Позиция РАЭК
В настоящее время законодательство о персональных данных не учитывает современного уровня развития интернета и существенно замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.
Среди основных недостатков можно отметить следующие:
1. 152-ФЗ навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ. Методы и способы защиты государственной тайны 20-летней давности стали обязательными для 5 с лишним миллионов операторов персональных данных;
2. Инициативы Роскомнадзора, которые вводят ответственность за различные нарушения требований законодательства о персональных данных (а не за нанесение ущерба субъекту персональных данных), при отсутствии подзаконных актов и стандартов, разъясняющих положения Федерального закона №152-ФЗ;
3. Наличие нескольких различных регуляторов, несогласованность их действий и нечёткое разграничение полномочий между Роскомнадзором, ФСБ и ФСТЭК, прокуратурой;
4. Непрозрачность требований при проверках правильности обработки ПДн операторами ПДн.
5. Смещение акцента с законодательных требований от организационных мер по защите персональных данных, в т.ч. прописанных и в разработанном международном стандарте по защите персональных данных ISO 29100 и ISO 29101 (в том числе отражённых в европейских стандартах по защите прав субъектов персональных данных CWA 15262-2005, CWA 15263-2005, CWA 15292-2005, CWA 15499-1-2006, CWA 15499-2-2006, CWA 16111-2010, CWA 16112-2010 и CWA 16113-2010), в сторону технических мер, устанавливаемых ФСТЭК и ФСБ;
6. Неучёт специфики и целей обработки персональных данных, письменное согласие на обработку которых необходимо получить; отсутствие дифференциации типов персональных данных с соответствующим разделением требований по их обработке; неоднозначность разъяснений относительно возможности получения согласия в электронной форме (при помощи «клика»);
7.Неучёт специфики правоотношений в интернете, которая в принципе не позволяет установить персональный контакт с субъектом и, как следствие, определить принадлежность данных передающему субъекту (в отличие от Европы, которая приняла немало директив по данному вопросу, например, 2002/58/EC);
8. Несоответствие российского законодательства духу Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»: частью 1 статьи 20 Конвенции, подписанной от имени РФ 07.11.2001 в г. Страсбург предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в законе 152-ФЗ требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки не предусмотрена (в отличие от нарушения правил обработки персональных данных, которые могут и не приводить к ущербу субъектам персональных данных);
9. Россия до сих пор не признана Европейским союзом страной, обеспечивающей адекватную защиту прав субъектов, что обусловлено целым рядом причин, одна из которых, - уполномоченный орган по защите прав субъектов персональных данных входит в структуру исполнительной власти и не является независимым, как это указано в Конвенции;
10. Обязанность операторов персональных данных тратить ресурсы на выполнение устаревших требований и покупать не соответствующие современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года, на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов;
11. Отсутствие финансирования бюджетных организаций, (что было озвучено как обещание регуляторов на заседании Совета Федерации 13 июля 2011 года, где принималась текущая редакция 152-ФЗ) и финансовой оценки последствий принятия ФЗ-152 со стороны Правительства РФ, ФСТЭК и ФСБ, о которой говорилось на указанном заседании Совета Федерации.
Предложения РАЭК
Мы видим следующие пути разрешения данной ситуации, усовершенствования закона №152-ФЗ и детализации его отдельных положений.
1. Передача полного объёма полномочий по регулированию и проверкам к правильности обработки персональных данных к одному регулятору, во избежание противоречий при проверках;
2. Комплексное внесение точечных изменений в 152-ФЗ, которые позволили бы исправить некоторые из указанных недоработок закона;
3. Разработка Постановлений Правительства регулирующих и разъясняющих отдельные положения закона о персональных данных (по аналогии с директивами Евросоюза, разъясняющими положения Конвенции);
4. Определение перечня стратегических областей, где ФСТЭК и ФСБ могут устанавливать требования по технической защите персональных данных (поликлиники, больницы, государственные учреждения), и предоставление остальным операторам права предоставить самостоятельно принимать меры по технической защите исходя из выявленных угроз;
5. Публичные рекомендации Роскомнадзора по выполнению законодательных требований 152-ФЗ. Сейчас одна из основных проблем – неоднозначность даже тех требований, которые есть. В частности: Является ли электронная форма согласия допустимой? Является ли фотография биометрическими данными? Как получить письменное согласие на трансграничную обработку данных через Интернет? (По последнему: раньше департамент надзора в сфере связи Роскомнадзора считал нажатие кнопки «Я согласен» на сайте акцептом публичной оферты, в то время как департамент по ПДн так не считает);
6. Уточнение требований к проверкам: необходимо разъяснить, что и как проверяют инспекции Роскомнадзора, каким образом трактовать те или иные требования закона, указать на конечный перечень документов, необходимых оператору ПДн для успешного прохождения проверки Роскомнадзора;
7. Подготовка списка стран с адекватной защитой прав субъекта ПДн, стран, с которыми возможна упрощенная трансграничная передача персональных данных. Этого списка нет с момента выхода закона в 2006-м году, однако ответственность за нарушение трансграничной передачи данных предполагается увеличить;
8. Разработка и согласование с Роскомнадзором пакета внутренних корпоративных документов, необходимых при проверках Роскомнадзора, публикация списка необходимых документов и их шаблонов для понимания того, как реализовать требования закона на практике тем, кто планирует начать обрабатывать ПДн;
9. Разработка отдельных требований по защите прав субъектов персональных данных для субъектов малого и среднего бизнеса (как это предусмотрено реформой европейского законодательства по персональным данным, анонсированной в январе 2012 года);
10. Включение в бюджет РФ статьи на реализацию требований ФСТЭК и ФСБ по защите персональных данных (как минимум, для бюджетных предприятий), которые в противном случае будут возложены на граждан, на которых операторы персональных данных и переложат все затраты;
11. Коррекция законопроекта Роскомнадзора и отсрочка внесения его до момента, пока не будут реализованы шаги 1-9, так как в противном случае многие из тех, кто добросовестно обрабатывает ПДн, окажутся нарушителями случайно и понесут серьезную материальную и административную ответственность;
12. Рассмотрение возможности полной или частичной передачи контролирующих функций в области защиты прав субъекта в независимый уполномоченный орган, например, по защите прав человека. Это позволит странам Евросоюза считать Российскую Федерацию страной с адекватной защитой прав субъекта, так как согласно Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных уполномоченный орган должен быть независимым и не входить в структуру власти.
В связи с указанным, считаем целесообразным создать межведомственную рабочую группу с участием представителей интернет-отрасли, экспертов по информационной безопасности, представителями Минкомсвязи РФ, Минэкономразвития РФ, ФСБ, ФСТЭК, Роскомнадзора, задачами которой будет обсуждение существующих проблем и формулировка предложений по изменению закона №152-ФЗ и детализации его отдельных положений. Комиссии РАЭК по правовым вопросам, по электронной коммерции, по информационной безопасности и киберпреступности готовы оказать всестороннюю экспертную поддержку в работе по указанным направлениям.