Для решения проблемы защиты персональных данных Совет Европы еще в январе 1981 года разработал и ввел в действие конвенцию, присоединившись к которой любая страна берет на себя обязательство соблюдать права субъекта персональных данных (граждан), — кстати, присоединение к этой конвенции является одним из условий вступления России в ВТО. Наша страна это сделала еще в ноябре 2001 года, поэтому формально защита персональных данных в России осуществляется с марта 2002 года. Конвенция не противоречит праву на частную жизнь, прописанному в Конституции РФ, но фактически создана для его реализации.
Конвенция определяет базовые понятия по защите персональных данных, которым должны соответствовать национальные законодательные системы стран: «Государства — члены Совета Европы, подписывающие данный документ... принимая во внимание настоятельную необходимость усиления гарантий прав и основных свобод каждого человека, и в особенности права на неприкосновенность его этичной сферы, вызванную все возрастающим перемещением через границы персональных данных, обработанных с применением автоматизированных средств; … согласились со следующим...». И далее следует текст конвенции. Конвенция призвана сбалансировать права субъектов персональных данных на частную жизнь с возможностью свободного обмена информацией и определяет четыре базовых понятия: «персональные данные», «автоматизированная база данных», «автоматическая обработка» и «контролер базы данных». Данные хранятся в базе и обрабатываются контролером. Требования по защите персональных данных накладываются на контролера, а государство, присоединившееся к конвенции, должно следить за исполнением этих требований. При этом в конвенции указывается, что сбор данных должен соответствовать следующим требованиям:
- персональные данные должны быть получены и обработаны добросовестным и законным образом;
- они должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
- данные должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
- они должны быть точными и в случае необходимости обновляться;
- они должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.
При этом в конвенции также определены особые категории персональных данных: о национальной принадлежности, политических либо религиозных взглядах или иных убеждениях, данные о здоровье или сексуальной жизни, а также о судимостях. Эти данные должны обрабатываться с «особыми гарантиями» от государства. Видимо, подразумевается, что государство должно более тщательно контролировать контролеров соответствующих баз данных. Сейчас к конвенции присоединилось около трех десятков стран.
ФЗ-152
Конвенция действовала в России до 2007 года, когда в силу вступил федеральный закон № 152 «О персональных данных», опубликованный в июле 2006-го, но с отсрочкой вступления в 180 дней. Однако, как это бывает в российской законотворческой деятельности, ФЗ-152 скорее о запрете работы с персональными данными. С одной стороны, это соответствует духу европейской конвенции, которая призвана защитить граждан от сбора их персональных данных, но с другой — этим законом был сильно затруднен свободный обмен информацией. При этом формально была соблюдена буква конвенции — гипертрофированы права субъектов на контроль своих персональных данных и ограничены права контролера, который в российском законе был назван оператором. В частности, в конвенции есть пункт о праве субъекта персональных данных «быть осведомленным о существовании автоматизированной базы персональных данных, о ее главных целях, а также о контролере базы данных, его месте жительства либо юридическом адресе». Российские же законодатели потребовали от операторов, что, прежде чем начинать обработку персональных данных, им нужно получить от субъекта письменное согласие на обработку, однако далеко не всегда такое возможно, например при поступлении пациента в больницу без сознания. Это требование создавало определенные проблемы и у операторов, которые уже накопили базы клиентов и не знали, как получить от них разрешение на обработку.
Вторым перегибом ФЗ-152 была норма, предписывающая операторам в трехдневный срок уничтожать данные клиента, который заявил, что не давал согласия на обработку своих персональных данных. В результате системы защиты от мошенничества оказались вне закона, и в судах появилось множество исков к банкам от частных лиц, которые требовали удалить свои персональные данные из черных списков. Также операторам приходилось доказывать, что у них есть право на обработку персональных данных, даже если это простой справочник телефонов или сведения из бухгалтерии. Таким образом, у операторов оказались избыточные обременения, которые приводили не столько к большим финансовым расходам, сколько к физической невозможности исполнения требований подобного закона.
Впрочем, финансовые проблемы при реализации требований данного закона тоже оказались достаточно серьезными. Связаны они с техническими требованиями защиты данных, которые закон предъявляет к операторам данных. В конвенции и в ФЗ-152 сказано, что правительство страны, принявшей конвенцию, разрабатывает требования для операторов персональных данных. В России разработкой требований в основном занимался орган, отвечающий за государственную безопасность, — ФСБ. Как следствие, требования к операторам оказались примерно такими же, как и к государственным секретам. К гостайне российское государство приравняло те самые особые типы персональных данных, которые перечислены в конвенции. В результате медицинские учреждения, где хранятся сведения о здоровье, должны были защищаться, как секретные НИИ.
К счастью, первая версия закона так и не вступила в силу — по традиции закон обратной силы не имеет, поэтому законодатели предусмотрели отступление: хотя все новые информационные системы персональных данных должны соответствовать требованиям закона, но старые-то нужно переделывать. Поэтому законодатель предусмотрел срок переделки системы защиты под требования закона до 1 января 2010 года. На этот же срок были отодвинуты и плановые проверки. В результате с 2007-го по 2010 год, хотя ФЗ-152 и действовал, у государства не было механизма проверить его соблюдение. Причем когда срок подошел, то законодатели передвинули его еще на год, а потом еще на полгода, до 1 июля 2011 года. Все это косвенно подтверждает тот факт, что большинство информационных систем персональных данных, и особенно государственных, на тот момент не соответствовало предъявляемым самим же государством требованиям — несмотря на то, что расходы на приведение систем в соответствие с ФЗ-152 весьма значительны, средств под эту переделку из бюджета выделено не было.
В требованиях подзаконных актов первой редакции ФЗ-152 все операторы должны были использовать сертифицированные средства защиты, тем более если с их помощью защищались особые персональные данные. При этом само понятие «операторы персональных данных» оказалось настолько широким, что в него попали практически все предприятия — все они обязаны в соответствии с законодательством иметь данные хотя бы на своих сотрудников. А поскольку оператором может быть в том числе и физическое лицо, то по формальному описанию и всех владельцев мобильных телефонов можно отнести к операторам — в нем есть список контактов, которые позволяют идентифицировать контрагента. Граница между оператором или простым субъектом чисто функциональная — если база телефона используется для бизнеса, то тогда она является автоматизированной системой персональных данных. Однако понятно, что установить на мобильный телефон сертифицированную защиту не представляется возможным, поскольку такой защиты просто нет. Аналогичные проблемы возникли и у компаний — сертифицированных средств защиты на все случаи нет, да и тратить деньги на покупку новых защитных инструментов, которые отличаются от уже установленных только наличием сертификата, не все захотели бы. Поэтому многие компании с ужасом ждали полного вступления в силу ФЗ-152.
ФЗ-261
Многие надеялись, что окончательное вступление в силу ФЗ-152 перенесут еще, но произошло несколько по-другому — закон-таки вступил в полную силу, но оказалось, что это совсем другой закон. В июле 2011 года был принят закон ФЗ-261 о внесении изменений в ФЗ-152, и, хотя он был опубликован 27 июля 2011 года, в нем написано, что он фактически вступил в силу с 1 июля 2011 года. При этом возникла странная ситуация — поскольку закон обратной силы не имеет, то все системы защиты персональных данных, построенные до 1 июля 2011 года, должны соответствовать требованиям старого закона. В то же время новые системы, по идее, должны отвечать новым требованиям. Однако этих требований пока нет, поэтому опять не понятно, на соответствие каким требованиям будут проводиться проверки. Первая проверка Роскомнадзора показала, что пока регуляторы проверяют формальные признаки — наличие документов и ответственных лиц, причем в вину ставят пункты, которых не было в старой редакции закона, но они были в подзаконных актах.
ФЗ-261 настолько изменил всю ситуацию, что можно говорить о полной перезагрузке требований. Дело в том, что в старом законе технические требования не указаны — они были в подзаконных актах, а в новой версии закона появилась концепция так называемых уровней защищенности персональных данных. Поскольку в старом законе использовались классы ИСПДн, то созданные на их основе подзаконные акты с вступлением в силу ФЗ-261 просто выпали из правового поля. Для заполнения этого пробела правительство должно в трехмесячный срок выпустить новый набор подзаконных актов.
Что нового появилось в ФЗ-152 с вступлением в силу поправок ФЗ-261? Главное — добавилось еще одно действующее лицо, обеспечивающее обработку персональных данных по поручению оператора (сокращенно ЛООПДППО), то есть обработчик, который может быть как внутри организации, так и за ее приделами. Во втором случае это будет классический аутсорсер, которому оператор может передать персональные данные на обработку. Причем за утечки этих персональных данных по-прежнему отвечает оператор, а все требования по защите персональных данных должно выполнять ЛООПДППО в соответствии со специальным договором между ними. И согласие на такую схему от субъекта персональных данных получать не нужно.
Кроме того, значительно расширен список ситуаций, когда согласия субъекта на обработку персональных данных не требуется, а в некоторых случаях оператор может даже и не предупреждать субъекта, что его данные обрабатываются. Таким образом, системы защиты от мошенничества и различные черные списки вполне можно использовать в рамках новой редакции ФЗ-152. Впрочем, и само согласие субъекта теперь можно получать не только в виде собственноручной подписи, но и с помощью других аналогов. А поскольку совсем недавно, в апреле 2011-го, был принят ФЗ-63 «Об электронной подписи», то теперь появилась возможность собирать согласия в электронном виде, причем не только по сертификату, но и, например, с помощью простой формы электронной подписи, то есть по паролю или другому идентификатору. Также были увеличены сроки, в течение которых оператор должен предоставлять информацию и уничтожать данные в случае запрета их обработки субъектом. Все эти изменения сняли обременения с операторов, но уменьшили права субъекта персональных данных.
Наиболее спорной оказалась глава 19 закона, в которой перечислены технические требования к системе защиты персональных данных, например: «...Меры по обеспечению безопасности персональных данных при их обработке.
- Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных...».
Показательно, что в первом пункте стоит слово «обязан», а во втором -- необязательный оборот «в частности». С точки зрения русского языка в подпунктах перечислены возможные меры защиты, каждая из которых не является обязательной. Однако в целом система должна быть защищена. Такая неоднозначность дает простор для различных трактовок. Первая проверка, которая проведена в Саратовской области в ООО «Центр здоровья «Европласт», показала, что Роскомнадзор может в такой непонятной ситуации с необязательными требованиями выпустить предписание на устранение недочетов, как будто эти требования являются обязательными.
В главе 19 сказано, что уровни защищенности персональных данных устанавливает «Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных...». При этом сам оператор и различные организации могут идентифицировать только дополнительные угрозы системе обработки персональных данных, а меры для защиты от них определяют регуляторы. Что такое уровни защищенности и соответствующие им наборы защитных мер, должно быть определено в подзаконных актах.
Существенным отличием текущего закона от предыдущего является наличие требований использовать для защиты персональных данных не только технические меры, но и правовые и организационные (п.1 ст. 19). Действующие на текущий момент подзаконные акты концентрировались на технических мерах, хотя в некоторых случаях достаточно использовать организационные.
***
В целом же можно сказать, что ФЗ-261 снял ряд обременений с операторов, и теперь требования закона хотя бы исполнимы. Однако если прописанная в законе «оценка соответствия», которая также перешла из подзаконных актов, подразумевает сертификацию и аттестацию защитных средств, то стоить такая защита может довольно дорого. Таким образом, сейчас ситуация не намного понятнее, чем пять лет назад, когда была принята первая версия ФЗ-152.
Валерий Коржов (oskar@osp.ru) – обозреватель Computerworld Россия (Москва).