Интересное мнение юристов опубликовал портал CIO-world. Есть определенное количество спорных моментов относительно общедоступности персональных данных а так же работы интернет магазинов.
Вопросы будущей практики в отношении закона о персональных данных вызывают не только живой интерес у ИТ-сообщества, но и разнообразные тревоги и страхи... Не остаются в стороне и юристы, у них тоже масса вопросов
Мыслями о современной ситуации в этой области своим квалифицированным мнением с нашим порталом продолжают делиться эксперты рынка. В этой связи Константин Суворов, руководитель практики интеллектуальной собственности Адвокатского бюро «Корельский, Ищук, Астафьев и партнеры», рассказывает:
"С момента вступления в силу первой редакции Закона о персональных данных прошло уже более 3 лет, а до 1 января 2011 года, когда все информационные системы персональных данных должны быть приведены в соответствие с требованиями закона, осталось менее 3 месяцев, а волнения по поводу правоприменительных перспектив закона, кажется, только нарастают.
В напряжении находятся банки, страховые, финансовые компании, авиакомпании, медицинские учреждения, а также представители интернет-сообщества — онлайн-магазины и поставщики услуг, которые так или иначе в своей деятельности сталкиваются с необходимостью сбора и обработки информации о своих клиентах.
Как обычно вокруг закона, практика применения которого еще не сформировалась, но потенциальные санкции могут быть существенными, возникает множество кривотолков, страхов и опасений. Попытаемся разобраться, насколько они обоснованны.
Сразу надо оговориться, что нормы закона применимы только в отношении персональных данных граждан — физических лиц и не распространяют свое действие на сбор, хранение и обработку данных о юридических лицах или индивидуальных предпринимателях.
Соответственно компании, не работающие с клиентами-физическими лицами, будут обязаны привести в соответствие с Законом о ПД только внутренние информационные системы, содержащие сведения о своих сотрудниках.
Выглядят весьма преувеличенными опасения в том, что новый закон подкосит электронную коммерцию из-за необходимости получать письменное согласие от каждого клиента-физического лица с его собственноручной подписью, либо (с учетом изменений, вступающих в силу с 01.01.2011) в виде электронного документа с ЭЦП или иным предусмотренным законом аналогом подписи.
Частью 2 статьи 6 Закона о ПД предусмотрено, что обработка персональных данных физического лица с целью исполнения договора между оператором и этим лицом избавляет от необходимости получать согласие на обработку в порядке ст.9 Закона о ПД.
Практически любой интернет-сервис подразумевает установление договорных отношений с пользователем (в форме публичного договора или договора присоединения), вследствие чего согласие пользователя в письменной форме на обработку данных, предоставленных для исполнения такого договора, не требуется. Кроме того, в этом случае также не требуется направлять уведомление об обработке персональных данных уполномоченному органу в порядке ст.22 Закона о ПД.
Некоторые особенности могут возникнуть в деятельности социальных сетей, в которых раскрытие данных пользователя третьим лицам (другим пользователям) предполагается. Однако в общем случае с момента регистрации пользователя в сети в терминах Закона о ПД происходит распространение введенных самим пользователем персональных данных, такие данные становятся общедоступными. С учетом того, что такое распространение необходимо для оказания пользователю услуг социальной сети, к данной ситуации также может применяться норма части 2 ст.6 Закона о ПД.
Наибольшая дискуссия в настоящее время развернулась по вопросу лицензирования операторов персональных данных в области деятельности по технической защите конфиденциальной информации (ТЗКИ).
Согласно преобладающей точке зрения из законодательства о персональных данных во взаимосвязи с нормами законодательства о лицензировании отдельных видов деятельности прямо следует, что каждый оператор персональных данных обязан получить лицензию на право осуществления деятельности в порядке, установленном Постановлением Правительства № 504 от 15.08.2006.
На возражения о том, что тотальное получение лицензий практически любой организацией, ведущей электронный учет персональных данных своих сотрудников, является абсурдом, обычно следует довод dura lex sed lex (закон суров, но справедлив). Однако несмотря на внешнюю стройность, такое толкование закона имеет некоторые изъяны, и не является вполне однозначным.
Во-первых, надо принять во внимание, что субъектами закона о ПД (операторами) являются не только юридические лица и индивидуальные предприниматели, которые могут выступать в качестве лицензиатов по закону о лицензировании отдельных видов деятельности, но также и государственные органы (федеральные, муниципальные, местные), которые субъектами лицензирования не могут быть в принципе, — на основании статей 1 и 2 Закона о лицензировании отдельных видов деятельности (128-ФЗ от 08.08.2001).
То есть, часть операторов персональных данных не может получить лицензию на ТЗКИ для осуществления обработки персональных данных в силу закона.
Кроме того, и среди юридических лиц есть такие, которые помимо своей основной деятельности по закону не вправе заниматься никакой иной деятельностью — в частности, адвокатские коллегии и бюро, аудиторские компании, что свидетельствует о невозможности получения ими лицензий на ТЗКИ.
Означает ли это, что адвокаты и аудиторы не вправе самостоятельно вести электронные регистры собственных сотрудников (а адвокаты также и клиентов-физлиц) и в случае проверки могут быть привлечены к ответственности за незаконную предпринимательскую деятельность (в отсутствие лицензии)? Или исходя из анализируемой точки зрения сторонников лицензирования у аудиторов и адвокатов нет иного выхода кроме как привлечь лицензированную компанию на аутсорсинг?
Пункт 1.3 Положения о методах и способах защиты информации в информационных системах персональных данных (утв. Приказом ФСТЭК № 55 от 05.02.2010, зарегистрирован в Минюсте РФ 19.02.2010 N 16456) гласит, что для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных либо может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Таким образом, оператор, заведомо не имеющий возможности получить лицензию на ТЗКИ (госорган, аудиторские, адвокатские образования и пр.) может в соответствии с абзацем первым п.1.3 Положения назначить должностное лицо для работ по защите информации и нормам права это никоим образом противоречить не будет.
Какая же именно точка зрения возобладает в правоприменительной практике, станет ясно после 01.01.2011.«
Мы не могли обойтись здесь и без комментария представителя ИТ-компаний. Своё мнение по этой весьма актуальной для всех теме любезно согласился нам дать Виктор Сердюк, генеральный директор ЗАО «ДиалогНаука», системного интегратора в области информационной безопасности:
«На сегодняшний день проблема защиты персональных данных (ПДн) является одной из наиболее актуальных как для государственных, так и коммерческих организаций. Это обусловлено тем, что требования по защите ПДн являются обязательными для подавляющего числа российских компаний. Однако, к сожалению, в существующем законодательстве действительно существует много «пробелов», которые не позволяют однозначно трактовать целый ряд требований по защите ПДн. Помимо тех проблем, которые описаны в статье, существует целый ряд других сложностей аналогичного характера.
Так, например, в документах ФСТЭК отсутствует четкое определение понятия «оценки соответствия» информационных систем персональных данных и описание регламента её проведения. Кроме этого, до сих пор отсутствует четкое определение необходимости использования сертифицированных средств защиты в информационных системах классов К2 и К3 и т.д.
С нашей точки зрения, существует два возможных пути устранения имеющихся недоработок в действующем законодательстве. Первый из них заключается во внесении изменений в текст Федерального закона и соответствующие подзаконные акты. Недостатком данного подхода является сложность и длительность его реализации на практике. Другим вариантом решения указанных проблем является разработка отраслевых стандартов, которые бы учитывали отраслевую специфику предприятий, а также более четко расшифровывали требования по защите персональных данных.
В качестве примера здесь можно привести стандарт Банка России по информационной безопасности СТО БР ИББС, последняя версия которого была согласована с ФСТЭК, ФСБ и Роскомнадзором, что позволяет применять данный стандарт для приведения информационных систем персональных данных в соответствие с действующим законодательством. Аналогичный стандарт в настоящее время разрабатывается для предприятий отрасли связи.
Несмотря на наличие определенного количества недостатков, с нашей точки зрения, Федеральный закон «О персональных данных» является важным шагом на пути систематизации и упорядочивания мер защиты, которые должны применять компании для защиты ПДн.
Как показала практика, принятие данного закона уже позволила привлечь внимание многих руководителей компаний к проблеме обеспечения информационной безопасности и предпринять конкретные шаги к повышению уровня защиты ПДн.
Наличие же недостатков в текущей редакции Федерального закона и соответствующих подзаконных актов нам кажется вполне естественным, так как для нашей страны это является первым опытом в принятии подобного документа на федеральном уровне, в то время как на Западе аналогичные документы были приняты намного раньше."
На наш взгляд, ситуация улучшилась по сравнению с весной этого года. Все же постепенно многие страхи улетучиваются, в связи с разъяснениям регуляторов, а работа самих регуляторов с отраслями приняла боле или менее целевой характер. Однако, нерешенные вопросы, затронутые нашими экспертами в статье, продолжают оставаться достаточно острыми.Тем не менее, ясно, что путь дальнейшего откладывания вступления закона в силу и внесения фактически бесконечных поправок к нему (идеал, как всегда, недостижим) вряд ли перспективен. Скорее всего возникающие проблемы должны решаться в ходе совершенствования реальной правоприменительной практики уже после 1 января 2011 года, а для этого необходим, как нам виится, теснейший контакт крупнейших операторов ПДн с регуляторами.
Источник: CIO-world
Теги: 152-ФЗ