Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЧИТАЛЬНЫЙ ЗАЛ Защита персональных данных Двадцать популярных заблуждений операторов ПДн. Часть 1
Protectiva Compliance Manager
Навигация
 

Двадцать популярных заблуждений операторов ПДн. Часть 1

Операции с документом
Федеральный закон «О персональных данных», вступивший в силу в январе 2007 года, поначалу был обделен вниманием операторов персональных данных. Хотя, казалось бы, именно операторы должны были заинтересоваться всеми ресурсоемкими «сюрпризами», заложенными законодателем в этот правовой акт. Тревожное оживление операторов началось в конце 2009 года – ведь дата 1.01.2010 была названа в законе, как срок, к которому все информационные системы персональных данных должны быть приведены в соответствие с законом.

Шмелев Павел Владимирович

директор по развитию ООО «НИЦ «ФОРС»

Январь 2010 года был ознаменован поправками в ФЗ «О персональных данных», суть которых проста – операторы получили еще один год на пресловутое «приведение в соответствие». В феврале 2010 года ФСТЭК России предпринял «тактическое выравнивание линии фронта» (приказ ФСТЭК №58-2010г), что многие операторы ошибочно восприняли как признание регулятором своих ошибок и «шаг назад». Операторы «выдохнули», но значительного облегчения этот выдох не принес. Как выяснилось, все попытки операторов (как оправданные, так сомнительные и непродуманные) пересмотреть отдельные положения закона не увенчались успехом. Да и ФСТЭК России, придерживаясь определенной стратегии, думается, никаких ошибок не допускал. Значительно возросло и количество плановых и внеплановых проверок, проводимых Роскомнадзором РФ, что не осталось незамеченным. Для операторов пришло время принимать решение – оставаться и далее в тени, ссылаясь на «непродуманность и абсурдность нормативной базы», или задуматься о первоочередных мерах по выполнению закона.

Наступил период активизации рынка услуг по защите персональных данных, и, как его неизбежный этап - «просвещение» окончательно дезориентированных операторов. Как ни странно, наиболее активными пионерами просветительской работы стали не опытные квалифицированные специалисты в области защиты информации (они весьма сдержанно комментируют происходящее), а «знатоки» новой волны. Любопытствующие IT-специалисты, безработные выпускники факультетов защиты информации, да и просто «прохожие» оказались в авангарде борьбы за права операторов. Не остались в стороне и сотрудники операторов, в чьих обязанностях неожиданно образовалась задача «быстро и дешево решить вопрос с ПДн».

Вредным плодом такого просвещения явилось внешне достоверное мифотворчество, воспринимаемое многими операторами как гениальный прорыв в области трактовки и применения нормативных актов. Мало кого настораживает, что правовую оценку тем или иным нормам закона дают не квалифицированные юристы со специализацией в сфере информационного права, а специалисты иного профиля. Генерируемые ими «инновационные» решения, как правило, основаны на домыслах и допущениях, но не на опыте и правоприменительной практике.

Кто же будет рассчитываться за последствия рисков, граничащих порой с абсурдной самонадеянностью? Очевидно, что советы (иногда дельные, чаще же безграмотные, но всегда - не подкрепленные практикой) таких экспертов могут быть весьма накладны именно для операторов.

Попробуем рассмотреть двадцать самых популярных заблуждений, которые могут дорого обойтись операторам. Итак, первая десятка заблуждений….

Заблуждение № 1.

Закон «О персональных данных» вступает в силу только 1.01.2011. Пока время есть.

Реальность.

Закон вступил в силу через 180 дней с даты его опубликования, т.е. 29.01.2007 года. Законом РФ от 27 декабря 2009 года N 363-ФЗ продлен срок приведения в соответствие информационных систем персональных данных, созданных до 01.01.2010г. Однако все иные нормы закона №152 (в т.ч. определяющие и иные обязанности оператора, например, обязанности по защите ПДн – ст.19 ФЗ №152) действуют в настоящее время. Это же относится и к положениям иных нормативных документов. Например, работы по обеспечению безопасности ПДн при их обработке в ИСПДн являются неотъемлемой частью работ по созданию ИСПДн (п.4 Приложения к Постановлению Правительства РФ № 781 от 17.11.2007 г.). О чем это говорит? О том, что любые работы или услуги по проектированию или внедрению ИСПДн в обязательном порядке должны учитывать и создание подсистем обеспечения информационной безопасности. Создается ИСПДн для бухучета и кадровой работы? Тогда срок 1.01.2010 – не для этой ИСПДн, так как она создается не до, а после вступления в силу закона.

Организационные меры по защите ПДн также должны быть реализованы оператором вне всякой связи с датой 1.01.2011. Причина: эти меры в большинстве случаев связаны с фактами обработки ПДн не только в составе ИСПДн, и, следовательно, не подпадают под действие ст. 25 ФЗ№152. Правоприменительная практика Роскомнадзора подтверждает изложенное.

Заблуждение №2.

Важно защититься от претензий контрольных и надзорных органов (т.е. от государства), в первую очередь – Роскомнадзора. Для этого нужно направить уведомление в Роскомнадзор и создать комплекс внутренних документов, требуемых при проверке.

Реальность.

Введение свода локальных организационно-распорядительных документов – конечно же, обязательный этап работ по защите ПДн. Однако эти первоначальные и необходимые меры не являются достаточными! Действительно, многие операторы полагают, что нужно защититься от государства, а не защищать ПДн. Часто в понимании оператора задача защиты от государства в лице Роскомнадзора является вообще единственной, что противоречит смыслу и цели (а она единственная) закона «О персональных данных». Это тупиковый путь, чреватый осложнениями.

Во-первых, не следует забывать о том, что ФЗ №152 (ч.1 ст.19) установил, что, наряду с организационными мерами защиты оператор обязан принимать и технические меры защиты. Какие именно – вопрос вне рамок данной статьи, можно лишь подчеркнуть, что в большинстве случаев необходимость принятии технических мер защиты обоснована, и такие меры должны быть приняты в сроки, установленные ст. 25 ФЗ№ 152.

Во-вторых, Роскомнадзор РФ осуществляет надзорные функции только в рамках, установленных действующим законодательством, Положением о Роскомнадзоре и административными регламентами. Иных (выходящих за пределы своей компетенции) мероприятий по проверке системы защиты ПДн Роскомнадзор не выполняет, но это не означает, что государство не имеет возможностей контроля полноты и соответствия закону мероприятий по защите ПДн, проведенных конкретным оператором. Роскомндазор – не единственный орган, надзирающий за соблюдением прав граждан. Органы прокуратуры, например, наделены правами по возбуждению административного производства (в т.ч. и по ст.13.11 КоАП РФ), а достаточное количество предписаний органов прокуратуры и судебных решений позволяет говорить о формировании правоприменительной практики.

В-третьих, недальновидность такой стратегии оператора заключается в том, что не учитываются права самого субъекта ПДн и возможные негативные последствий для оператора из-за нарушения прав субъекта ПДн. Тем более тогда, когда такие нарушения действительно имеют место. Субъект будет жаловаться, и его жалоба будет рассмотрена вне зависимости от количества и качества подготовленных оператором положений, инструкций и регламентов! Права субъекта ПДн весьма обширны (ст.14 ФЗ 152). К сожалению, большинство операторов и не подозревают о том, в какие сроки и какой объем информации оператор обязан предоставить субъекту ПДн. А ведь субъект ПДн, не подозревающий о выстроенной оператором «системе документарной защиты от Роскомнадзора», по своей душевной простоте может обратиться с обоснованной жалобой (обращением, заявлением, иском) в прокуратуру, органы внутренних дел, суд. Безусловно, указанные органы будут обязаны реагировать на такие обращения. Длительность и последствия такого реагирования находятся в прямой зависимости от настойчивости грамотного субъекта ПДн (а его знания эволюционируют весьма быстро) и содержательной части его обращений. Именно поэтому стратегия оператора по реализации требований ФЗ№152 должна заключаться не в подготовке «дециметров» внутренних нормативных документов, а в создании сбалансированной системы защиты ПДн, исключающей наступление инцидентов информационной безопасности. Исключение таких инцидентов будет являться залогом отсутствия обоснованных (sic!) жалоб субъектов ПДн.

Заблуждение №3.

Направлять уведомление в Роскомнадзор не следует, т.к. в этом случае оператора «возьмут на заметку», обязательно проверят и накажут.

Реальность.

Территориальные подразделения Роскомнадзора обладают вполне очевидными, доступными и законными способами установить факт деловой активности лица (оператора), и сделать вывод о том, что такое лицо является оператором ПДн. Отсутствие уведомления в этом случае только усугубит положение оператора, не направившего уведомления в случаях, предусмотренных ФЗ№152. Роскомнадзор же вправе расценить отсутствие уведомления от оператора как административное правонарушение, предусмотренное ст. 19.7. КоАП РФ. То есть «накажут», скорее, из-за нерасторопности оператора и отсутствия уведомления, а не в силу направления уведомления в надзорный орган. Задача же сбора уведомлений – не тотальный контроль операторов со стороны государства, а подготовка реестра операторов в целях упорядочения обработки ПДн и, в конечном счете, надлежащей защиты прав субъектов ПДн. Форму уведомления можно найти на сайте Роскомнадзора www.rsoc.ru .

Остается только добавить, что подготовка уведомления – достаточно простая процедура, имеющая, правда, свои особенности, связанные с формулированием целей и правовых оснований обработки ПДн.

Заблуждение №4.

Направлять уведомление в Роскомнадзор не нужно, если оператор обрабатывает ПДн только своих сотрудников на основании трудового договора (ч.2 ст22 ФЗ 152).

Реальность.

Формально такое исключение предусмотрено указанной статьей. Однако на практике осмысленная и вдумчивая попытка применения этих исключений не приводит к аргументированному выводу об отсутствии обязанности оператора по направлению уведомления. Этот парадокс касается большинства операторов. Для примера рассмотрим обработку ПДн субъекта, являющего работником оператора. Как правило, помимо обработки ПДн работника, оператор на законных основаниях обрабатывает ПДн иных лиц, имеющих отношение к работнику. Таковыми могут быть лица, получающие алименты по решению суда или в добровольном порядке (супруги, дети, родители работников). Оператор также может обрабатывать ПДн в целях предоставления работникам стандартных налоговых вычетов на детей и (или) социальных налоговых вычетов в связи с обучением или лечением детей или иных родственников; несовершеннолетних детей работников в целях их оздоровления (направление детей в оздоровительные лагеря) и т.п. Наконец, оператор обрабатывает ПДн физических лиц в целях их трудоустройства (резюме кандидатов), при этом обработка ПДн этих лиц происходит до установления трудовых отношений. Поэтому к применению такого исключения нужно относиться очень внимательно.

Часто оператор, поверхностно ознакомившись с ФЗ№152, приходит и к следующему нелогичному выводу: отсутствие необходимости направления уведомления означает вообще отсутствие обязанности выполнения закона «О персональных данных»! Что это - труднообъяснимый парадокс российского менталитета, болезненная потребность во вмешательстве надзорных органов, или банальная самонадеянность в сочетании с завесой коллективной безответственности? Вероятнее всего – безграмотность и халатность сотрудников оператора, вводящих руководителя оператора в заблуждение.

Заблуждение №5.

Защищать персональные данные нужно лишь тем, кто оказывает какие-либо услуги гражданам и обрабатывает ПДн этих граждан. Защита персональных данных «своих» сотрудников необязательна, либо такая защита может быть менее строгой.

Реальность.

Подобное утверждение является предпосылкой к нарушению принципа равенства всех перед законом. Этот принцип закреплен в Конституции РФ (ст. 19). Действительно, разве могут конституционные права работника на тайну личной жизни (ст. 23 Конституции РФ) отличаться от прав другого лица, не являющегося работником предприятия? Еще более важным является вопрос: согласится ли работник предприятия (организации) с фактическим положением дел, при котором его (работника) конституционные права ущемлены? Даже если работников немного, и все они крайне лояльны по отношению к оператору, то нужно понимать, что защита любых конституционных прав – это сфера публичных интересов. Положения же Конституции РФ все органы власти будут защищать вне зависимости от желания субъекта ПДн и вопреки воле оператора - это аксиома. Иными словами, органы прокуратуры, например, вправе отреагировать на указанную позицию оператора вполне предсказуемым образом.

Помимо этого практика показывает, что работник оператора может быть гораздо более требовательным, чем любой иной субъект ПДн по отношению к оператору в части соблюдения последним своих обязанностей по защите ПДн работника. Многие операторы (и профессиональное сообщество) считают, что в действующей редакции ФЗ 152 права субъекта ПДн чрезмерны и абсолютизированы. Действительно, это так – права субъекта ПДн должны быть «уравновешены» здравым смыслом и правами оператора, а требования субъекта – быть обоснованными. Так или