О применении Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

(Борисенко О. В.) ("Юрист", 2011, N 21) Текст документа

О ПРИМЕНЕНИИ ФЕДЕРАЛЬНОГО ЗАКОНА ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"

О. В. БОРИСЕНКО

Борисенко Ольга Владимировна, специалист 1-го разряда Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, аспирантка Московского государственного социально-гуманитарного института.

Статья посвящена критическому анализу федерального законодательства Российской Федерации в сфере защиты прав субъектов персональных данных. Автором исследована правоприменительная практика защиты прав субъектов персональных данных, кроме того, проанализированы последние изменения в законодательстве Российской Федерации о персональных данных.

Ключевые слова: персональные данные, обработка, затраты, информационная система, закон.

On application of Federal Law of the Russian Federation of june 27, 2006 N 152-FZ "On personal data" O. V. Borisenko

The article is devoted to critical analysis of federal legislation of the Russian Federation in the sphere of protection of rights of subjects of personal data. The author studies law-application practice of protection of rights of subjects of personal data and besides analyses the latest changes in legislation of the Russian Federation on personal data.

Key words: personal data, processing, costs, informational system, law.

Польза нормативного регулирования в сфере защиты прав субъектов персональных данных совершенно очевидна, так как с его помощью обеспечивается защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну. В Российской Федерации правовой институт защиты прав субъектов персональных данных выстроен во многом по образцу европейского законодательства в сфере персональных данных. После подписания 7 ноября 2001 г. Российской Федерацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных стало необходимым приведение в соответствие собственного законодательства с нормами европейского права в области защиты прав субъектов персональных данных. Для выполнения этой задачи был принят Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - ФЗ N 152) <1>. Целью Федерального закона явилось обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. -------------------------------- <1> Официальный сайт Российской газеты www. rg. ru/2006/07/29/.

На сегодняшний момент уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор, его задача - надзор за соблюдением требований и правил. На наш взгляд, большей эффективностью смогли бы обладать гражданские организации-регуляторы, которых сегодня, к сожалению, нет. Эти организации могли бы создаваться различными структурами, работающими в тех или иных областях использования информации. Например, операторы сотовой связи, медицинские учреждения, страховые компании. Эти группы могли бы создавать свои отраслевые требования, объединяться в некие структуры. По существу, речь идет об одном из этапов построения гражданского общества, построения системы защиты информации, которая циркулирует в гражданском обществе, от неправильного использования. Саморегулирующиеся организации стали бы инструментом, который лучше любого регулятора способен контролировать быстроменяющиеся отрасли и вносить своевременные изменения в отраслевые стандарты. При таком раскладе Роскомнадзор смог бы в полном объеме выполнять свои функции, и не возникло бы ситуации, когда нужно контролировать 7 миллионов операторов, а лимит проверок всего 6 тысяч в год. Несмотря на принятие Федерального закона N 152-ФЗ в 2006 г., сроки вступления его в законную силу отодвигались дважды, в полную силу он вступил только с 1 июля 2011 г. Перенос вступления в силу данного Закона обусловлен целым рядом факторов. Одним из основных факторов явилось то, что процедура по приведению информационных систем в соответствие с ФЗ N 152 подразумевала под собой большие финансовые затраты. Причиной таких затрат были жесткие требования к техническому обеспечению защиты прав субъектов персональных данных, что приводило к повсеместному невыполнению Закона. 27 июля 2011 г. вступил в силу Федеральный закон "О внесении изменений в Федеральный закон "О персональных данных" <2>, который несколько ужесточил требования к операторам в части технической защиты персональных данных. Документ ужесточает ответственность организаций за несоблюдение требований к защите личной информации. -------------------------------- <2> Официальный сайт Российской газеты www. rg. ru/2011/07/27/.

Есть и положительные нововведения, например уточнение сферы действия Закона, увеличение времени ответа на запросы граждан, уточнение правил дачи и отзыва согласия на обработку персональных данных. Среди обновлений также необходимо назвать расширение перечня действий, считающихся обработкой персональных данных, уточнение многих определений, облегчающих понимание и восприятие. Персональные данные согласно обновленному Закону теперь можно хранить сколь угодно долго, если это не регулируется федеральным законом, принятым в его исполнение нормативно-правовым актом или договором, а также если стороной, выгодоприобретателем или поручителем является субъект персональных данных. Существенно расширен перечень сценариев, когда разрешена обработка персональных данных без согласия субъекта. Однако относительно требований по защите персональных данных ничего не поменялось. Кроме того, законодательно прописана обязанность операторов заниматься моделированием угроз вне зависимости от того, типовые они или нет, а это значит, что операторам предстоит большая работа. Законом предусмотрено, что нормативные правовые акты по отдельным вопросам обработки персональных данных в пределах своих полномочий могут принимать не только государственные органы, но и органы местного самоуправления и Банк России. Это очень важная норма, которая позволит найти правильный, оптимальный подход к защите персональных данных в каждом конкретном случае. В новый Закон вошли немного подретушированные старые требования - сертификация средств защиты, аттестация информационных систем. На уровень реальной защищенности эти требования никак не влияют, на снижение числа утечек тоже, а вот затраты на выполнение требований нового Закона возрастут многократно. Требования по защите персональных данных должны определяться оператором и вытекать из разработанных экспертным сообществом отраслевых стандартов, но не из жестких требований регуляторов, для которых соотнесение вреда и пользы в таком сложном вопросе является проблематичным. Эффективной альтернативой стали бы саморегулирующиеся организации, объединившие компании по критерию сферы деятельности. В нынешней редакции Закона наработанная практика применения отраслевых стандартов, к сожалению, не используется. Данное концептуальное предложение могло бы быть использовано при разработке подзаконных актов. Принятие в Российской Федерации ФЗ N 152 способствует укреплению внешнеполитических позиций Российского государства, росту правосознания граждан, формированию гражданского общества в нашей стране, а также лучшей защищенности субъектов персональных данных. Федеральный закон действительно нужный, но он является слишком общим, требует доработки с упором на международную практику и четкой сегментации для определенных сфер применения.

ЛИТЕРАТУРА

1. Конвенция о защите физических лиц в связи с автоматической обработкой персональных данных ETS N 108 (Страсбург, 28 января 1981 г.) (с изм. и доп. от 15 июня 1999 г.) // СЗ РФ. 2005. N 52 (часть I). Ст. 5573. 2. Монахов В. Н. Информационные права граждан: опыт защиты и развития // Право граждан на информацию и защита неприкосновенности частной жизни. Сб. Ч. 1. Нижний Новгород, 1999. С. 50 - 61. 3. Защита персональных данных. М.: Галерия, 2001. С. 223 - 232. 4. Федеральный закон от 19 декабря 2005 г. N 160-ФЗ // Российская газета. 2005. 22 декабря. 5. Директива Европейского парламента и Совета (от 24 октября 1995 г. N 95/46/EC). 6. Директива 95/46/EC Европейского парламента и Совета Европейского союза 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. URL: http://www. eos. ru. 7. Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. URL: http://www. ispdn. info. 8. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных". URL: www. rg. ru/2006/07/29/. 9. Федеральный закон от 25 июля 2011 г. N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных". URL: http://fsir. ru/.

------------------------------------------------------------------

Название документа