Позиция РАЭК по №152-ФЗ
Дата публикации: 24 октября 2013
В настоящее время законодательство о персональных данных не учитывает современного уровня развития интернета и информационных технологий в целом, что существенно замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.
Среди основных недостатков можно отметить следующие:
- Смещение акцента с правовых требований и организационных мер по защите персональных данных, в том числе прописанных и в разработанном международном стандарте по защите персональных данных ISO 29100 и ISO 29101 (и отражённых в европейских стандартах по защите прав субъектов персональных данных CWA 15262-2005, CWA 15263-2005, CWA 15292-2005, CWA 15499-1-2006, CWA 15499-2-2006, CWA 16111-2010, CWA 16112-2010 и CWA 16113-2010), в сторону технических мер, устанавливаемых ФСТЭК и ФСБ;
- Обязанность операторов персональных данных тратить ресурсы на выполнение устаревших требований и покупать не соответствующие современным реалиям технических средств криптографической защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года,на реализацию этих мероприятий, по факту совершенно неэффективных в деле защиты прав субъектов персональных данных, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы персональных данных, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов;
- Непрозрачность требований при проверках соответствия обработки персональных данных операторами информационных систем закону;
- Проект закона Роскомнадзора, которым предлагается ввести административную ответственность с очень большими штрафами за различные нарушения требований законодательства о персональных данных (а не за нанесение ущерба субъекту персональных данных), при отсутствии внесения очевидных изменений в сам закон, объективная необходимость которых доказана практикой применения;
- Наличие нескольких различных регуляторов, несогласованность их действий и нечёткое разграничение полномочий между Роскомнадзором, ФСБ,ФСТЭК, прокуратурой, ОВД;
- Отсутствие учёта специфики правоотношений в интернете, которая в принципе не позволяет установить персональный контакт с субъектом и, как следствие, определить принадлежность данных передающему субъекту (в отличие от Европы, которая приняла немало директив по данному вопросу, например, 2002/58/EC). Сейчас одна из основных проблем – неоднозначность даже тех требований, которые есть. В частности: Является ли электронная форма согласия допустимой? Является ли фотография биометрическими данными? Как получить письменное согласие на трансграничную обработку данных через Интернет? (По последнему: раньше департамент надзора в сфере связи Роскомнадзора считал нажатие кнопки «Я согласен» на сайте акцептом публичной оферты, в то время как департамент по ПДн так не считает);
- Несоответствие российского законодательства духу Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», в частности Россия до сих пор не признана Европейским сообществом страной, обеспечивающей адекватную защиту прав субъектов персональных данных, что обусловлено целым рядом причин, одна из которых то, что уполномоченный орган по защите прав субъектов персональных данных входит в структуру исполнительной власти и не является независимым, как это предписано Конвенцией Совета Европы.
Предложения РАЭК
Мы видим следующие пути разрешения данной ситуации, усовершенствования закона №152-ФЗ и детализации его отдельных положений.
- Комплексное внесение точечных изменений в 152-ФЗ, которые позволили бы исправить указанные недоработки закона, наличие новых технологий и учесть сложившуюся практику;
- Уточнение требований к проверкам: необходимо разъяснить, что и как проверяют инспекции Роскомнадзора, каким образом трактовать те или иные требования закона, указать на конечный перечень документов, необходимых оператору персональных данных для успешного прохождения проверки Роскомнадзора;
- Дифференцировать требования по обеспечению безопасности персональных данных между государственными, муниципальными и иными операторами персональных данных;
- Разработка и согласование с Роскомнадзором пакета внутренних корпоративных документов, необходимых при проверках Роскомнадзора,публикация списка необходимых документов и их шаблонов для понимания того, как реализовать требования закона на практике тем, кто планирует начать обрабатывать персональные данные;
- Разработка отдельных требований по защите прав субъектов персональных данных для субъектов малого и среднего бизнеса (как это предусмотрено реформой европейского законодательства по персональным данным, анонсированной в январе 2012 года);
- Коррекция проекта закона Роскомнадзора о внесении изменений в КОАП и отсрочка его внесения до момента, пока не будут реализованы шаги 1-5,так как в противном случае многие из тех, кто добросовестно обрабатывает персональные данные, окажутся нарушителями случайно и понесут серьезную материальную и административную ответственность;
- Рассмотрение возможности полной или частичной передачи контролирующих функций в области защиты прав субъекта в независимый уполномоченный орган, например, по защите прав человека. Это позволит странам Евросоюза считать Российскую Федерацию страной с адекватной защитой прав субъектов персональных данных.
В связи с указанным, считаем своевременным создание межведомственного Совета при Минкомсвязи и работу на площадке Совета Федерации по реформированию законодательства о персональных данных.
Комиссии РАЭК по правовым вопросам, по электронной коммерции, по информационной безопасности и киберпреступности будут оказывать всестороннюю экспертную поддержку в работе по указанным направлениям, надеемся на плодотворное и оперативное сотрудничество.