Анализ федерального закона №152-ФЗ «о персональных данных» Текст научной статьи по специальности «Право»

о. в. Борисенко*

анализ федерального закона • 152-Фз «о персональных данных»

Статья посвящена критическому анализу федерального законодательства РФ в сфере защиты прав субъектов персональных данных. Исследована правоприменительная практика защиты прав субъектов персональных данных, проанализированы наиболее значимые источники права на защиту персональных данных в Российской Федерации.

Ключевые слова: персональные данные, перенос срока

Article is devoted to the critical analysis of the federal legislation of the RF in sphere of protection of the rights of subjects of the personal data. Practice of protection of the rights of subjects of the personal data is investigated, the most significant sources of the right to protection of the personal data in the Russian Federation are analyzed.

Key words: the personal data, term carrying over

Каждый из нас является субъектом персональных данных. С помощью нормативного регулирования обеспечивается защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну. Необходимость более эффективного правового регулирования вопросов защиты персональной информации и прав субъектов, обладающих ей, признается во всем мире. Сегодня автоматизированная обработка персональных данных принципиально облегчает возможность получения и использования сведений о личности, что делает жизнь граждан «прозрачной» как для государства, так и для криминальных элементов. В связи с расширяющимся использованием глобальной сети Интернет система нормативного регулирования вопросов защиты персональных данных развивается на международном уровне. Исходя из приоритетности защиты интересов гражданина, она обеспечивает баланс между его правами и правами других заинтересованных в персональной информации субъектов.

Институт персональных данных — достаточно молодой по правовым меркам. Его становление и развитие тесно связано с изменением во времени конституционных прав и свобод человека и гражданина, в первую очередь права на неприкосновенность частной жизни. Как юридическая категория оно зародилось в США. Известные американские юристы Сэмюель Уоррен и Луис Брандейс выдвинули утверждение, что приватность (право быть оставленным в покое, или право быть предоставленным самому себе) подвергается опасности со стороны новых изобретений и методов ведения бизнеса, и обосновывали необходимость создания специального «права приватности»1. С развитием научного и технического прогресса мы находим все больше подтверждений справедливости данного высказывания.

В последнее время интерес к проблеме неприкосновенности частной жизни начал существенно усиливаться. Появились новые технологии и средства для сбора, хранения и обработки данных, касающихся как личной жизни индивидов, так и их публичной деятельности. В праве остро встал вопрос о принятии особых правил регулирования сбора и обработки персональных данных как все более популярного объекта хозяйственного

* Борисенко Ольга Владимировна — специалист 1-го разряда Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Москва). E-mail: alterfaktor@mail.ru.

оборота. Сейчас самое активное развитие норм о защите персональных данных наблюдается в Европе.

Ю. В. Травкин в книге «Персональные данные»2 указывает, что важнейшим международным документом в области персональных данных была Директива Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. № 95/46/ЕС о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных3. Автор считает, что Директива является de jure стандартом для европейских стран и de facto мировым стандартом. С ним трудно не согласиться, так как в этом документе заложены основы общеевропейской системы защиты персональных данных, он отвечает на большинство предъявляемых к законодательству о персональных данных вопросов и на его базе формируются институты права в других странах.

В Российской Федерации правовой институт защиты прав субъектов персональных данных выстроен во многом по образцу европейского законодательства. После подписания 7 ноября 2001 г. Российской Федерацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных4 стало необходимым привести собственное законодательство в соответствие с нормами европейского права в области защиты прав субъектов персональных данных. Для выполнения этой задачи был принят Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»5 (далее — ФЗ № 152). Цель названного Закона — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. В дополнение к этому Закону были приняты ряд подзаконных актов, детализирующих его положения. Одним из важнейших стал приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности РФ (ФСБ), Министерства связи и массовых коммуникаций РФ (Минкомсвязь) от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Нетрудно догадаться, что обеспечение защиты персональных данных в Российской Федерации — обязанность таких ведомств, как ФСТЭК, ФСБ, Минкомсвязь. Большое количество федеральных служб, занимаясь нормотворческой деятельностью по одному вопросу, не всегда могут прийти к единому мнению, что, безусловно, не облегчает написание и выполнение законов, так как в подобных ситуациях часто используются двоякие формулировки. В российском законодательстве нередко встречаются неоднозначные положения, которые создают благодатную почву для неверного толкования закона и коррупции.

На сегодня уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор, его задача — надзор за соблюдением требований и правил, устанавливаемых ФСБ и ФСТЭК. На наш взгляд, большей эффективностью обладали бы гражданские организации-регуляторы, которых сегодня, к сожалению, нет. Они могли бы создаваться различными структурами, работающими в сфере использования информации, например, операторами сотовой связи, медицинскими учреждениями, страховыми компаниями. По существу, речь идет об одном из этапов построения гражданского общества — формировании системы защиты циркулирующей в нем информации от неправильного использования. Саморегулирующиеся организации стали бы инструментом, способным контролировать быстроменяющиеся отрасли и вносить своевременные изменения в отраслевые стандарты.

Находясь на начальном этапе развития, институт защиты прав субъектов персональных данных требует новых подходов в построении системы регулирования и, что особенно важно, системы правового воздействия на эту сферу общественной жизни. Разработка правил и стандартов, осуществление мониторинга за их соблюдением, формирование и применение санкций за нарушение правил, внедрение процедуры вне-

судебного разрешения споров как между членами саморегулирующейся ассоциации, так и с аутсайдерами (прежде всего с субъектами персональных данных) — все эти функции могли бы выполнять организации-регуляторы.

Члены таких организаций имели бы больше легальных возможностей воздействовать на нормотворчество и политику организаций саморегулирования, нежели на политику государственных органов. Конфликты могли бы разрешаться участниками правоотношений без прямого вмешательства государства. Механизмы разрешения споров стали бы дешевле для участников правоотношений в сфере персональных данных и заняли бы меньше времени, чем судебное разбирательство. При передаче некоторых функций государственных органов саморегулирующимся самостоятельно финансируемым организациям очевидна и выгода для государства в виде экономии бюджетных средств. Эффективность саморегулирования должна поддерживаться наличием не только разработанного свода правил, но и системы контроля за соблюдением этих правил и применением санкций.

Есть у указанного подхода к регулированию правоотношений в сфере персональных данных и недостаток: организации саморегулирования смогут применять к нарушителям стандартов ведения деятельности только ограниченный набор санкций (предупреждение, публичное заявление о нарушении, в редких случаях штрафы, исключение). При этом возможно, и даже необходимо, вмешательство государства.

И на федеральном, и на местном уровне нередко принимаются нормативные акты, ущемляющие права предприятий. Ведомственные инструкции часто затрудняют нормальную работу компаний, противоречат друг другу. Отдельные фирмы в силу разных причин далеко не всегда могут и готовы спорить с государством, объединениям же делать это значительно легче. Во избежание нарушений должен производиться контроль и надзор за деятельностью предприятий гражданскими организациями-регуляторами. Роскомнадзор смог бы в полном объеме выполнять свои функции, при этом исключаются ситуации, когда нужно контролировать 7 млн операторов, а лимит проверок всего 6 тыс. в год.

Безусловно, для равномерного развития правоотношений в сфере персональных данных и исключения злоупотреблений вмешательство государства необходимо, но только в области правового регулирования, углубляться в частности таких отношений не следует, нужно предоставлять свободу их участникам.

В типовых стандартах саморегулирования в сфере персональных данных непременно должны соблюдаться права и свободы граждан. При разработке нормативных документов необходимо руководствоваться наработанной базой, отраслевыми стандартами, и тогда путь к гармонизации законодательства сократиться.

С каждым днем вопрос защиты персональных данных становится все острее. Вступление в силу ФЗ № 152 предусматривает начало проверок, что предполагает приведение информационных систем в соответствие с требованиями законодательства. Рос-комнадзор предусматривает необходимость подачи организацией уведомления об обработке персональных данных для регистрации в качестве оператора персональных данных. Если компания не подала уведомление, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом. Разумеется, и подача названного уведомления, и регистрация организации в качестве оператора персональных данных не исключают проверки регулирующим органом.

Несмотря на принятие ФЗ № 152 в 2006 г., сроки вступления его в законную силу отодвигались дважды, он начал действовать только 1 июля 2011 г. Одна из причин переноса сроков — то, что процедура по приведению информационных систем в соответствие с ФЗ № 152 подразумевает большие финансовые затраты, и учреждениям, не обладающим достаточными финансовыми средствами, такие меры по обеспечению безопасно-

сти персональных данных не по карману. Причем в наиболее сложной ситуации оказываются бюджетные учреждения, которым средства бюджета на проведение необходимых мероприятий не выделены. Также Закон предусматривает серьезные требования, связанные с оформлением документов, поэтому полностью должна пересматриваться система документооборота.

26 июля 2011 г. вступил в силу Федеральный закон «О внесении изменений в Федеральный закон „О персональных данных"»6, который несколько ужесточил требования к операторам в части технической защиты персональных данных. Документ повышает ответственность организаций за несоблюдение требований по защите личной информации. Необходимо отметить, что обсуждение темы сохранности персональных данных в последнее время усилилось в связи с появлением в открытом доступе на сайтах персональных данных достаточно большого количества граждан. Однако есть и положительные нововведения. Уточнены многие определения понятий, облегчающие их понимание и восприятие, сроки хранения персональных данных. Теперь их можно хранить сколь угодно долго, если это не регулируется федеральным законом, принятым в его исполнение нормативным правовым актом или договором, а также если стороной, выгодоприобретателем или поручителем является субъект персональных данных. Расширен перечень действий, считающихся обработкой персональных данных, сценариев, когда разрешена обработка персональных данных без согласия субъекта, увеличены сроки реагирования на запросы. Законом предусмотрено, что нормативные правовые акты по отдельным вопросам обработки персональных данных в пределах своих полномочий могут принимать не только государственные органы, но и органы местного самоуправления, и Банк России. Эта важная норма позволит найти правильный подход к защите персональных данных в конкретном случае.

Хотелось бы выдвинуть предложение по совершенствованию законодательства. Требования по защите персональных данных должны определяться оператором и вытекать из разработанных экспертным сообществом отраслевых стандартов, а не устанавливаться регуляторами, для которых соотнесение вреда и пользы в таком сложном вопросе проблематично. Эффективной альтернативой стали бы саморегулирующиеся организации, объединившие компании в зависимости от сферы деятельности. Действуя в рамках законодательства, такие организации могли бы фактически осуществлять государственное регулирование в определенных сферах. Создаваемые ими типовые стандарты содержали бы более гибкие и легче адаптирующиеся к меняющимся обстоятельствам нормы по сравнению с нормами, устанавливаемыми государством, что позволило бы заполнить пробелы в законодательстве и избежать произвола чиновников и проверяющих. В настоящей редакции Закона наработанная практика применения отраслевых стандартов, к сожалению, не учитывается. Такое концептуальное предложение могло бы быть использовано при разработке подзаконных актов.

Принятие в Российской Федерации ФЗ № 152 способствует не только лучшей защищенности субъектов персональных данных, но и укреплению внешнеполитических позиций Российского государства, росту правосознания граждан, формированию гражданского общества в нашей стране.

На наш взгляд, этот Федеральный закон важен, но он является слишком общим, требует доработки с учетом международной практики и четкой сегментации сфер применения. Специалисты, работающие с этим Законом, небезосновательно считают его сырым, не имеющим под собой подготовленной почвы. Действительно, за шесть лет работы над ним количество противоречий остается внушительным. Для предприятий малого и среднего бизнеса стоимость проекта по защите субъектов и их персональных данных может составить несколько сотен тысяч рублей в год. Мы надеемся, что благодаря четкой работе регулирующих органов необходимые изменения будут внесе-

ны. Это позволит избежать исчезновения с рынка компаний малого и среднего уровня из-за неподъемной административной и финансовой нагрузки, которую необходимо нести в связи с исполнением ФЗ № 152.

1 Warren S., Brandies L. The Right to Privacy // Harvard Law Review. 1890. Vol. 4. № 5.

2 Травкин Ю. В. Персональные данные. М., 2007.

3 URL: http://www.eos.ru.

4 Конвенция Совета Европы о защите физических лиц в связи с автоматической обработкой персональных данных ETS № 108 (Страсбург, 28 января 1981 г.) // СЗ РФ. 2005. № 52. Ч. I. Ст. 5573.

5 СПС «КонсультантПлюс».

6 О внесении изменений в Федеральный закон «О персональных данных»: Федеральный закон от 26 июля 2011 г. № 261-ФЗ // URL: http://fsir.ru.

Ш

Ш <

а с

ш

Ш S

I

<

ш

о *

ц, о

I-