of legal regulation of the turnover and protection
of personal information in Russia
d. yu. kryukova - Senior Lecturer of the Department of Informatics and Mathematics of the Vologda Institute of Law and Economics of the Federal Penal Service of Russia, PhD. in Technics;
yu. v. MoKRETsov - Senior Lecturer of the Department of Administrative and Legal Disciplines of the Vologda Institute of Law and Economics of the Federal Penal Service of Russia, PhD. in Economics
The article considers the problem of the Russian legislation in the sphere of protection and a turnover of personal information of the subject-holder, brings the main normative legal acts on the studied question, defines and classifies problems of regulation of a turnover and protection of personal information, the main of which are organizational, legal, financial, emphasis is made on legal problems and ways of their decision.
Key words: personal information; the subject of personal information; the operator; confidentiality; the automated information processing; a turn; processing; protection of personal information; mass media; control of technical protection.
Законодательство иностранных государств в области защиты персональных данных (равно как и отечественное) имеет недолгую историю. Формирование правового регулирования данной сферы осуществляется с конца 70-х гг. XX в. Опыт же разработки полноценных нормативных актов, регулирующих защиту персональных данных при автоматизированной обработке информации, насчитывает всего несколько десятилетий.
Правовые основы защиты и оборота персональных данных были заложены в государствах Европейского союза и США. Процесс формирования правового института персональных данных в Российской Федерации начался намного позже, отправной точкой выступает ратификация в 2005 г. Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» 1981 г.1
В настоящее время помимо Федерального закона от 27.07.2006 г. № 152-ФЗ (ред. от 03.07.2016) «О персональных данных»2 рассматриваемый правовой институт также регулируют федеральные законы, определяющие случаи, технические характеристики и особенности защиты, обработки, контроля в сфере персональных данных. Федеральные и территориальные органы исполнительной власти на основании и в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных и иных действий.
Следует отметить, что существуют серьезные проблемы в законодательном регулировании данной сферы. В некоторой степени это объясняется относительной новизной действующего закона о персональных данных, а также тем, что поправки к нему просто не успевают за развитием современных технологий3.
Можно выделить несколько групп проблем в сфере защиты персональных данных: правовые, организационные и финансовые.
Проблемы правового характера возникли в связи с неоднозначностью положений федерального закона о защите персональных
данных, которые по-разному трактуются государственными законодательными и исполнительными органами и операторами. В том числе это относится к самому понятию «персональные данные», месту персональных данных в системе информации ограниченного доступа и др.4
Организационные проблемы обусловлены недостаточным уровнем организации сбора, хранения, защиты персональных данных на предприятиях, не имеющих для этого финансовых средств. Обычно финансовые и организационные проблемы взаимосвязаны между собой.
В федеральном законе «О персональных данных» проблема их защиты рассматривается только с точки зрения обработки данных. Под обработкой подразумеваются все возможные действия с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование, уничтожение (ч. 3 ст. 3), то есть действия по непосредственной защите данным законом не охватываются (например, снятие и наложение конфиденциальности, хранение сведений для аутентификации и идентификации пользователей электронных порталов и др.). Очевидно, что такая постановка вопроса является слишком узкой, в связи с чем аспекты защиты персональных данных фактически остаются за рамками правового регулирования.
Система защиты персональных данных является комбинацией технических и технологических мер, а также мер по ее организации и администрированию. Общие технологические требования к обеспечению безопасности установлены действующим законодательством, однако в отношении организационных мер в законе ничего не сказано. Тем не менее безопасность информационных систем возможна только в случае эффективной взаимосвязи технической и организационной составляющей5. Как отмечается специалистами по информационной безопасности, камнем преткновения любой, даже самой технически совершенной, автоматизированной информационной системы
являются профессионализм и ответственность обслуживающего ее персонала. При построении автоматизированных информационных систем необходимо учитывать человеческий фактор и иметь подсистему разграничения доступа к информации6.
Пользователи социальных сетей нередко не подозревают, что выложенная ими на сайте конфиденциальная информация становится практически навсегда общедоступной для любых третьих лиц и автоматически считается таковой с момента размещения ее в сети субъектом персональных данных. Общедоступные персональные данные, согласно закону о персональных данных, не нуждаются в дальнейшей правовой защите, в том числе и в защите конфиденциальности. Например, субъект - собственник персональных данных с удивлением узнает, что номер его сотового телефона становится известным рекламным фирмам, дочерним организациям или просто третьим физическим лицам, которые начинают навязчиво названивать субъекту по различным вопросам.
Следует обратить внимание на проблему определения действий оператора в случае, если субъект персональных данных сначала сделал свои данные общедоступными, а затем вновь их скрыл. Требуется четкая правовая регламентация всех случаев, в которых гражданин при размещении своих персональных данных автоматически дает согласие на их использование третьими лицами. Необходимо нормативно установить перечень ситуаций, когда на использование тех или иных сведений требуется обязательное согласие лица, их разместившего, зафиксировать формы такого согласия (подтверждения), а также усилить контроль за деятельностью лиц и организаций, которые вправе совершать операции с таким видом информации.
В соответствии с п. 17 требований к защите персональных данных при их обработке в информационных системах персональных данных7 контроль за выполнением указанных требований осуществляется оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на деятельность по технической защите конфиденциальной информации.
Порядок данного лицензирования установлен Постановлением Правительства Российской Федерации от 03.02.2012 г. № 79 «О лицензировании деятельности по
технической защите конфиденциальной ин-формации»8.
На сегодняшний день всего 3052 фирмы по всей стране имеют соответствующую лицензию. Например, в Вологодской области таких фирм пять, три в Вологде и две в Череповце. Это очень малое количество, поэтому необходима законодательная проработка вопроса контроля в сфере защиты конфиденциальной информации.
Серьезной остается и проблема защиты тайны личной жизни при условии свободы слова в средствах массовой информации. Обычно подробности частной жизни рядового гражданина мало кого интересуют. Другое дело, когда речь идет о публичных личностях, занимающих высокие государственные должности. Публичность лица определяет лишь частичную открытость его частной жизни. Средства массовой информации должны достоверно и объективно давать гражданам информацию о таком лице, например, в ходе предвыборной кампании, при этом не выходить за рамки закона, а сам закон - предоставлять необходимые правовые условия для знакомства граждан с фактами биографии и частной жизни публичных деятелей.
Нередко информация личного характера в социальных сетях получает распространение без согласия человека, которого она касается, или является неверной из-за несвоевременной ее актуализации и ошибок, поэтому требуется особенная законодательная проработка сферы защиты приватности частной жизни. Очевидно, что закон «О персональных данных» нуждается в доработке и должен быть дополнен нормами, обеспечивающими конфеденциальность персональных данных граждан во взаимоотношениях со средствами массовой информации. На наш взгляд, Закон Российской Федерации от 27.12.1991 г. № 2124-1 (ред. от 03.07.2016) «О средствах массовой информации»9 необходимо дополнить нормой, прямо устанавливающей недопущение распространения в средствах массой информации сведений о частной жизни индивида и ее конфиденциальность априори. В исключительных случаях такое распространение возможно только с письменного согласия индивида или в иных случаях, установленных законодательно.
Вопросы обеспечения конфиденциальности персональных данных в отечественном законодательстве, по сравнению с зарубежным, имеют свои особенности. В российском законе содержится прямое указание
на то, что персональные данные граждан представляют собой конфиденциальную информацию, но при этом порядок их защиты прописан поверхностно.
Еще одной немаловажной проблемой является отсутствие в УК РФ состава преступления, который бы напрямую касался персональных данных, что делает проблематичным привлечение виновных лиц к уголовной ответственности за преступления в сфере оборота и защиты персональных данных. Предусмотренные УК РФ составы (в том числе ст. 137, 138, 272, 273) носят неопределенный характер и только частично охватывают деяния, нарушающие правила работы в рассматриваемой области. Разобщенность норм, сложности в квалификации преступлений не способствуют эффективному поддержанию законности в сфере охраны персональных данных. Решением данной проблемы может быть введение нового состава преступления, который описывал бы противоправные деяния и предусматривал уголовную ответственность за совершение противоправных деяний с персональными данными гражданина. Отягчающим обстоятельством данного состава должно быть совершение противоправных деяний с персональными данными с использованием служебного положения и с особо тяжкими последствиями (гибель или причинение тяжкого вреда здоровью субъекта персональных данных). Имеющиеся в УК РФ составы преступлений, которые могут быть связаны с персональными данными, необходимо дополнить формулировкой «персональные данные» в необходимой грамматической конструкции (например, ч. 1 ст. 137 УК РФ переформулировать как незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, а также персональных данных лица без его согласия).
Сделаем акцент еще на одной проблеме, связанной с защитой и оборотом персональных данных. Большинство вопросов применения законодательства о персональных данных пересекаются с трудовыми отношениями. Основная проблема в данной сфере касается оборота и защиты персональных данных соискателей, то есть лиц, которые только устраиваются на работу. Специальная правовая регламентация таких процедур в Тк РФ отсутствует.
В процессе трудоустройства соискатель направляет резюме, проходит проверку на профессиональные качества, различные собеседования, психологические тестирования, проверку в службе безопасности.
В итоге у оператора накапливается достаточное количество персональных данных. К сожалению, ТК РФ оставляет все эти продолжительные по времени и насыщенные по обмену информацией процедуры за рамками правового регулирования. Закрепленное в п. 4 ст. 86 ТК РФ требование об обязательном согласии работника на обработку своих персональных данных правомочно только в отношении работника, но не соискателя. На наш взгляд, данная проблема требует законодательного решения.
Следует отметить, что работодатель собирает и обрабатывает персональные данные работников в процессе не только их устройства на работу, но и последующей трудовой деятельности (прослушивание телефонных переговоров, установление камер видеонаблюдения, мониторинг локальной сети Интернет, проверка электронной корреспонденции и т. д.). Такие персональные данные априори больше связаны с частной жизнью сотрудников, чем с выполняемыми ими трудовыми функциями. Таким образом, работодатель нарушает нормы ТК РФ о запрете сбора дополнительных персональных данных работодателем (п. 5 ст. 86) и принцип, закрепленный в ст. 5 закона «О персональных данных», согласно которому объем, характер и способы обработки персональных данных должны соответствовать целям обработки и недопустимости сбора избыточных персональных данных.
Решение данной проблемы зависит, прежде всего, от наличия определенной гражданской сознательности. При повторяющихся правонарушениях сами работники могут инициировать в защиту своих прав соответствующие проверки органами исполнительной власти, судебные иски. Безусловно, большое значение имеют эффективная деятельность государственных контролирующих органов и последовательная политика в отношении применения санкций.
Законодатель признает, что в действующем законе о персональных данных имеются пробелы. Это следует из пояснительной записки к проекту Федерального закона «О внесении изменений в Федеральный закон "О персональных данных"» и ст. 28.3 Кодекса об административных правонарушениях10. В частности, в КоАП РФ были внесены поправки в области увеличения административных штрафов за правонарушения в сфере оборота и защиты персональных данных11.
Можно сделать вывод, что органы законодательной власти стараются учитывать замечания и предложения, направленные на
совершенствование действующего закона о персональных данных, в том числе связанные со ст. 23.46 КоАП РФ, согласно которой на сегодняшний день уполномоченные органы не имеют права возбуждать дела по ст. 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». К уполномоченным органам в первую очередь относится Роскомнадзор, который с 1 июля 2017 г. будет наделен правом возбуждать дела об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ, что является логичным выводом исходя из функционала данной федеральной службы.
Нельзя не отметить и проблему правовой грамотности населения в сфере персональных данных. Нередко граждане, не осознавая последствий, добровольно предоставляют свои персональные данные и дают согласие на их обработку третьим лицам. Решением данной проблемы является повышение правовой грамотности населения и квалификации операторов, осуществляющих обработку персональных данных.
щ примечания
1 См.: СЗ РФ. 2014. № 5. Ст. 419.
2 См.: Там же. 2006. № 31 (Ч. 1). Ст. 3451; 2016. № 27 (Ч. 1). Ст. 4164.
3 См., напр.: Парфенов Н. П., Стахно Р. Е. Оптимизация требований к обработке персональных данных // European Science. 2016. № 11 (21). С. 25-28; Терещенко Л. К., Тиунов О. И. Правовой режим персональных данных // Журнал российского права. 2014. № 12 (216). С. 42-49; Трофимце-ва С. Ю. К вопросу об обеспечении защиты персональных данных в России // Сборники конференций НИЦ «Социосфе-ра». 2014. № 63. С. 120-125; Хлестова Д. Р., Попов К. Г. К вопросу о правовых аспектах защиты персональных данных // Символ науки. 2016. № 4-3. С. 136-138.
4 См.: Петрыкина Н. И. Правовое регулирование оборота персональных данных. Теория и практика : учеб. М., 2013. С. 14.
5 См.: Бабкин А. А., Панфилова О. А., Шлыков С. А. Информационные технологии и системы и их использование в сфере управления персоналом : учеб. пособие. Вологда, 2012. С. 56.
6 См.: Титов Д. В., Мокрецов Ю. В. Применение систем автоматизации в процессе подготовки инженеров в ВИПЭ ФСИН России // Ведомости уголовно-исполнительной системы. 2016. № 2 (165). С. 40-42.
7 См.: Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных : постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 // СЗ РФ. 2012. № 45. Ст. 6257.
8 См.: Там же. № 7. Ст. 863.
9 См.: Ведомости СНД и ВС РФ. 1992. № 7. Ст. 300.
10 URL: http://www.consultant.ru/cons/cgi/online.cgi?req=d oc&base=PRJ&n=129000&dst (дата обращения: 15.12.2016).
11 См.: О внесении изменений в Кодекс Российской Федерации об административных правонарушениях : федер. закон от 07.02.2017 г. № 13-ФЗ (вступает в силу 1 июля 2017 г.).
Таким образом, все вышеперечисленные проблемы свидетельствуют о том, что действующее законодательство нуждается в существенной доработке. Государство обязано совершенствовать правовое регулирование в области обработки и защиты персональных данных. Однако это не означает, что только государство должно решать указанные проблемы. Общественность, а также специалисты в области права и информационной безопасности также должны принимать активное участие в разработке предложений по усовершенствованию законодательства в данной области. Кроме того, сами граждане должны стремиться обеспечивать безопасность своих персональных данных путем непредоставления такой информации, например, в социальных сетях и на интернет-ресурсах.
Взаимодействие государства и граждан, повышение уровня правой грамотности населения, а также ответственности граждан при подписании согласия и иных формах предоставления персональных данных позволят качественно усовершенствовать действующее законодательство и решить имеющиеся проблемы.
1 Sm.: SZ RF. 2014. № 5. St. 419.
2 Sm.: Tam zhe. 2006. № 31 (Ch. 1). St. 3451; 2016. № 27 (Ch. 1). St. 4164.
3 Sm., napr.: Parfenov N. P., Stahno R. E. Optimizacija trebovanij k obrabotke personal'nyh dannyh // European Science. 2016. № 11 (21). S. 25-28; Tereshhenko L. K., Tiu-nov O. I. Pravovoj rezhim personal'nyh dannyh // Zhurnal rossijskogo prava. 2014. № 12 (216). S. 42-49; Trofimceva S. Ju. K voprosu ob obespechenii zashhity personal'nyh dannyh v Rossii // Sborniki konferencij NIC «Sociosfera». 2014. № 63. S. 120-125; Hlestova D. R., Popov K. G. K voprosu o pravovyh aspektah zashhity personal'nyh dannyh // Simvol nauki. 2016. № 4-3. S. 136-138.
4 Sm.: Petrykina N. I. Pravovoe regulirovanie oborota personal'nyh dannyh. Teorija i praktika : ucheb. M., 2013. S. 14.
5 Sm.: Babkin A. A., Panfilova O. A., Shlykov S. A. Informacionnye tehnologii i sistemy i ih ispol'zovanie v sfere upravlenija personalom : ucheb. posobie. Vologda, 2012. S. 56.
6 Sm.: Titov D. V., Mokrecov Ju. V. Primenenie sistem avtomatizacii v processe podgotovki inzhenerov v VIPJe FSIN Rossii // Vedomosti ugolovno-ispolnitel'noj sistemy. 2016. № 2 (165). S. 40-42.
7 Sm.: Ob utverzhdenii trebovanij k zashhite personal'nyh dannyh pri ih obrabotke v informacionnyh sistemah personal'nyh dannyh : postanovlenie Pravitel'stva Rossijskoj Federacii ot 01.11.2012 g. № 1119 // SZ RF. 2012. № 45. St. 6257.
8 Sm.: Tam zhe. № 7. St. 863.
9 Sm.: Vedomosti SND i VS RF. 1992. № 7. St. 300.
10 URL: http://www.consultant.ru/cons/cgi/online.cgi?req=d oc&base=PRJ&n=129000&dst (data obrashhenija: 15.12.2016).
11 Sm.: O vnesenii izmenenij v Kodeks Rossijskoj Federacii ob administrativnyh pravonarushenijah : feder. zakon ot 07.02.2017 g. № 13-FZ (vstupaet v silu 1 ijulja 2017 g.).
