АРОС перелопатила данные
Ассоциация региональных операторов связи (АРОС) направила в Минкомсвязи и Государственную думу предложения по изменению ФЗ "О персональных данных", которые должны заставить его заработать в полной мере. Кроме того, предлагаемые поправки помогут, по мнению представителей АРОС, привести закон в соответствие с правилами европейского регулирования в сфере персональных данных.
По мнению представителей АРОС, закон о защите персональных данных, принятый почти пять лет назад, до сих пор не заработал в полной мере.
Напомним, что летом 2006 г. был принят, а в январе следующего года вступил в силу ФЗ №152 "О персональных данных". Однако из-за непроработанности ряда положений он практически не работал вплоть до весны 2009 г. В соответствии с постановлением правительства РФ от 16 марта 2009 г. №228 уполномоченным органом по защите прав субъектов персональных данных была определена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Разработанные технические требования к информационным системам персональных данных (ИСПДн) должны были вступить с силу с 1 января 2010 г., однако рынок оказался к этому не готов. В декабре 2009 г. Госдума в спешном порядке приняла ФЗ №363 "О внесении изменений в ст. 19 и 25 ФЗ "О персональных данных", в соответствии с которым срок вступления в силу ИСПДн был перенесен на 1 января 2011 г. (см. статью в журнале "Стандарт" №11 (94) за ноябрь 2010 г.). 23 декабря прошлого года ФЗ "О персональных данных" подвергся еще одному изменению. Согласно принятым тогда поправкам к закону (№359-ФЗ) "информационные системы, созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями настоящего ФЗ не позднее 1 июля 2011 г.", сам же закон с последними поправками действителен с января этого года.
"ФЗ №152 нуждается не просто в доработке и косметических поправках, а в коренной переработке", - прокомментировал инициативу АРОС директор по развитию бизнеса системного интегратора "Информзащита" Михаил Емельянников. "Закон о персональных данных в его нынешнем виде практически не работает, по сути он разбился об административные барьеры, им же самим установленные, - уверен президент АРОС Юрий Домбровский. - Изначально идея закона была в том, чтобы упорядочить и повысить эффективность работы всего множества участников системы обработки персональных данных и тем самым защитить права каждого гражданина в этой сфере. Однако в результате излишняя регламентация и администрирование создали ситуацию, при которой для запуска закона необходимо регламентировать такие сферы и виды деятельности, которые никогда и никем не были регламентированы".
Избыточное администрирование отношений в сфере защиты персональных данных АРОС называет ключевой проблемой закона. В частности, согласно закону правительство РФ должно разработать требования абсолютно ко всем информационным системам, обрабатывающим персональные данные (п. 2 ст. 19 ФЗ), включая как государственные, так и коммерческие системы. При этом введенное законом определение "оператор персональных данных" (п. 2 ст. 3 ФЗ) распространяет его на сотни тысяч учреждений социальной сферы, транспорта, образования, а также на государственные и частные, коммерческие и некоммерческие предприятия, общественные организации. "Для каждого вида деятельности государство должно установить требования исходя из его специфики, а затем контролировать их выполнение. Задача практически невыполнимая, учитывая сложность предмета регулирования", - утверждает пресс-служба АРОС.
Прежде всего АРОС предлагает разделить субъектов обработки персональных данных на государственные и негосударственные (коммерческие) структуры.
"В первом случае - для государственных информационных систем - логично установить компетентным государственным органам требования для обработки персональных данных. Гражданин, даже давая согласие на обработку персональных данных госструктурами, действует безальтернативно. Поэтому целесообразно, чтобы для госорганов или иных организаций, оказывающих населению госуслуги, требования к защите доверенных им персональных данных устанавливались государством", - поясняет пресс-служба АРОС. По мнению представителей ассоциации, такой подход соответствует и европейскому пониманию защиты интересов граждан в этой сфере.
В случае же когда потребитель вступает в отношения с коммерческими организациями, действующими в условиях рынка, он самостоятельно делает выбор и принимает решение о надежности защиты ими его персональных данных. "Соответственно, полная регламентация действий оператора персональных данных по их защите здесь избыточна", - поясняет пресс-служба АРОС. Специалист юридической компании "Пепеляев Групп" Наталья Иващенко к идее разделения субъектов обработки персональных данных на государственные и коммерческие структуры относится с осторожностью. "Не каждый потребитель может профессионально и квалифицированно разобраться с системой защиты персональных данных конкретного оператора и принять правильное решение", - говорит она.
Кроме того, ассоциация предлагает уточнить само понятие "персональные данные". Сейчас под ними подразумевается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его имя, дата и место рождения, адрес, семейное, имущественное, социальное положение, образование, профессия, доходы и т.д. Такое определение, по мнению ассоциации, приводит к противоречию ряда норм закона ч. 1 ст. 24 Конституции РФ, запрещающей обработку информации о частной жизни лица без его согласия.
Представители АРОС указывают, что переработки требует и устанавливаемый законом запрет на обработку биометрических персональных данных граждан без их согласия (п. 1 ст. 11 ФЗ), при том что к таким данным могут быть отнесены фото- или видеоизображения, как индивидуальные, так и сделанные в толпе. "Такое категоричное регулирование не учитывает права и законные интересы других лиц, включая конституционное право на получение информации", - заключает пресс-служба АРОС.
Как рассказал в беседе с репортером ComNews Михаил Емельянников, целый ряд предложений АРОС уже содержится в законопроекте, внесенном председателем комитета Госдумы по финансовому рынку Владиславом Резником, который после первого чтения 5 мая 2010 г. увяз в согласованиях и поправках. "Это касается, например, обязательности требований только для государственных систем и определением уровня защищенности в коммерческих системах договором между оператором и субъектом, ряда других положений", - отметил директор по развитию бизнеса компании "Информзащита".
По мнению Емельянникова, внесение изменений в ФЗ №152 без пересмотра других законодательных актов не даст какого-либо существенного эффекта и не заставит закон работать: "Если не изменится в более жесткую сторону ответственность за утечку персональных данных, уже завтра в договорах коммерческих организаций с физическими лицами появится строка "Абонент (пациент, покупатель, клиент и т.п.) согласен с уровнем защиты его персональных данных, установленным оператором". А при утечке данных не потребуется даже легкого испуга, так как штраф, налагаемый в соответствии со ст. 13.11 Кодекса РФ об административных правонарушениях, никого не пугает даже сегодня". Кроме того, закон оставляет вне правового поля интернет-торговлю в ее нынешнем виде.
"Неисполнимы требования не самого закона, а подзаконных актов к нему. Поправками в закон эту проблему решить затруднительно, - уверен главный аналитик компании InfoWatch (выпускает средства предотвращения утечки конфиденциальной информации) Николай Федотов. - Упомянутые в предложениях АРОС деструктивные административные барьеры действительно не позволяют развиваться современным информационным технологиям".
По мнению представителей АРОС, закон о защите персональных данных, принятый почти пять лет назад, до сих пор не заработал в полной мере.
Напомним, что летом 2006 г. был принят, а в январе следующего года вступил в силу ФЗ №152 "О персональных данных". Однако из-за непроработанности ряда положений он практически не работал вплоть до весны 2009 г. В соответствии с постановлением правительства РФ от 16 марта 2009 г. №228 уполномоченным органом по защите прав субъектов персональных данных была определена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Разработанные технические требования к информационным системам персональных данных (ИСПДн) должны были вступить с силу с 1 января 2010 г., однако рынок оказался к этому не готов. В декабре 2009 г. Госдума в спешном порядке приняла ФЗ №363 "О внесении изменений в ст. 19 и 25 ФЗ "О персональных данных", в соответствии с которым срок вступления в силу ИСПДн был перенесен на 1 января 2011 г. (см. статью в журнале "Стандарт" №11 (94) за ноябрь 2010 г.). 23 декабря прошлого года ФЗ "О персональных данных" подвергся еще одному изменению. Согласно принятым тогда поправкам к закону (№359-ФЗ) "информационные системы, созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями настоящего ФЗ не позднее 1 июля 2011 г.", сам же закон с последними поправками действителен с января этого года.
"ФЗ №152 нуждается не просто в доработке и косметических поправках, а в коренной переработке", - прокомментировал инициативу АРОС директор по развитию бизнеса системного интегратора "Информзащита" Михаил Емельянников. "Закон о персональных данных в его нынешнем виде практически не работает, по сути он разбился об административные барьеры, им же самим установленные, - уверен президент АРОС Юрий Домбровский. - Изначально идея закона была в том, чтобы упорядочить и повысить эффективность работы всего множества участников системы обработки персональных данных и тем самым защитить права каждого гражданина в этой сфере. Однако в результате излишняя регламентация и администрирование создали ситуацию, при которой для запуска закона необходимо регламентировать такие сферы и виды деятельности, которые никогда и никем не были регламентированы".
Избыточное администрирование отношений в сфере защиты персональных данных АРОС называет ключевой проблемой закона. В частности, согласно закону правительство РФ должно разработать требования абсолютно ко всем информационным системам, обрабатывающим персональные данные (п. 2 ст. 19 ФЗ), включая как государственные, так и коммерческие системы. При этом введенное законом определение "оператор персональных данных" (п. 2 ст. 3 ФЗ) распространяет его на сотни тысяч учреждений социальной сферы, транспорта, образования, а также на государственные и частные, коммерческие и некоммерческие предприятия, общественные организации. "Для каждого вида деятельности государство должно установить требования исходя из его специфики, а затем контролировать их выполнение. Задача практически невыполнимая, учитывая сложность предмета регулирования", - утверждает пресс-служба АРОС.
Прежде всего АРОС предлагает разделить субъектов обработки персональных данных на государственные и негосударственные (коммерческие) структуры.
"В первом случае - для государственных информационных систем - логично установить компетентным государственным органам требования для обработки персональных данных. Гражданин, даже давая согласие на обработку персональных данных госструктурами, действует безальтернативно. Поэтому целесообразно, чтобы для госорганов или иных организаций, оказывающих населению госуслуги, требования к защите доверенных им персональных данных устанавливались государством", - поясняет пресс-служба АРОС. По мнению представителей ассоциации, такой подход соответствует и европейскому пониманию защиты интересов граждан в этой сфере.
В случае же когда потребитель вступает в отношения с коммерческими организациями, действующими в условиях рынка, он самостоятельно делает выбор и принимает решение о надежности защиты ими его персональных данных. "Соответственно, полная регламентация действий оператора персональных данных по их защите здесь избыточна", - поясняет пресс-служба АРОС. Специалист юридической компании "Пепеляев Групп" Наталья Иващенко к идее разделения субъектов обработки персональных данных на государственные и коммерческие структуры относится с осторожностью. "Не каждый потребитель может профессионально и квалифицированно разобраться с системой защиты персональных данных конкретного оператора и принять правильное решение", - говорит она.
Кроме того, ассоциация предлагает уточнить само понятие "персональные данные". Сейчас под ними подразумевается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его имя, дата и место рождения, адрес, семейное, имущественное, социальное положение, образование, профессия, доходы и т.д. Такое определение, по мнению ассоциации, приводит к противоречию ряда норм закона ч. 1 ст. 24 Конституции РФ, запрещающей обработку информации о частной жизни лица без его согласия.
Представители АРОС указывают, что переработки требует и устанавливаемый законом запрет на обработку биометрических персональных данных граждан без их согласия (п. 1 ст. 11 ФЗ), при том что к таким данным могут быть отнесены фото- или видеоизображения, как индивидуальные, так и сделанные в толпе. "Такое категоричное регулирование не учитывает права и законные интересы других лиц, включая конституционное право на получение информации", - заключает пресс-служба АРОС.
Как рассказал в беседе с репортером ComNews Михаил Емельянников, целый ряд предложений АРОС уже содержится в законопроекте, внесенном председателем комитета Госдумы по финансовому рынку Владиславом Резником, который после первого чтения 5 мая 2010 г. увяз в согласованиях и поправках. "Это касается, например, обязательности требований только для государственных систем и определением уровня защищенности в коммерческих системах договором между оператором и субъектом, ряда других положений", - отметил директор по развитию бизнеса компании "Информзащита".
По мнению Емельянникова, внесение изменений в ФЗ №152 без пересмотра других законодательных актов не даст какого-либо существенного эффекта и не заставит закон работать: "Если не изменится в более жесткую сторону ответственность за утечку персональных данных, уже завтра в договорах коммерческих организаций с физическими лицами появится строка "Абонент (пациент, покупатель, клиент и т.п.) согласен с уровнем защиты его персональных данных, установленным оператором". А при утечке данных не потребуется даже легкого испуга, так как штраф, налагаемый в соответствии со ст. 13.11 Кодекса РФ об административных правонарушениях, никого не пугает даже сегодня". Кроме того, закон оставляет вне правового поля интернет-торговлю в ее нынешнем виде.
"Неисполнимы требования не самого закона, а подзаконных актов к нему. Поправками в закон эту проблему решить затруднительно, - уверен главный аналитик компании InfoWatch (выпускает средства предотвращения утечки конфиденциальной информации) Николай Федотов. - Упомянутые в предложениях АРОС деструктивные административные барьеры действительно не позволяют развиваться современным информационным технологиям".
Ещё новости по теме:
18:20