Закон "О персональных данных": старые песни о главном

В 2009 г. многие операторы информационных систем ПДн в России всерьез столкнулись с проблемой приведения процесса обработки ПДн своих клиентов и работников в соответствие с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных" и требованиями контролирующих органов по обеспечению их защиты.

Проверки, которые активно начали проводить Роскомнадзор и ФСТЭК России в плановом порядке и по жалобам клиентов, обернулись для многих операторов информационных систем ПДн настоящей головной болью: требования закона исполнять надо, но исполнить их в полном объеме невозможно. Сам Закон "О персональных данных" (далее - Закон) содержит ряд неоднозначных и противоречивых требований к сбору, передаче, обработке, хранению и уничтожению информации, выполнить которые большинство операторов информационных систем ПДн просто не в состоянии.

Противоречия

В первую очередь это касается требования Закона о получении письменного согласия субъекта ПДн на обработку его персональных данных, что не всегда представляется возможным, например, для следующих категорий граждан:

• клиенты, информация от которых получена дистанционно по сети Интернет;
• клиенты, вступившие в договорные отношения до вступления в силу Закона;
• отправители и получатели платежей и денежных переводов;
• посетители, которым оформлялись разовые и временные пропуска.

Не менее сложно выполнить требования Закона об уведомлении субъектов ПДн об уничтожении их персональных данных. Для крупных операторов, с большим количеством информационных систем обработки ПДн, автоматизация процесса формирования и отправки уведомлений об уничтожении персональных данных является сложной и дорогостоящей задачей, решение которой может затянуться на годы.

Кроме того, совершенно непонятно, зачем субъекту ПДн уведомление от оператора о том, что его персональные данные уничтожены. Вероятнее всего, большинство клиентов просто не поймет, для чего им направлено такое уведомление, и начнут обращаться за разъяснениями, в результате значительно возрастет нагрузка на операторов. Что будет делать сам субъект ПДн с уведомлениями, что его персональные данные уничтожены в банке, гостинице, Интернет-магазине, авиакомпании, ОАО "Российские железные дороги" и т.п., остается только догадываться.

Законом жестко предписывается операторам информационных систем ПДн уничтожать персональные данные в трехдневный срок по достижении целей их обработки. Многие операторы для обработки ПДн используют десятки различных информационных систем, каждая из которых решает свои задачи. Таким образом, каждая система должна автоматически определять дату достижения цели обработки ПДн, автоматическую актуализацию этой даты в случае изменения сроков достижения целей обработки (например, в результате пролонгации кредитов, депозитов, получения новых кредитных карт и т.п.) и автоматическое удаление ПДн после достижения целей обработки. Для   решения  такой  задачи оператору необходимо будет доработать все информационные системы, что является очень сложной и дорогостоящей задачей, на реализацию которой потребуется не один год.

Уничтожив персональные данные клиентов, например, в банке, существенно осложним деятельность правоохранительных органов по расследованию экономических и других преступлений.

И даже осуществление подобных доработок не обеспечит уничтожение ПДн после достижения целей их обработки, так как ведется резервное копирование всех информационных систем, а удалять ПДн из резервных копий технически невозможно. Поэтому персональные данные будут сохраняться в резервных копиях, и в случае восстановления информационной системы из резервной копии удаленные персональные данные будут также восстанавливаться.

Содержатся в Законе и другие неясные положения и противоречия, связанные с трансграничной передачей ПДн, особенностями принятия решений на основании исключительно автоматизированной обработки ПДн, порядком представления субъекту персональных данных сведений о лицах, которые имеют доступ к его ПДн, а также непосредственно его доступа к собственным ПДн, которые затрудняют его практическую реализацию.

Отсрочка на год

В определенный Законом срок к 1 января 2010 г. выполнить все требования самого Закона и нормативных документов контролирующих органов подавляющее большинство операторов информационных систем персональных данных выполнить не смогли.
В этих условиях та "отсрочка" еще на один год (до 1 января 2011 г.), которую предоставил операторам информационных систем ПДн Федеральный закон от 27.12.2009 г. № 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" для приведения своих информационных систем персональных данных, созданных до 1 января 2010 г., в соответствие с требованиями Федерального закона "О персональных данных" вряд ли принесет те положительные результаты, на которые можно было бы рассчитывать.

Естественно, что законодатель преследовал благие цели, давая еще один год на проведение организационных и технических мероприятий, направленных на защиту ПДн российских граждан. Несомненно, какой-то положительный эффект от переноса сроков будет, так как ряд операторов осуществит те мероприятия, которые можно реально выполнить (разработать нормативные документы, модель угроз, провести классификацию систем, назначить ответственных за безопасность и т.д.).

С другой стороны, предоставленная "отсрочка" не решает всех вопросов, стоящих перед операторами ПДн, связанных с требованиями самого Закона и требованиями регуляторов (прежде всего, ФСТЭК России). Неясности и противоречия остались, и будут ли они разрешены и когда, никто не знает.

Требования к операторам персональных данных со стороны ФСТЭК России включают такие высокозатратные механизмы государственного регулирования, как лицензирование деятельности по технической защите информации, сертификацию средств защиты информации, аттестацию информационных систем персональных данных, для реализации которых у большинства операторов нет достаточных материальных и трудовых ресурсов. Особенно это касается бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса. Да и крупные банки, страховые компании и т.п. "богатые" операторы не могут позволить себе такие астрономические расходы.

Остается надеяться

В целом следует признать, что закон "О персональных данных" настолько несовершенен, что вносить в него изменения не имеет смысла. Продуктивнее было бы разработать и принять новый закон, отменив действующий. По аналогии с тем, как поступили с законом от 10.01.2002 г. № 1-ФЗ "Об электронной цифровой подписи" (в настоящее время Государственная дума рассматривает новый закон "Об электронной цифровой подписи", но не поправки в действующий).

Закон "О персональных данных" в существующем виде вносит дисбаланс в сторону интересов субъектов ПДн, позволяя влиять на деятельность операторов, а подзаконные нормативные акты сформировали чрезвычайно затратный, запутанный, противоречивый механизм, не учитывающий ни особенности обработки ПДн в различных сферах деятельности, ни возможности оператора по обеспечению установленных требований, ни соразмерность требований возможному размеру ущерба субъекту ПДн.

Остается надеяться, что законодатель сможет более четко и непротиворечиво сформулировать требования по обработке ПДн, уточнить определение ПДн, ранжировать их по степени критичности, а также определить, как их следует защищать. Защищать от преступников, от мошенников, от недобросовестных пользователей, которые их крадут, продают и используют с преступными целями.