Защита персональных данных: проблемы операторов

Елена Голованова,
генеральный директор компании "ИнфоТехноПроект"

27 ИЮЛЯ 2006 г. был принят Федеральный закон "О персональных данных". 27 января 2007 г. (за исключением отдельных положений) он вступил в силу. С 1 января 2008 г. деятельность операторов считается легализованной при наличии их регистрации в реестре, который ведется Уполномоченным органом по защите прав субъектов персональных данных. Уже предусмотрена уголовная и административная ответственность за нарушение положений данного закона.

По российской традиции действующее законодательство не всегда учитывает положение реальных дел. Так стало и с компаниями, чья деятельность связана с персональными данными.

В соответствии с законом такие компании получили статус операторов. Что же из этого следует?

На них возложены дополнительные обязанности, включая обязанность по направлению уведомления о начале обработки персональных данных. С этого, собственно, и начинается получение статуса оператора. К ним будут предъявляться дополнительные требования, в частности, по принятию мер, которые оператор обязуется осуществлять по обеспечению безопасности персональных данных при их обработке.

Оператор должен выполнять требования закона. Это справедливо. В наше время стремительного развития информационных технологий защита персональных данных важна и актуальна как никогда. Однако степень важности и актуальности регулируемой государством сферы в целом и   эффективности    государственного регулирования в частности может быть повышена, если государство не только воспользуется средствами принуждения для проведения стратегической линии в определенной сфере, но и, применяя эти же средства, окажет поддержку тем субъектам, к которым предъявляет дополнительные требования.

Что же получается сегодня?

Получив статус оператора, компания попадает в реестр, в котором в полной мере будет освещена ее деятельность по работе с персональными данными. Количество операторов пока никто не пытался четко определить. Одно из мнений -посчитать их количество по Единому государственному реестру юридических лиц (ЕГРЮЛ). Однако не стоит забывать, что все они пока не выделяются из общей массы действующих на территории Российской Федерации юридических лиц. Отличительной чертой таких компаний будет их деятельность, связанная с обработкой персональных данных. Стоит отметить, что до настоящего времени законодательного требования по выделению работы с персональными данными как самостоятельного вида деятельности или вида деятельности, сопутствующего основному, нет. И в описании иных видов деятельности Общероссийского классификатора видов экономической деятельности также обработка персональных данных не упоминается.

Законом предусмотрен и определен уполномоченный орган по защите прав субъектов персональных данных, в функции которого входит проведение контроля и надзора за соответствием их обработки требованиям закона. В результате   проведения   мероприятий административной реформы функции уполномоченного органа возложены на Федеральную службу по надзору в сфере связи и массовых коммуникаций.

Три проверки на одного оператора

Одновременно определены федеральные органы исполнительной власти, на которые возложены функции по контролю и надзору за выполнением требований по технической защите персональных данных.

В настоящее время такими органами выступают Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и Федеральная служба безопасности Российской Федерации (ФСБ России).

В результате Федеральным законом определены три контрольно-надзорных органа в сфере персональных данных. Теоретически это означает три проверки в одной сфере на одного оператора. К сожалению, закон не определяет механизмов взаимодействия этих федеральных органов. Это первая проблема.

Как уполномоченному органу сформировать перечень объектов контроля?

Следуя логике закона, формируя механизмы реализации функции контроля, уполномоченный орган получит готовый перечень таких объектов, если откроет созданный им же реестр операторов персональных данных. По состоянию на сегодняшний день реестр содержит информацию о более 10 000 компаниях, осуществляющих обработку персональных данных.

Таким образом, компания, легализуя свою деятельность в качестве оператора персональных данных, автоматически попадает в зону постоянного риска, являясь потенциальным и постоянным объектом контроля и надзора со стороны трех ранее упомянутых уполномоченных органов.

Если взять за основу точку зрения, что количество операторов приблизительно равно количеству компаний в ЕГРЮЛ, и затем вычесть из этого числа количество компаний, включенных в реестр операторов персональных данных, то вывод напрашивается сам собой.

Все остальные компании заняли выжидательную позицию в попытках уяснить практику применения Федерального закона "О персональных данных" и особенно негативные последствия, которые могут для них возникнуть.

Всех операторов можно условно разделить на три группы: крупные, средние и малые.

Крупные операторы, такие как, например, операторы связи, в большинстве своем уже подали уведомления и включены в реестр.

Малые операторы, согласно практике, самые законопослушные. Соблюдение требований законодательства - их единственное оружие при взаимодействии с государством. Кроме того, объем обрабатываемых ими персональных данных значительным не назовешь. Таким образом, в основном выжидают средние по размеру и по объему обрабатываемых персональных данных операторы, а их количество и является определяющим для формирования реестра операторов и для выявления объектов контроля.

В результате реестр формируется слишком медленно, и скорость его формирования зависит лишь от активности компаний, обрабатывающих персональные данные. Это вторая проблема, от решения которой напрямую зависит формирование перечня объектов контроля.

Решение проблемы

Решение проблемы формирования реестра, а частично и определения одной из категорий объектов контроля может быть следующим.

Поощряя определенным способом деятельность по регистрации в реестре операторов компаний, работающих с персональными данными, государство получит не только сознательное и добровольное соблюдение операторами требований закона, даже если это будет значить для них дополнительное расходование своих финансовых ресурсов, но и динамично формируемый реестр операторов персональных данных.

Какие это могут быть способы?

Самым очевидным способом может стать такая организация проведения контрольно-надзорных мероприятий, при которой они будут носить исключительно плановый характер. При этом проверка должна быть комплексной: включать изучение всего круга вопросов, подлежащих проверке, и входящих в компетенцию и уполномоченного органа, и ФСТЭК России, и ФСБ России. Учитывая количество операторов, уже внесенных в реестр, и его постоянное пополнение, частота проверочных мероприятий будет для таких операторов не столь обременительной, как это можно было бы предположить.

Еще одним способом может стать проведение Уполномоченным органом комплекса исследований, направленных на выявление законодательных или иных нормативных правовых актов, которые регулируют отдельные сферы деятельности, связанные с обработкой конфиденциальной информации, включая персональные данные. Руководствуясь сформированным перечнем таких актов можно определить круг операторов, осуществляющих деятельность в этих сферах.

Круг операторов

Так, одни организации действуют самостоятельно, регламентируя работу с персональными данными своими внутренними документами. Такие организации занимаются сбором персональных данных исключительно для своих внутренних нужд, и их вид деятельности не предусматривает необходимости передавать эти данные иным организациям. К ним, в основном, относятся юридические лица, вступившие в трудовые отношения с работником. Получаемая информация - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Порядок сбора, хранения и обработки данной информации определяется Трудовым кодексом Российской Федерации и локальными актами юридического лица. К этой же категории организаций можно отнести федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации.

Другим организациям приходится взаимодействовать друг с другом по вопросу передачи информации, в том числе и по передаче информации, содержащей персональные данные граждан. Ярким примером служит Федеральная налоговая служба. В соответствии с Налоговым кодексом Российской Федерации взаимодействие осуществляется между налоговыми органами, органами внутренних дел и государственных внебюджетных фондов, а также таможенными органами, их должностными лицами.

Классификация этих субъектов по принципу "работает один" или "работают во взаимодействии" поможет сформировать еще одну категорию объектов контроля. При этом все субъекты взаимодействия будут являться операторами персональных данных и попадать под контроль уполномоченных органов в области защиты персональных данных.

Следует отметить, что очень важно уполномоченным органам рассмотреть возможность внесения в действующие классификаторы типа ОКВЭД еще одного вида (или видов) деятельности, связанного с обработкой персональных данных. Изменение классификатора сделает необходимым включение нового вида деятельности в уставные документы вновь создаваемых компаний, а для Уполномоченного органа такое изменение классификатора будет означать автоматическое формирование перечня потенциальных объектов контроля.

ФСБ России и ФСТЭК России положили начало формированию нормативной технической базы в области защиты персональных данных. 17 ноября 2007 г. вышло постановление Правительства Российской Федерации "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". Во исполнение отдельных его положений ФСБ России, ФСТЭК России и Мининформсвязи России 13 февраля 2008 г. издан совместный приказ № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

6 июля 2008 г. утверждены требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. И ведь это только начало

Создание Ассоциации операторов персональных данных позволит аккумулировать практику применения федерального закона, организовать обмен опытом при организации деятельности по работе с персональными данными, формировать предложения по совершенствованию законодательства и устранению пробелов в правовом регулировании области персональных данных.

Для контролирующих органов ассоциация может стать средством доведения необходимой для операторов информации и даст возможность проведения разъяснительной и пропагандисткой деятельности в области защиты персональных данных.