Актуальные нормативные документы
www.idmz.nu
SOOS, №6
■■■■
Ш1
Ш1
АКТУАЛЬНЫЕ ВОПРОСЫ РАЗВИТИЯ И ПРИМЕНЕНИЯ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПРАВ ГРАЖДАН ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Так была сформулирована тема Парламентских слушаний, прошедших в Москве 20 октября 2009 г. Как хорошо известно, 7 ноября 2001 г. Российская Федерация подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, возложив на себя обязательства по приведению в соответствие с нормами европейского законодательства деятельности в области защиты прав субъектов персональных данных.
I
Первым шагом в реализации вышеназванных обязательств стало принятие Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ). Целью федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Федеральный закон определил Уполномоченный орган по защите прав субъектов персональных данных, установил права субъектов персональных данных, обязанности и ответственность операторов, осуществляющих обработку персональных данных.
В настоящее время функции Уполномоченного органа возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор). Федеральная служба находится в ведении Министерства связи и массовых коммуникаций Российской Федерации (далее — Минкомсвязи), которое осуществляет контроль и координацию деятельности Уполномоченного органа.
В составе Роскомнадзора функционируют 78 территориальных органов, из них в 19 созданы профильные отделы, в остальных управ-
лениях дополнительно введены должности для выполнения функций по осуществлению государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Таким образом, в настоящее время функционирует организационно-штатная структура Уполномоченного органа, которая имеет координационный центр на федеральном уровне и территориальные органы в субъектах Российской Федерации.
Деятельность Роскомнадзора регулируется Положением, утвержденным Постановлением Правительства РФ от 16.03.2009 №228.
По мнению участников Парламентских слушаний, в Положении нашли отражение не все полномочия, предусмотренные статьей 23 Федерального закона «О персональных данных».
Так, несмотря на наличие в Положении бланкетной нормы, в соответствии с которой, наряду с полномочиями, прямо предусмотренными Положением, Роскомнадзор осуществляет и иные полномочия, в том числе предусмотренные федеральными законами, в настоящее время отсутствуют правовые механизмы реализации органами Роскомнадзора, в частности, права вносить в Правительство Российской Федерации предложения о
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 73 ■
Ш1
kill
Актуальные нормативные документы
и информационные
технологии
совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных, права обращаться в суд с исковым заявлением в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде, а также обязанности организовывать в соответствии с требованиями настоящего федерального закона и других федеральных законов защиту прав субъектов персональных данных.
Задача по приведению актов, регулирующих деятельность Роскомнадзора, в строгое соответствие с положениями Федерального закона «О персональных данных», представляется одной из наиболее значимых для повышения уровня защиты прав субъектов персональных данных в России.
Не менее значимой видится задача по приведению статуса Уполномоченного органа в Российской Федерации в соответствие с требованиями Дополнительного протокола к Конвенции от 8 ноября 2001 года в части обеспечения осуществления функций Уполномоченного органа независимо.
В развитие Федерального закона Правительством Российской Федерации был выпущен ряд нормативных правовых актов. Приказом Россвязькомнадзора от 17.07.2008 № 08 (в ред. от 18.02.2009) был утвержден образец формы уведомления об обработке персональных данных. В развитие Постановления Правительства Российской Федерации от 17 ноября 2007 г. №781 совместным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 был утвержден Порядок проведения классификации информационных систем персональных данных.
Также во исполнение п. 3 этого Постановления Федеральной службой по техническому и экспортному контролю (далее — ФСТЭК России) в пределах ее компетенции утвержден пакет методических документов: «Методика определения актуальных угроз безопасности персональных данных при их обработке в
информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», а также «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». Указанные документы имеют гриф «Для служебного пользования». Документы предоставляются оператору по его запросу. В настоящее время перерабатываются.
Одновременно утверждены «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» и «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Документы имеются в публичном доступе в сети Интернет.
В целом подзаконные нормативные правовые акты ориентированы на защиту собственно персональных данных, а не прав граждан при обработке их персональных данных в информационных системах, что не соответствует базовым тенденциям в развитии законодательства о персональных данных в европейских странах в рамках реализации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Операторы ПД столкнулись с различными подходами в трактовке положений Федерального закона в регионах, недостатком разъяснений со стороны государственных регуляторов и избирательным применением Федерального закона.
1 74 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Актуальные нормативные документы
www.idmz.nu
SOOS, №6
■■■■
Ш1
Ш1
Кроме того, требования к операторам информационных систем персональных данных со стороны ФСТЭК России включают такие механизмы государственного регулирования (лицензирование деятельности по технической защите информации, сертификацию средств защиты информации, аттестацию информационных систем персональных данных), для реализации которых у большинства операторов нет достаточных материальных и трудовых ресурсов. Особенно это касается бюджетных организаций в сфере образования, медицинского обслуживания, жилищнокоммунального комплекса.
Существенное увеличение затрат на подготовку информационной системы по требованиям безопасности персональных данных и особенно затраты на поддержание системы в коммерческих организациях неизбежно отразятся на стоимости услуг оператора.
Участники рынка услуг по защите персональных данных также не в силах предоставить услуги всем заинтересованным операторам, которых, по экспертным оценкам, более 2 миллионов.
Операторы обращают внимание законодателей на дисбаланс в российском законодательстве в сторону интересов субъекта персональных данных. При этом реальные возможности операторов по исполнению возлагаемых на них законом требований зачастую не учитываются.
Подзаконная база сформировала чрезвычайно затратный, запутанный, противоречивый механизм, не учитывающий ни особенности обработки персональных данных в различных сферах деятельности, ни возможности оператора по обеспечению установленных требований. Специалисты указывают на неадекватность требований по обработке данных возможным угрозам их утраты и конфликте требований, установленных разными законами.
Финансовые проблемы реализации закона прогнозировались депутатами Государственной Думы еще при внесении Правительством РФ в Государственную Думу проекта
федерального закона «О персональных данных», поскольку затраты на реализацию Федерального закона из средств федерального бюджета не предусматривались. Тем не менее, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований основных регуляторов (ФСТЭК России и ФСБ России) по обеспечению безопасности обработки персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, которые не планировались и не осуществимы в условиях кризиса.
Следствием указанных проблем стала массовая неготовность к исполнению Федерального закона. Ситуация не может принципиально измениться за оставшиеся два с половиной месяца. Это означает, что с начала 2010 года вступят в силу положения части 3 статьи 25 Федерального закона и государственные регуляторы будут вправе осуществлять проверки исполнения требований закона в отношении всех информационных систем персональных данных.
Сложность исполнения этих требований и других положений Федерального закона будет усиливать правовой нигилизм в обществе и создаст условия для коррупции.
Заслушав и обсудив все вышеперечисленные проблемы, участники парламентских слушаний сформировали блок рекомендаций:
1. Президенту Российской Федерации: взять под личный контроль деятельность Правительства Российской Федерации по подготовке к вступлению в силу Федерального закона «О персональных данных».
2. Совету при Президенте Российской Федерации по развитию информационного общества в Российской Федерации: включить мероприятия по обеспечению безопасности персональных данных в Типовую форму ведомственной программы внедрения информационно-коммуникационных технологий в деятельность федерального органа государственной власти.
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 75 ■
Ш1
kill
Актуальные нормативные документы
и информационные
технологии
3. Федеральному Собранию Российской Федерации и Правительству Российской Федерации: в кратчайшие сроки внести изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», устраняющие основные проблемы и недостатки закона. До конца 2009 года внести изменения в Федеральный закон от 8 июля 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности». В возможно кратчайшие сроки внести на рассмотрение Государственной Думы во втором чтении проект Федерального закона №217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных», дополнив его статьями, предусматривающими внесение изменений в федеральные законы, направленных на усиление административной ответственности за нарушение требований закона; уточнение положений Федерального закона «О связи» (абз. 4 ч. 2 ст. 53); федеральных законов, регулирующих банковскую деятельность; уточнение формулировки понятия «конфиденциальность информации» (ст. 2 Федерального закона «О информации, информационных технологиях и о защите информации»).
4. Правительству Российской Федерации: до конца 2009 года внести в Государственную Думу проект Федерального закона «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», в том числе предусматривающего внесение изменений в Федеральный закон «О персональных данных» в части определения предмета, сроков и оснований проведения проверок в области защиты персональных данных. После внесения
изменений в Федеральный закон «О персональных данных» привести в соответствие с ним нормативные правовые акты Правительства Российской Федерации (включая Положение об Уполномоченном органе по защите прав субъектов персональных данных) и нормативные правовые акты федеральных органов исполнительной власти. Организовать публичные обсуждения проектов нормативных правовых и нормативно-технических актов, подготовленных во исполнение Федерального закона «О персональных данных». Принять программу мероприятий, рассчитанную на 1 год, по подготовке к вступлению в силу Федерального закона «О персональных данных».
5. Генеральной прокуратуре Российской Федерации, Роскомнадзору, Федеральной службе труда, Федеральной антимонопольной службе разработать единый порядок взаимодействия их территориальных органов при выявлении, пресечении и профилактике правонарушений в сфере обработки персональных данных.
6. Комиссиям (Советам) по защите информации при Полномочных представи-теляхПрезидента Российской Федерации в федеральных округах, уполномоченным органам государственной власти субъектов Российской Федерации обеспечить координацию подготовки организаций субъектов Российской Федерации к вступлению в силу Федерального закона «О персональных данных», подготовить планы мероприятий по разъяснению, обучению, стимулированию организаций к выполнению требований Федерального закона, рассматривать на своих заседаниях ход выполнения планов мероприятий; направлять в уполномоченные органы и Государственную Думу предложения по совершенствованию законодательства в области защиты персональных данных; оказать поддержку органам местного самоуправления и муниципальным организациям в подготовке к вступлению в силу Федерального закона «О персональных данных».
Подготовил А. Гусев
■■ -те- ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■