Камо грядеши, закон?

29.11.2010

В конце 2009 г., перед самым окончанием срока, отпущенного на приведение автоматизированных систем обработки персональных данных в соответствие с установленными требованиями, резко активизировалась деятельность по изменению законодательства и подзаконных актов, определяющих порядок работы с этой категорией чувствительных сведений. Произошло это не случайно, для изменений были веские основания и глубинные причины. Похоже, это только начало процесса.

Что произошло?

Трудно не согласиться с резюмирующей частью пояснительной записки к законопроекту, внесенному в Госдуму В. М. Резником и призванному кардинально изменить регулирование обработки персональных данных: «Практика реализации Федерального закона позволяет сделать вывод о недостижении цели его принятия и создает предпосылки для уточнения его отдельных положений».

Действительно, нелегальных (т. е. созданных вопреки закону) баз данных, содержащих сведения о гражданах, на рынке меньше не стало, скорее наоборот. К ответственности за создание и распространение таких баз никто не привлечен. Ну, прекращена деятельность нескольких интернет-сайтов, наиболее одиозных и нарушавших закон в самой грубой форме. Ощутить на себе б’ольшую защищенность прав и законных интересов вследствие применения ФЗ-152 «О персональных данных» российскому гражданину довольно трудно. Зато законопослушные предприятия и организации, которые попытались выполнить требования, установленные регуляторами, в полной мере прочувствовали последствия такого решения. И весьма немалые затраты на создание подсистемы безопасности — отнюдь не единственный побочный эффект реализации требований. Среди прочих и регистрация в качестве оператора персональных данных, фактически являющаяся завуалированным приглашением органам контроля и надзора в рамках плановых проверок ознакомиться с состоянием дел по защите сведений у «легализовавшейся» организации (для справки: уведомление об обработке направили в Роскомнадзор около 100 тыс. операторов, что, по разным оценкам, составляет 1,5–3% общего их количества). И раскрытие сведений о себе как операторе в объеме, превышающем установленный законом (а иначе уведомление к регистрации принято не будет, зайдите на сайт Роскомнадзора и убедитесь в этом сами). И существенное усложнение работы с данными о гражданах в рамках бизнес-процессов организации вследствие ограничений, накладываемых законами и подзаконными нормативными правовыми актами, что отрицательно сказывается на этих процессах и уменьшает доступность информации. И, наконец, значительное усложнение топологии информационной системы и увеличение нагрузки на нее из-за необходимости использования большого количества различных средств защиты информации, функционирование которых требует дополнительных вычислительных ресурсов, средств хранения и повышения пропускной способности сети. В качестве бонуса за эти потери и неудобства — только снижение государственных рисков, в результате которых возможны (но не обязательны!) некоторые, не очень серьезные санкции. Не слишком много...

Подобная ситуация не могла не вызвать противодействия. Усилилось давление на законодателей и регуляторов со стороны бизнеса и его лоббистских структур — различного рода объединений, ассоциаций, союзов. Первым проявлением этих усилий стало утверждение Правительством РФ абсолютно невнятного «Положения об особенностях обработки персональных данных без использования средств автоматизации» (от 15.09.2008 № 687). Приведу для примера только два пассажа из этого постановления, изложенные в первых двух его пунктах:

1). Обработка персональных данных, содержащихся в информационной системе персональных данных ... считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2). Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее«.

Понять, что имели в виду авторы, решительно невозможно. Руководствуясь этими положениями, любую обработку в информационной системе можно счесть обработкой без использования средств автоматизации. Данные практически всегда вводятся в систему человеком и используются им же, да и классическое определение автоматизированной системы предполагает, что человек является обязательным ее элементом.

Когда большому бизнесу стало ясно, к каким затратам приведет реализация технических требований, которые определены другим постановлением Правительства — от 17.11.2007 № 781, утвердившим «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», в рекордные для наших законодателей сроки в ФЗ-152 были внесены изменения, отодвинувшие на один год дату окончания работ по приведению информационных систем в соответствие закону. Внесению изменений предшествовали парламентские слушания 20 октября 2009 г., на которых много говорилось о необходимости корректировки законодательства. И дополнительный год предполагалось потратить именно на то, чтобы устранить пробелы и противоречия законодательства, привести в соответствие друг другу ФЗ-152 и другие законы, нормы которых не стыкуются между собой.

Собственно, на решение части этих проблем и нацелен законопроект В. М. Резника, о котором говорилось в начале статьи и который был принят 5 мая сего года в первом чтении. Но всех проблем и противоречий он не решает.

Проблемы законодательные

Обо всех проблемах, порожденных законом, в одной статье рассказать невозможно. Остановимся только на некоторых из них, системных, наличие которых ставит практически перед каждым оператором неразрешимую дилемму — нарушить закон, но сохранить бизнес, или отказаться от бизнеса только потому, что выполнить законодательные требования невозможно.

Согласие субъекта на обработку. За исключением исчерпывающего перечня случаев, закон предусматривает выражение субъектом согласия на обработку его персональных данных, причем на оператора возлагается обязанность доказать наличие этого согласия. Такая постановка вопроса делает невозможным применение интернет-технологий в бизнес-процессах, предусматривающих обработку персональных данных. Интернет анонимен, и единых идентификаторов, удостоверяющих конкретную личность, для Интернета не существует. Это значит, что проверить авторство лица, заполнившего онлайн-анкету или веб-форму, невозможно. А, значит, невозможно доказать наличие согласия того субъекта, чьи данные указаны в этой самой веб-форме. Даже при оплате в Интернете покупок и услуг кредитной картой согласие недоказуемо, поскольку совершить онлайн-сделку может любое лицо, в чьи руки попала платежная карта.

Но проблема не только в Интернете. Любая продажа товаров или услуг через агентов ставит перед продавцом, в чьих интересах действовал агент, нелегкую задачу подтверждения согласия субъекта на обработку данных именно продавцом. А если персональные данные для предоставления услуги нужны, но договор, в котором можно было отразить согласие, отсутствует вообще? Например, при покупке авиа- или железнодорожных билетов? Как быть тогда? Ответа в нынешнем законе нет.

Получение персональных данных от третьих лиц. Закон определяет практически невыполнимую процедуру действий оператора в тех случаях, когда он получает персональные данные не от самого субъекта, а от третьих лиц. В этом случае оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию, содержащую наименование и адрес оператора, цель обработки персональных данных и ее правовое основание, сведения о предполагаемых пользователях персональных данных, и разъяснить субъекту, чьи данные были получены, его права, установленные Федеральным законом.

Начнем с того, что в терминах закона сбор персональных данных — уже их обработка. И как можно сообщить субъекту о чем-то, еще не получив его данных, сказать сложно. Но это казус. Проблема в другом. Представьте себе покупку билетов или бронирование гостиницы одним человеком на большую компанию друзей или родственников. Передают необходимые для этого персональные данные не сами субъекты, а лица, представляющие их интересы, причем выполнение описанных действий нотариального подтверждения прав не требует. Таким образом, действуя строго по закону, оператор должен каким-то образом разыскать граждан, на чье имя куплены билеты или забронирован номер, и сообщить им информацию, указанную выше. Причем убедиться и иметь доказательство того, что она сообщена тем, кому нужно, и они подтвердили согласие на обработку.

Никак не вписываются в эту схему действий современные системы денежных переводов, предполагающие передачу сведений об отправителе и получателе не конкретному банку, а широкой сети партнеров, расположенных иногда даже в других странах. Каждый из участников системы, строго говоря, до начала обработки должен найти отправителя и получателя и довести до них необходимые сведения. Делать это не только очень сложно, но просто бессмысленно.

Головоломку предлагает закон и для страхового бизнеса, где очень часто страхователь при заключении договора сообщает страховщику персональные данные застрахованных лиц, выгодоприобретателей, водителей, включаемых в полис ОСАГО и т. п. Все эти данные в целях реализации договора и его перестрахования страховщик должен сообщить третьим лицам — лечебным учреждениям, включенным в программу добровольного медицинского страхования, автосервисам, выполняющим ремонт по договорам КАСКО и т. д. И при каждом действии — проблема уведомления субъектов о начале обработки их данных все новыми и новыми операторами и получения на это согласия.

Трансграничная передача персональных данных. Требования о трансграничной передаче данных только в страны, принимающие адекватные меры защиты, или включении согласия на такую передачу в договор с субъектом дают основания усомниться, что люди, писавшие закон, знакомы с реалиями современного мира. Покупая авиабилет Москва—Чита, пассажир бронирует его не в АС перевозчика, а в международной системе Amadeus или Sabre, о чем пассажир чаще всего даже не имеет представления. А сам перевозчик, как правило, не знает, где конкретно владельцы систем хостят свои сервера и в какую конкретно страну осуществляется трансграничная передача. Примерно аналогичная ситуация с бронированием номеров в сетевых гостиницах, всяких там «Иннах» и «Хилтонах», с открытием банковских счетов в российских банках и заключением договоров страхования с компаниями, владельцы которых находятся за рубежом. Где находятся их автоматизированные банковские системы и база страховых договоров — тайна великая, во всяком случае для российского персонала.

Прекращение обработки и уничтожение персональных данных. Еще одна замечательная норма закона: «В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных».

Опустимся с небес законотворчества на нашу грешную землю и посмотрим, что это означает на практике. Закон ставит крест на ведении истории взаимоотношений с клиентом, которая во многих видах бизнеса фактически является его обязательной частью. Закрыл клиент депозитный счет в банке или закончилось действие договора кредитования — все данные надо немедленно уничтожить. Но принцип «Знай своего клиента» — один из основополагающих в банковском деле. Во всем мире от того, как ведет себя клиент в ходе своих взаимоотношений с банком, зависят условия его обслуживания и спектр предлагаемых ему услуг.

Крупные операторы связи имеют миллионы клиентов, значит, ежедневно заканчивается срок действия тысяч, десятков тысяч договоров на предоставление услуг связи. В биллинговой системе ежедневно надо найти соответствующих клиентов и уничтожить сведения о них — договор закончился, цель обработки достигнута. А что делать со сроком исковой давности взаимных претензий оператора и клиента? А как выполнить требования Постановления Правительства от 27.08.2005 № 538, требующего от операторов связи все сведения об абонентах и оказанных им услугах связи хранить в базах данных в течение трех лет? Причем требование это установлено не Федеральным законом «Об оперативно-розыскной деятельности», а постановлением Правительства и явно противоречит п. 4 ст. 21 ФЗ-152.

Я не говорю уже о технической стороне выполнения требования об уничтожении данных в биллинговой системе в трехдневный срок.

Общедоступные персональные данные. Закон устанавливает, что общедоступные персональные данные — это персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. При этом включение персональных данных в общедоступные источники допускается только с письменного согласия субъекта, и в любой момент по его требованию данные из таких источников должны быть исключены. Это теория закона.

А вот практика. Работодатель в целях выполнения работниками своих обязанностей предоставил им электронную почту. Корреспонденты работников предприятия по собственной воле сообщают в письмах свои персональные данные, абсолютно любые, по их усмотрению. Они могут содержать и специальные категории данных — сведения о здоровье, членстве в партии, религиозных убеждениях и т. п. Владелец почтовой системы эти данные не запрашивал, цели их обработки не определял, получены они по незащищенным каналам связи. И что, владелец почтового сервера становится помимо своей воли оператором, потенциальным правонарушителем и должен такую систему классифицировать и защитить по полной программе? А ему это надо?

Все мы в рамках деловых отношений обмениваемся визитными карточками, на которых указаны персональные данные. Рассчитывать на соблюдение конфиденциальности в отношении этих сведений лицом, получившим визитку, не приходится. А если данные из визиток переносятся на компьютер и обрабатываются не в личных, а в служебных целях? На вопросы, кто в этом случае оператор, какие меры защиты надо принимать и можно ли считать сведения из визитных карточек общедоступными, ответы в существующем законе найти невозможно.

Описание подобных коллизий можно продолжать достаточно долго. Беда в том, что в этих условиях почти каждый оператор, даже если он себя таковым и не считает, является потенциальным нарушителем закона. Правда, о серьезных санкциях пока не слышно. Это создает вторую проблему. В подобной ситуации велик соблазн избирательного применения санкций к операторам, выбираемым органами контроля, надзора, правоохранения, прокуратуры и судами по известным только им критериям. А это прямой путь к коррупции.

Автор: Михаил Юрьевич Емельянников

Источник: «ИКС-медиа»