Фактическая защищенность персональных данных на предприятиях с различными формами собственности

Наталья Самойлова
Юрист ООО "ИнфоТехноПроект"

Реализация требований российского законодательства в сфере персональных данных, флагманом которого считается Федеральный закон "О персональных данных" (далее - ФЗ № 152), является предметом исследования многих специализированных организаций. Так, одной из ведущих национальных аудиторских и консалтинговых фирм было проведено исследование среди российских организаций и российских подразделений международных организаций (в основном коммерческих), чтобы ответить на вопрос: какова же ситуация с защитой персональных данных в компаниях?

Согласно результатам проведенного исследования, 43% корреспондентов считают: существующая система защиты исключает возможность несанкционированного доступа, но они не уверены, что исключены избыточные права доступа к обрабатываемым персональным данным.

Организационные мероприятия, связанные с анализом и внесением изменений в бизнес-процессы, проведением обучения сотрудников, разработкой внутренних документов, реализованы менее чем у 30% опрошенных.

К сожалению, на сегодняшний день столь низкие показатели защищенности персональных данных в нашей стране вряд ли кого-то удивляют...

Какова ситуация?

Основное различие между операторами персональных данных, являющимися государственными органами или учреждениями, и коммерческими организациями заключается в следующем. Если первые обрабатывают персональные данные на основании федерального закона, устанавливающего его цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, то согласно п. 1 ч. 2 ст. 6 ФЗ № 152, согласия субъектов на такую обработку не требуется. Наглядным примером такого федерального закона является Трудовой кодекс Российской Федерации, который в гл. 14 как раз закрепляет цель и условия получения персональных данных субъектов-работников, а также полномочия оператора-работодателя по обработке персональных данных.

Тем не менее некоторые государственные учреждения не соотносят положения ФЗ № 152 с требованиями отраслевого законодательства, в которых закреплена обязанность по сбору и хранению определенного перечня персональных данных, что избавляет их от получения согласия значительного количества субъектов. Например, на семинаре, проведенном Роскомнадзором 14-15 октября 2009 года в городе Ростов-на-Дону, представители органов ЗАГС интересовались, необходимо ли их сотрудникам брать согласие на обработку персональных данных граждан. Ответить на этот вопрос можно, заглянув в Федеральный закон от 15 ноября 1997 года № 143-ФЗ "Об актах гражданского состояния", который закрепляет тот перечень персональных данных, который органы ЗАГС должны обрабатывать в силу его требований. А значит, и согласие граждан на регистрацию актов гражданского состояния брать не нужно.

Еще одно отличие содержится в ч. 2 ст. 13 ФЗ № 152, в которой законодатель закрепил возможность установления особенностей учета персональных данных в государственных информационных системах персональных данных федеральными законами. В качестве примера можно привести Федеральный закон от 10 января 2003 года № 20-ФЗ "О Государственной автоматизированной системе Российской Федерации "Выборы", регулирующий отношения, которые возникают при ее использовании, в том числе: при подготовке и проведении выборов и референдума, при эксплуатации и развитии ГАС "Выборы". В то же время стоит отметить, что создана ГАС "Выборы" была во исполнение Указа Президента Российской Федерации от 23 августа 1994 года № 1723 "О разработке и создании Государственной автоматизированной системы Российской Федерации "Выборы".

Еще одним примером служит государственная информационная система миграционного учета, содержание которой определено в Федеральном законе от 18 июля 2006 г. № 109-ФЗ "О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации". При этом основа формирования государственной информационной системы миграционного учета закреплена не на уровне федерального закона, а в постановлении Правительства Российской Федерации от 14 февраля 2007 года № 94 "О государственной информационной системе миграционного учета". Таким образом, определение в федеральных законах лишь общих тезисов о государственных информационных системах персональных данных и отсутствие именно особенностей учета в них персональных данных создает проблемы при реализации операторами положений ФЗ № 152.

В остальном обязанности операторов по выполнению требований ФЗ № 152, закрепленные в гл. 4 этого закона, для всех организаций одинаковые.

Пора определиться!

Показатель озабоченности государственных органов и учреждений проблемой защиты персональных данных государственных служащих на данный момент невысок: по истечении трех лет со дня принятия ФЗ № 152 лишь 12 федеральных органов исполнительной власти из 87 утвердили положения о порядке обработки персональных данных государственных служащих.

Возможно, это объясняется следующим: на данный момент еще не сложилось единственного верного толкования понятийного аппарата сферы персональных данных. Такие термины, как "персональные данные", "обработка персональных данных", до сих пор по-разному понимаются и применяются операторами. В связи с этим вопросы, которые задаются операторами на тематических конференциях и семинарах, стали более конкретными. Некоторые из них даже носят претензионный характер: мол, на выполнение требований закона не заложили бюджет, или осталось слишком мало времени, чтобы наладить организацию работы с персональными данными.

Персональные данные в нашей стране не случайно были выделены в отдельную категорию конфиденциальной информации. Цель такого выделения - защита прав и свобод человека и гражданина (ст. 2 ФЗ № 152). Тем не менее коммерческие организации довольно часто отождествляют понятия "защита информации" и "защита персональных данных". При этом совершенно очевидно, что выполнение требований по защите информации не позволит в полной мере защитить персональные данные субъектов. Поэтому операторы критикуют документы ФСТЭК России и ФСБ России, ставят под сомнение необходимость их выполнения по причине, например, того, что они не зарегистрированы в Минюсте России.

В условиях распространившейся паники в преддверии 1 января 2010 г., утрируя требования ФЗ № 152 по применению организационных и технических мер защиты персональных данных, а также не предпринимая попыток применения закона в соотнесении с нормами отраслевых нормативных правовых актов, операторы существенно усложняют свое положение. Указываемые организациями в свою защиту причины - например, затратность построения системы защиты персональных данных - не стыкуются с очевидными фактами: расходы на "нетехническую" защиту под силу абсолютно любой организации, а обязанность применения дорогостоящих крип-тосредств, согласно документам ФСБ России, на операторов не возложена.

Факт того, что после парламентских слушаний, прошедших в Государственной думе Российской Федерации 20 октября 2009 года, вопрос о переносе сроков приведения информационных систем персональных данных в соответствие с требованиями ФЗ № 152 остался открытым, позволяет думать: к концу, например, следующего года ситуация с обработкой и защитой персональных данных в нашей стране не изменится. Как говорится, "у победы много родителей, поражение - всегда сирота", поэтому самая удобная позиция, которую наверняка займут операторы (и государственные учреждения, и коммерческие организации) после переноса сроков, - не брать на себя ответственность, пока не станет ясно, стоит ли того результат.

Таким образом, получается: подписав "Конвенцию о защите физических лиц при автоматизированной обработке персональных данных", с одной стороны, мы не хотим отставать от европейских стран по политическим, экономическим, социальным показателям, а с другой - сами же противимся нововведениям, способным повысить уровень защищенности персональных данных в нашей стране!

Может быть, пора определиться?!