Юридические услуги Нижний Новгород » Статьи » Бесслие властей по защите персональных данных граждан

Бесслие властей по защите персональных данных граждан

Актуальные проблемы законодательного регулирования защиты персональных данных
Вместо преамбулы…

21 января 1981 Советом Европы была принята Европейская конвенция "О защите физических лиц при автоматизированной обработке персональных данных". Государственная Дума РФ ратифицировала ее 25 ноября 2005 года. 27 июля 2006 принят Федеральный Закон "О персональных данных". Однако некоторое время правоприменение в данной области было невозможно ввиду отсутствия подзаконных актов Правительства РФ и ведомств, которые появились лишь в 2008г. Ясности и четкости эти акты не внесли, чем провоцируют массовое неисполнение законодательства.

 

Что мы имеем на сегодняшний день?

 

Основная проблематика данного вопроса связана со ст. 19 Федерального Закона "О персональных данных", закрепляющей меры по обеспечению безопасности персональных данных при их обработке, совокупностью подзаконных актов ведомств (в частности ФСБ и ФСТЭК) и Постановлений Правительства. Согласно нормам законодательства, операторы персональных данных (а это, за малым исключением, все юридические лица) должны привести свои информационные системы персональных данных (ИСПД) в соответствие установленными требованиями в срок до 1 января 2010 года. Весь массив проблемных вопросов, связанных с массовой неспособностью операторов исполнить требования норм законодательства в срок, можно условно разделить на 3 основные части:

Организационные проблемы

Установленные подзаконными нормативными и методическими актами ведомств требования к операторам ИСПД сформировали такую систему обеспечения безопасности персональных данных (ПД), для реализации которой у операторов нет достаточных ресурсов, а у большинства поставщиков услуг – достаточного потенциала. Значительной частью операторов ПД в России являются бюджетные организации: школы, больницы, детские дома и пр., материально техническая база которых не готова к выполнению требований законодательства.

Установленные требования по сертификации используемых средств защиты ПД многими экспертами и аналитиками считаются избыточным по ряду причин. Основной из них являются высокие темпы развития и обновления средств обработки информации, в связи с чем невозможно установить должный уровень оперативности сертификации данных средств.

Финансовые проблемы

По данным официального сайта Министерства финансов Российской Федерации, на 2009 год не предусматриваются затраты из средств федерального бюджет на реализацию Федерального Закона "О персональных данных" (согласно Федеральному Закону "О федеральном бюджете на 2009 г. и плановый период 2010 и 2011 годов", с изм. от 07.12.09 ). Тем не менее, реализация предусмотренных требований органами государственной власти, органами местного самоуправления, а также бюджетными организациями всех уровней потребует значительных материальных затрат из бюджетов всех уровней, которые не планировались и в условиях кризиса практически неосуществимы.

Правовые проблемы

Коллизии в законодательстве состоят из неточностей формулировок, что позволяет различным субъектам правоотношений в области обработки персональных данных трактовать их в зависимости от собственных нужд. К примеру, утвержденное Постановлением Правительства РФ от 16.03.2009 № 228 положение о Роскомнадзоре не в полной мере отражает, не конкретизирует и не упорядочивает полномочия данного органа, обозначенные Законом. В частности, Постановление не содержит информации о праве «вносить в Правительство РФ предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных», праве «обращаться в суд с исковым заявлением в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде», и др.

Кроме того, определенная Постановлением Правительства от 15 августа 2006 г. № 504 деятельность по технической защите ПД сформулирована таким образом, что подпадает под закрепленный в ст. 17 Федерального Закона "О лицензировании отдельных видов деятельности" вид деятельности, на который необходима лицензия. Этот факт формально позволяет регулирующим органам выдвигать требования о получении оператор ами лицензии на техническую защиту конфиденциальной информации во всех случаях, включая даже те, когда обработка ПД осуществляется для собственных нужд, что не соответствует духу Федерального закона «О лицензировании отдельных видов деятельности», о чем было дано разъяснение Комитетом Государственной Думы по собственности.

 

Кто виноват?

 

В сложившейся ситуации явно прослеживается конфликт интересов как минимум 4 групп субъектов:

  • Субъекты персональных данных. Требуют осуществление закона (Отчет Роскомнадзора за 2008г.);
  • Операторы информационных систем персональных данных. Требуют создания четкой, разумной и жизнеспособной системы защиты ПД. Вынужденные нарушения Закона мотивируют физической невозможностью его исполнения;
  • Поставщики средств защиты информации и услуг по защите информации. Поддерживают Закон в том виде, в котором он есть, это способствует расширению рынка сбыта программной продукции (К примеру, 21.10.09 программный продукт компании ESET получил сертификат ФСТЭК);
  • Государственные регуляторы (Роскомнадзор, ФСБ и ФСТЭК). Настаивают на соблюдении норм существующего законодательства;
Одновременно с этим, в данной ситуации нельзя не учитывать в качестве давлеющего фактора и влияние лиц, заинтересованных в развитии черного рынка ПД граждан и организаций. Вот основные субъекты, конфликт чьих интересов привел к появлению нежизнеспособного законодательства в области обработки персональных данных.

Что делать?

 

К середине 2009 года проблемы реализации Закона стали настолько очевидными, что мероприятия по разработке эффективной системы защиты ПД стали проходить достаточно часто. С этой целью 20 октября по инициативе Комитета Государственной Думы по безопасности и Комитета Государственной Думы по конституционному законодательству и государственному строительству в Государственной Думе прошли парламентские слушания. Среди прозвучавших докладов было предложено немало версий и предложений по совершенствованию законодательства. Одно из таких предложений заключалось в снижении нагрузки на операторов ПД до оптимального, разумного уровня. Значительная часть операторов это муниципальные учреждения: школы, больницы, детские сады. Самостоятельная разработка и реализация системы обеспечения безопасности ПД им не под силу, такие операторы нуждаются в типовых подходах без лишних функций, реализация которых под силу местным бюджетам. Одновременно с этим, нагрузку на операторов можно снизить путем разграничения сферы применения обязательных требований по защите ПД и рекомендаций по такой защите.

Обязательные требования целесообразно отнести к операторам государственных информационных систем, содержащих персональные данные. Как показывает практика именно из этих систем, чаще всего, осуществляется утечка персональных данных, именно в этих системах агрегируется большое количество персональных данных, именно в этих персональных данных заинтересован черный рынок.

Остальные операторы обязаны будут защищать свои системы либо в рамках режимов конфиденциальности, распространяемых на информационную систему в целом (в частности, режимы защиты банковской тайны, налоговой тайны и иных видов тайн, установленных федеральными законами), либо исходя из общих стандартов защиты информации, самостоятельно определяя адекватные методы и средства защиты персональных данных с учетом их природы, объема обрабатываемых данных, стоимости применения мер защиты, характеристик информационных систем оператора и учитывая отраслевые рекомендации.

 

Вместо заключения...

Ответственность.

 

Однако на данный момент действует федеральное законодательство в том виде, в котором оно было принято, несмотря на все недоработки, одновременно с ним действует и ответственность за нарушение обработки ПД:

Ст. 24 Федерального Закона № 152-ФЗ "О персональных данных" закрепляет, что лица, нарушившие законодательство в сфере ПД несут: уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

 

Уголовная ответственность.

 

Ст.137 Уголовного Кодекса РФ. Нарушение неприкосновенности частной жизни.

 

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации -

наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

2. Те же деяния, совершенные лицом с использованием своего служебного положения, -

наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

 

Ст. 140 Уголовного Кодекса РФ. Отказ в предоставлении гражданину информации

 

Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.

 

Ст. 272 Уголовного Кодекса РФ. Неправомерный доступ к компьютерной информации.

 

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -

наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

 

Административная ответственность

 

Ст. 5.39 КоАП РФ. Отказ в предоставлении гражданину информации

 

Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации -

влечет наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей.

 

Ст. 13.11 КоАП РФ. Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

 

Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

 

Ст. 13.14 КоАП РФ. Разглашение информации с ограниченным доступом

 

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, -

влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

 

*Актуальность на соответствие законодательству проверена на 1.11.09


Другие новости по теме: