CC BY
0
46
ЮРИСПРУДЕНЦИЯ
Вестник Прикамского социального института. 2024. № 2 (98). С. 46–50.
Bulletin of Prikamsky Social Institute. 2024. No. 2 (98). Pp. 46-50.
Научная статья
УДК 34.09
EDN: UHNHRL
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИИ:
СОВРЕМЕННОЕ СОСТОЯНИЕ И ПЕРСПЕКТИВЫ РАЗВИТИЯ
Алина Самвеловна Мхитарян
Западно-Уральский институт экономики и права, Пермь, Россия, [email protected] Аннотация. Исследование посвящено актуальным проблемам защиты персональных данных в
России. Подчеркивается важность пересмотра целей обработки данных, а также круга лиц, имеющих
доступ к персональным данным. Автор предлагает новаторское решение в области защиты персональных данных путем внесения изменений в действующее законодательство РФ.
Ключевые слова: персональные данные, оператор, законодательство РФ
Для цитирования: Мхитарян А. С. Защита персональных данных в России: современное со-стояние и перспективы развития // Вестник Прикамского социального института. 2024. № 2 (98).
С. 46–50. EDN: UHNHRL.
Original article
PROTECTION OF PERSONAL DATA IN RUSSIA:
CURRENT STATE AND DEVELOPMENT PROSPECTS
Alina S. Mkhitaryan
West Ural Institute of Economics and Law, Perm, Russia, [email protected] Abstract. The study is devoted to the current problems of personal data protection in Russia. The im-portance of revising the purposes of data processing, as well as the circle of persons with access to personal data, is emphasized. The author proposes an innovative solution in the field of personal data protection by amending the current legislation of the Russian Federation.
Keywords: personal data, operator, legislation of the Russian Federation For citation: Mkhitaryan A. S. Protection of personal data in Russia: current state and development prospects. Bulletin of Prikamsky Social Institute, 2024, no. 2 (98), pp. 46-50. (In Russ.). EDN: UHNHRL.
На сегодняшний день не утихают споры относительно необходимости ужесточения
юридической ответственности за нарушение законодательства о персональных данных (ПД)
[1; 2]. Но пока одни представители общественного сектора яро отстаивают позицию в пользу
смягчения ответственности за откровенную продажу ПД [3], другие верно подмечают, что
количество реальных случаев распространения данных в нашей стране неимоверно растет.
Так, источник InfoWatch отметил, что в 2023 г. в Сеть было слито 1,12 млрд записей ПД, это
почти на 60 % больше, чем в предыдущем году [4].
Вопиющим нарушением являются факты распространения данных в особо доверительной
сфере – сфере предоставления потребителю услуг, когда априори потребитель вверяет исполните-лю услуг не только свои данные, но также жизнь и здоровье. Однако последние случаи показыва-
© Мхитарян А. С., 2024
А. С. МХИТАРЯН
47
ют, что даже такие процедуры, как прохождение медосмотра, косметологические услуги, тре-бующие уважения к потребителю и сохранности его данных, в том числе биометрических, неиз-менно сопровождаются видеосъемкой потребителя и распространением его личных данных [5].
За время, прошедшее с принятия российского законодательства о персональных данных, в него было внесено немало изменений в области защиты ПД физических лиц, ужесто-чена ответственность за разглашение и откровенную незаконную «продажу» ПД; при внесении этих изменений большое значение имела судебная практика, подчеркивавшая важность
защиты данных. Между тем проблема остается насущной и не решена в полной мере и по
сей день. Так, даже Конституционный Суд РФ издал документ о защите ПД в рамках своего
ведомства только в 2021 г.1
Казалось бы, о необходимости защиты персональных данных сказано немало как в докт-ринальных исследованиях ученых [см., напр.: 6; 7], так и в разъяснениях федеральных судов
РФ. Однако даже сегодня новостная лента пестрит информацией о вновь совершенных слу-чаях кражи и незаконной передачи персональных данных потребителей банковских и медицинских организаций. Основная проблема – отсутствие единого мнения о механизмах мини-мизации и ликвидации случаев утечки данных.
В результате общество делится на две группы: законодатель идет по пути ужесточения
ответственности (теперь штрафы за повторное совершение правонарушения, предусмотрен-ного ч. 8 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях2
(КоАП РФ), могут составлять 18 млн р. для юридических лиц – операторов персональных
данных; кроме того, готовятся поправки в КоАП РФ с еще более крупными суммами3), представители делового сообщества, напротив, предлагают смягчить ответственность. Так, не-смотря на непомерно растущее год от года количество дел, связанных с персональными данными, представители банковских организаций, некоторых политических партий возражают
против ужесточения ответственности в отношении операторов ПД и предлагают снизить ус-танавливаемый законопроектом максимальный размер оборотных штрафов для юридических
лиц – с 500 млн р. до 50 млн р., а в ряде случаев и разделить несение ответственности за
утечку данных между компанией, совершившей утечку данных, и поставщиком решений в
области защиты данных [3; 8].
Конечно, эксперты в области защиты данных бьют тревогу и называют указанные
предложения абсурдными. Из-за возрастающего количества правонарушений, связанных с
распространением данных, говорить о снижении уровня ответственности как минимум
неэффективно. Мы однозначно выступаем за ужесточение ответственности, однако это дале-ко не единственная мера предотвращения распространения данных физических лиц.
Иная проблема связана с неточным определением термина «оператор» персональных
данных. Согласно действующей редакции ст. 3 федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ (далее – Закон), оператором признается государственный
орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или со-вместно с другими лицами организующее и (или) осуществляющее обработку персональных
данных4. Между тем в Законе подробно не классифицируются основания и случаи такой обработки, а также виды операторов данных.
1 Положение об обработке и защите персональных данных в Конституционном Суде Российской Федерации. Утв. приказом председателя Консти-туционного Суда РФ от 23 дек. 2021 г. № 36. Документ опубликован не был. Доступ из справ.-правовой системы «КонсультантПлюс».
2 Кодекс Российской Федерации об административных правонарушениях от 30 дек. 2001 г. № 195-ФЗ (ред. от 8 авг. 2024 г.) // Собр. законодательства Рос. Федерации. 2002. № 1 (ч. I). Ст. 1.
3 О внесении изменений в Кодекс Российской Федерации об административных правонарушениях : проект федер. закона № 502104-8 от
4 дек. 2023 г. // Система обеспечения законодательной деятельности : сайт. URL: https://sozd.duma.gov.ru/bill/502104-8#bh_note (дата обращения: 12.09.2024).
4 О персональных данных : федер. закон от 27 июля 2006 г. № 152-ФЗ (ред. от 8 авг. 2024 г.) // Собр. законодательства Рос. Федерации.
2006. № 31 (ч. I). Ст. 3451.
48
ЮРИСПРУДЕНЦИЯ
Так, например, получение и обработка данных могут быть связаны с научной деятельностью в случае, если оператором анализируются данные из ответов, полученных из опроса
в социальной сети иными пользователями. К примеру, опрос может проводиться студентами
учебных заведений с целью написания проекта, курсовой или дипломной работы. Такие от-веты не всегда анонимны, у такого «оператора» имеются следующие сведения: «аватар» (фотография) пользователя, его ответ (мнение), фамилия, имя и отчество, возраст и пол. Напом-ним, что, согласно ст. 8 Закона, фамилия, имя и отчество являются общедоступными данными, обрабатываемыми лишь с согласия субъекта данных; его пол и фотография, позволяю-щая определенно идентифицировать ее изображение с личностью конкретного человека, являются, в соответствии со ст. 11 Закона, биометрическими данными; мнение, выраженное по
поводу того или иного вопроса, можно отнести, согласно ст. 10 Закона, к религиозному или
философскому убеждению. Таким образом, при проведении «безобидного» социологическо-го опроса в социальной сети в руках «оператора» находится массив данных других лиц.
К слову, считаем, что «философское или религиозное убеждение» из ст. 10 Закона
не отражает мнения человека о любом факте или событии внешней объективной реальности
или о нем самом. Потому указанный вид охраняемых персональных данных предлагаем до-полнить следующей категорией: «философское или религиозное убеждение, а также мнение
человека по любому вопросу, касающемуся объективной реальности или его самого». Считаем, что мнение человека о самом себе, своих поступках и личности также является информацией, требующей защиты. Например, информация, содержащая признание человеком вины в
совершенном преступлении, может сыграть немаловажную роль (негативную), поставив человека в уязвимое положение, причинив вред ему самому или членам его семьи.
И хотя, проходя опрос, пользователи потенциально соглашаются с фактом обработки
своих данных, не имеется никакой гарантии, что «оператор» обезличит их и, более того, по-нимает свой статус как оператора по смыслу указанного Закона. Потому велика вероятность
неправомерной обработки данных.
Иные случаи обработки ПД могут быть связаны с обработкой данных клиентов (потребителей) юридическим лицом. В таком случае, к сожалению, не всегда работник – предста-витель работодателя осознает свой статус «оператора». Иная ситуация – обработка данных
самих сотрудников компании. В указанных ситуациях речь идет о сборе и обработке данных, связанных с деятельностью компании.
Кроме того, обработка ПД оператором может производиться в целях проведения социального опроса непосредственно в общественных местах или по номеру мобильного телефо-на. Однако, как и в случае с опросом, проводимым студентами в социальных сетях, нет никакой гарантии анонимности такого опроса, а также знания «оператором» своего статуса и
потенциальной ответственности.
Наконец, обработка данных может производиться владельцем интернет-сайта для личных целей, не связанных напрямую с данными потребителей.
Считаем, что в настоящее время возможно следующее решение указанной проблемы, а
именно дополнение Закона ст. 18.2: «Цели и категории обработки персональных данных
оператором:
1. Обработка данных может быть совершена компанией, организацией, индивидуаль-ным предпринимателем в связи с осуществляемой им деятельностью в отношении работников, а также потребителей, получающих определенные виды работ, услуг от последних.
2. Данные могут быть получены и проанализированы в учебных целях обучающимися
всех уровней образования. Обработка и получение данных могут быть вызваны целью созда-ния оригинальной научной, научно-исследовательской работы.
А. С. МХИТАРЯН
49
3. Получение и обработка данных могут быть осуществлены волонтерами, работниками
организаций в связи с необходимостью выявления общественного мнения по отдельным воп-росам социально-правовой, экономической, духовно-нравственной и политической областей.
4. Указанные случаи получения и обработки данных возлагают ответственность за со-хранность полученных данных».
Повышение уровня правовой грамотности и осведомление населения о потенциальном
статусе оператора данных, о сущности и видах охраняемых Законом данных позволит, на
наш взгляд, минимизировать количество совершаемых утечек.
Наконец, обработка персональных данных оператором на рабочем месте предполагает
целый ряд комплексных мер, причем со стороны как работодателя, так и работника. Считаем, что введение ежемесячной отчетности в компании или организации, осуществляющей
обработку данных потребителей или работников, позволит минимизировать количество нарушений, связанных с утечкой данных.
Например, за «оператором» на рабочем месте может быть закреплена обязанность фик-сации с помощью специальной компьютерной программы всех действий, совершаемых на
компьютере. Причем угроза потенциальной ответственности работодателя за риск вторжения
в частную жизнь работника в случае, если последний занят неделовым общением в рабочее
время, может быть ликвидирована следующим образом: во-первых, работник должен быть
письменно предупрежден о записи всех действий компьютера, о сдаче отчетности; во-вто-рых, компьютер должен быть предоставлен работодателем за свой счет, в таком случае иму-щество будет не в личном распоряжении работника. Указанные аналогичные механизмы ус-тановлены ст. 214.2 Трудового кодекса Российской Федерации1 и позволяют вести запись
рабочего места работника.
Мы же предлагаем, в свою очередь, вести запись всех действий и совершаемых алго-ритмов в самом компьютере. Сдача отчетности о произведенных действиях возможна с помощью уже существующих программ: средство записи действий на базе ОС Windows, а также дополнительных программ. Отслеживаемая информация позволит выявить возможную
утечку данных.
Список источников
1. Тарасова Ю. И., Плугарь Д. М. Некоторые проблемы законодательного регулирования защиты
персональных данных // КриминалистЪ. 2023. № 3 (44). С. 126–132. URL: https://cyberleninka.ru/
article/n/nekotorye-problemy-zakonodatelnogo-regulirovaniya-zaschity-personalnyh-dannyh (дата обращения: 30.09.2024).
2. Унижаев Н. В. Особенности моделирования угроз безопасности персональных данных для
обеспечения достаточного уровня защищенности // Вопросы инновационной экономики. 2022. Т. 12.
№ 1. С. 95–110. https://doi.org/10.18334/vinec.12.1.114335.
3. Ипполитова А. Ответственность за утечки персональных данных предложено распределить
и смягчить // Газета.Ru : сайт. URL: https://www.gazeta.ru/social/news/2024/02/06/22271887.shtml (дата
обращения: 06.02.2024).
4. Овчинникова Ю. Аналитики оценили рост утечек персональных данных в России // РБК : сетевое изд. URL: https://www.rbc.ru/society/11/03/2024/65ec41e89a7947dc41bd43f9 (дата обращения: 06.02.2024).
5. Салон эпиляции в Щелково проверят из-за жалоб на видеокамеры // Известия : сайт. URL: https://iz.ru/1661556/2024-03-07/salon-epiliatcii-v-shchelkovo-proveriat-iz-za-zhalob-na-videokamery (дата
обращения: 06.02.2024).
1 Трудовой кодекс Российской Федерации от 30 дек. 2001 г. № 197-ФЗ (ред. от 8 авг. 2024 г.) // Собр. законодательства Рос. Федерации.
2002. № 1 (ч. I). Ст. 3.
50
ЮРИСПРУДЕНЦИЯ
6. Алихаджиева И. С. О новых способах совершения преступлений с использованием персональных
данных // Вестник Прикамского социального института. 2024. № 1 (97). C. 22–30. EDN: BCPCKB.
7. Иншакова А. О., Тымчук Ю. А. Охрана персональных данных пациентов при оказании ме-дицинской помощи (услуг) с применением телемедицинских технологий // Lex russica. 2024. Т. 77.
№ 7. С. 19–29. https://doi.org/10.17803/1729-5920.2024.212.7.019-029.
8. Чернышова Е. Банки выступили против штрафов до 500 млн руб. за утечки данных // РБК : сетевое изд. URL: https://www.rbc.ru/finances/08/02/2024/65c239029a7947176f348528 (дата обращения: 08.02.2024).
References
1. Tarasova Y. I., Plugar D. M. Nekotorye problemy zakonodatel’nogo regulirovaniya zashchity personal’nykh dannykh [Some problems of legislative regulation of personal data protection]. Criminalist, 2023, no. 3 (44), pp. 126–132. (In Russ.). Available at: https://cyberleninka.ru/article/n/nekotorye-problemy-zakonodatelnogo-regulirovaniya-zaschity-personalnyh-dannyh (accessed 30.09.2024).
2. Unizhaev N. V. Osobennosti modelirovaniya ugroz bezopasnosti personal’nykh dannykh dlya obe-specheniya dostatochnogo urovnya zashchishchennosti [Features of modeling threats to the security of personal data to ensure a sufficient level of security]. Voprosy Innovatsionnoy Ekonomiki, 2022, vol. 12, no. 1, pp. 95–110. https://doi.org/10.18334/vinec.12.1.114335.
3. Ippolitova A. Otvetstvennost’ za utechki personal’nykh dannykh predlozheno raspredelit’ i smyag-chit’ [Responsibility for the leakage of personal data is proposed to be distributed and mitigated]. (In Russ.).
Available at: https://www.gazeta.ru/social/news/2024/02/06/22271887.shtml (accessed 06.02.2024).
4. Ovchinnikova Yu. Analitiki otsenili rost utechek personal’nykh dannykh v Rossii [Analysts have assessed the growth of personal data leaks in Russia]. (In Russ.). Available at: https://www.rbc.ru/society/11/
03/2024/65ec41e89a7947dc41bd43f9 (accessed 06.02.2024).
5. Salon epilyatsii v Shchelkovo proveryat iz-za zhalob na videokamery [Epilation salon in Shchelkovo will be checked due to complaints about video cameras]. (In Russ.). Available at: https://iz.ru/
1661556/2024-03-07/salon-epiliatcii-v-shchelkovo-proveriat-iz-za-zhalob-na-videokamery (accessed
06.02.2024).
6. Alikhadzhieva I. S. O novykh sposobakh soversheniya prestupleniy s ispol’zovaniem personal’nykh dannykh [About new ways of committing crimes using personal data]. Bulletin of Prikamsky Social Institute, 2024, no. 1 (97), pp. 22–30. (In Russ.). EDN: BCPCKB.
7. Inshakova A. O., Tymchuk Yu. A. Okhrana personal’nykh dannykh patsientov pri okazanii med-itsinskoy pomoshchi (uslug) s primeneniem telemeditsinskikh tekhnologiy [Patients’ personal data protection in providing medical care (services) using telemedicine technologies]. Lex russica, 2024, vol. 77, no. 7, pp. 19–29. (In Russ.). https://doi.org/10.17803/1729-5920.2024.212.7.019-029.
8. Chernyshova E. Banki vystupili protiv shtrafov do 500 mln rub. za utechki dannykh [Banks op-posed fines of up to 500 million rubles for data leaks]. (In Russ.). Available at: https://www.rbc.ru/
finances/08/02/2024/65c239029a7947176f348528 (accessed 08.02.2024).
Информация об авторе
А. С. Мхитарян – преподаватель Западно-Уральского института экономики и права.
Information about the author
A. S. Mkhitaryan – Senior Lecturer, West Ural Institute of Economics and Law.
Статья поступила в редакцию 26.09.2024; одобрена после рецензирования 11.10.2024; принята к публикации 12.10.2024.
The article was submitted 26.09.2024; approved after reviewing 11.10.2024; accepted for publication 12.10.2024.
