РЕКОМЕНДАЦИИ Парламентских слушаний на тему: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных»

20 октября 2009 г., с 11-00 до 14-00, Малый зал

Первым шагом в реализации вышеназванных обязательств стало принятие Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»   (далее – Федеральный закон).

Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Федеральный закон определил Уполномоченный орган по защите прав субъектов персональных данных, установил права субъектов персональных данных, обязанности и ответственность операторов, осуществляющих обработку персональных данных.

В настоящее время функции Уполномоченного органа возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор). Федеральная служба находится в ведении Министерства связи и массовых коммуникаций Российской Федерации (далее – Минкомсвязи), которое осуществляет контроль и координацию деятельности Уполномоченного органа.

В составе Роскомнадзора функционируют 78 территориальных органов, из них в 19-ти созданы профильные отделы, в остальных управлениях дополнительно введены должности для выполнения функций по осуществлению государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Таким образом, в настоящее время функционирует организационно-штатная структура Уполномоченного органа, которая имеет координационный центр на федеральном уровне и территориальные органы в субъектах Российской Федерации.

Деятельность Роскомнадзора регулируется Положением, утвержденным Постановлением Правительства РФ от 16.03.2009 N 228.

По мнению участников Парламентских слушаний, в Положении нашли отражение не все полномочия, предусмотренные статьей 23 Федерального закона «О персональных данных».

Так, несмотря на наличие в Положении бланкетной нормы, в соответствии с которой наряду с полномочиями, прямо предусмотренными Положением, Роскомнадзор осуществляет и иные полномочия, в том числе предусмотренные федеральными законами, в настоящее время отсутствуют правовые механизмы реализации органами Роскомнадзора, в частности, права вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных, права обращаться в суд с исковым заявлением в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде, а также обязанности организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных.

Задача по приведению актов, регулирующих деятельность Роскомнадзора в строгое соответствие с положениями Федерального закона «О персональных данных», представляется одной из наиболее значимых для повышения уровня защиты прав субъектов персональных данных в России.

Не менее значимой видится задача по приведению статуса уполномоченного органа в Российской Федерации в соответствие с требованиями Дополнительного протокола к Конвенции от 8 ноября 2001 года в части обеспечения осуществления функций уполномоченного органа независимо.

В развитие Федерального закона Правительством Российской Федерации был выпущен ряд нормативных правовых актов:

Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Постановление Правительства РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Приказом Россвязькомнадзора от 17.07.2008 N 08 (в ред. от 18.02.2009) был утвержден образец формы уведомления об обработке персональных данных.

В развитие Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 совместным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 был утвержден Порядок проведения классификации информационных систем персональных данных.

Также во исполнение п. 3 этого Постановления Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК России) в пределах ее компетенции утвержден пакет методических документов: «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», а также «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». Указанные документы имеют гриф «Для служебного пользования». Документы предоставляются оператору по его запросу. В настоящее время перерабатываются.

Одновременно во исполнение того же пункта Постановления Федеральной службой безопасности Российской Федерации (далее - ФСБ России) утверждены «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» и «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Документы имеются в публичном доступе в сети Интернет.

Представители ФСТЭК России и ФСБ России в целях доведения требований указанных документов и оказания методической помощи операторам по их реализации участвуют в публичных мероприятиях, проводят практические занятия с подразделениями по защите информации органов исполнительной власти субъектов Российской Федерации, а также осуществляют лицензионные и контрольные функции в рамках своих полномочий.

В целом подзаконные нормативные правовые акты ориентированы на защиту собственно персональных данных, а не прав граждан при обработке их персональных данных в информационных системах, что не соответствует базовым тенденциям в развитии законодательства о персональных данных в европейских странах в рамках реализации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Попытки реализации указанных нормативных правовых актов и методических документов, особенно определенных подзаконными актами требований к информационным системам персональных данных, выявили ряд трудностей.

Операторы столкнулись с различными подходами в трактовке положений Федерального закона в регионах, недостатком разъяснений со стороны государственных регуляторов и избирательным применением Федерального закона.

Кроме того, требования к операторам информационных систем персональных данных со стороны ФСТЭК России, включают такие механизмы государственного регулирования (лицензирование деятельности по технической защите информации, сертификацию средств защиты информации, аттестацию информационных систем персональных данных), для реализации которых у большинства операторов нет достаточных материальных и трудовых ресурсов. Особенно это касается бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса.

Существенное увеличение затрат на подготовку информационной системы по требованиям безопасности персональных данных и, особенно, затраты на поддержание системы в коммерческих организациях, неизбежно отразятся на стоимости услуг оператора.

Участники рынка услуг по защите персональных данных также не в силах предоставить услуги всем заинтересованным операторам, которых по экспертным оценкам более 2 миллионов.

Операторы обращают внимание законодателей на дисбаланс в российском законодательстве в сторону интересов субъекта персональных данных. При этом реальные возможности операторов по исполнению возлагаемых на него законом требований зачастую не  учитываются.

Подзаконная база сформировала чрезвычайно затратный, запутанный, противоречивый механизм, не учитывающий ни особенности обработки персональных данных в различных сферах деятельности, ни возможности оператора по обеспечению установленных требований. Специалисты указываю на неадекватность требований по обработке данных возможным угрозам их утраты и конфликте требований, установленных разными законами.

В ряде отраслей реализация установленных требований потребует радикальных изменений бизнес-процессов (например, в банковской сфере, в сфере предоставления услуг связи), поскольку большинство коммерческих структур используют зарубежные программные продукты, при этом переход на отечественные продукты либо невозможен из-за отсутствия аналогов, либо несет огромные временные и материальные затраты, которые могут привести к остановке деятельности компании.

Значительные трудности вызывает на сегодняшний день трансграничная передача персональных данных. В первую очередь это обусловлено тем, что не определены критерии оценки адекватности защиты персональных данных в стране-получателе. При этом передача данных в страны, не обеспечивающие адекватный уровень защиты, законом существенно ограничивается.

Ситуация осложняется тем, что установленный подзаконными актами уровень требований к технической защите персональных данных значительно выше, чем в большинстве стран, являющихся сторонами Конвенции и на деле обеспечивающих эффективную защиту персональных данных.

Финансовые проблемы реализации закона прогнозировались депутатами Государственной Думы еще при внесении Правительством РФ в Государственную Думу проекта федерального закона «О персональных данных», поскольку затраты на реализацию Федерального закона из средств федерального бюджета не предусматривались. Тем не менее, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований основных регуляторов (ФСТЭК России и ФСБ России) по обеспечению безопасности обработки персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, которые не планировались и не осуществимы в условиях кризиса.

Не выработаны механизмы взаимодействия контролирующих органов исполнительной власти при проведении проверок в части выявления нарушений Федерального закона.

Проблема обеспечения прав субъектов персональных данных в органах государственной власти, по-видимому, рассматривается обособлено от общих проблем внедрения информационно-коммуникационных технологий в деятельность федеральных органов исполнительной власти, поскольку они не нашли отражения в Типовой форме ведомственной программы внедрения информационно-коммуникационных технологий в деятельность федерального органа государственной власти, утвержденной Решением заседания президиума Совета при Президенте Российской Федерации по развитию информационного общества в Российской Федерации от 27 мая 2009 года.

Следствием указанных проблем стала массовая неготовность к исполнению Федерального закона. Ситуация не может принципиально измениться за оставшиеся два с половиной месяца. Это означает, что с начала 2010 года вступят в силу положения части 3 статьи 25 Федерального закона и государственные регуляторы будут вправе осуществлять проверки исполнения требований закона в отношении всех информационных систем персональных данных.

Сложность исполнения этих требований и других положений Федерального закона будет усиливать правовой нигилизм в обществе и создаст условия для коррупции.

Заслушав и обсудив выступления по теме парламентских слушаний, участники парламентских слушаний отмечают важность и актуальность обсуждаемых проблем и рекомендуют:

Президенту Российской Федерации:

взять под личный контроль деятельность Правительства Российской Федерации по подготовке к вступлению в силу Федерального закона «О персональных данных»;

Совету при Президенте Российской Федерации по развитию информационного общества в Российской Федерации:

включить мероприятия по обеспечению безопасности персональных данных в Типовую форму ведомственной программы внедрения информационно-коммуникационных технологий в деятельность федерального органа государственной власти.

Федеральному Собранию Российской Федерации и Правительству Российской Федерации:

1. В кратчайшие сроки внести изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в части:

уточнения состава основных понятий, используемых в Федеральном законе (ст. 3);

права оператора определять сроки хранения и уничтожения персональных данных в соответствии с условиями договора с субъектом персональных данных, если иное не установлено федеральным законом (ст. 5 21);

порядка использования персональных данных при осуществлении деятельности, предшествующей заключению договора, и утверждения перечня обрабатываемых персональных данных (ст. 6);

уточнения случаев, когда согласие субъекта на обработку его персональных данных не требуется (ч. 2 ст. 6);

дополнения статьи 7 случаями, когда не требуется обеспечение конфиденциальности персональных данных;

определения порядка оценки адекватности защиты прав субъектов на территории иностранного государства при трансграничной передаче персональных данных (ст. 12);

уточнения перечня сведений о лицах, которые имеют доступ к персональным данным субъекта (ч. 4 ст. 14);

ограничения права субъекта на получение сведений об операторе и иных сведений наличием оснований полагать что его права нарушаются (ст. 14);

конкретизации условий обработки персональных данных при продвижении товаров, работ и услуг на рынке и других целей, предусмотренных ст. 15;

ограничения обязанности оператора сообщать субъекту об обработке персональных данных, полученных от третьих лиц (ст. 18):

исключения требования по обязательному использованию средств криптозащиты для обеспечения безопасности обработки персональных данных (ч. 1 ст. 19):

распространения обязательных требований по безопасности обработки персональных данных, установленных Правительством РФ, на государственные информационные системы, содержащие персональные данные (ст. 19), определив в качестве критериев при разработке этих требований соразмерность затрат и возможности возникновения ущерба субъекту персональных данных, реалистичность, соответствие природе обрабатываемых данных и масштабам обработки;

установления права оператора негосударственной и муниципальной информационной системы самостоятельно определять методы и средства обеспечения безопасности персональных данных при их автоматизированной обработке с учетом отраслевых (ведомственных) методических рекомендаций по обеспечению безопасности информационных систем персональных данных (ст. 19;)

возможности распространения на информационные системы персональных данных правовых режимов и способов защиты коммерческой, профессиональной и иной, охраняемой законом тайны (ст. 19);

уточнения полномочий регулирующих органов при осуществлении контроля (надзора) за обеспечением оператором безопасности обработки персональных данных (ст. 19);

уточнения порядка и сроков уничтожения персональных данных с учетом возможности прекращения доступа к персональным данным и последующим уничтожением (ст. 21):

уточнения содержания уведомления об обработке персональных данных  в части описания мер, которые оператор обязуется осуществлять при обработке персональных данных (ч. 3 ст. 22), включив в него сведения о наличии шифровальных (криптографических) средств и их наименование;

дополнение обязанностей Уполномоченного органа по защите прав субъектов персональных данных (ч. 5 ст. 23) обязанностью информировать ФСБ и ФСТЭК о мерах, принимаемых операторами, по обеспечению безопасности персональных данных при их обработке;

продление срока вступления в силу положений части 3 статьи 25 в отношении исполнения требований по безопасности обработки персональных данных применительно к информационным системам персональных данных, действовавшим до вступления в силу Федерального закона (ст. 25).

2. До конца 2009 года внести изменения в Федеральный закон от 8 июля 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» в части:

исключения необходимости получения лицензии на техническую защиту информации ограниченного доступа (не составляющей государственную тайну) при обработке такой информации для собственных нужд (пункт 11 части 1 статьи 17) и уточнения формулировки лицензируемого вида деятельности в пункте 10 части 1 статьи 17.

3. В возможно кратчайшие сроки внести на рассмотрение Государственной Думы во втором чтении проект федерального закона N 217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных», дополнив его статьями, предусматривающими внесение изменений в федеральные законы, направленных на усиление административной ответственности за нарушение требований закона; уточнение положений Федерального закона «О связи» (абз. 4 ч. 2 ст. 53); федеральных законов, регулирующих банковскую деятельность, уточнения формулировки понятия «конфиденциальность информации» (ст. 2 Федерального закона «О информации, информационных технологиях и о защите информации»).

Правительству Российской Федерации:

1. До конца 2009 года внести в Государственную Думу проект федерального закона «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», в том числе предусматривающего внесение изменений в Федеральный закон «О персональных данных» в части определения предмета, сроков и оснований проведения проверок в области защиты персональных данных.

2. После внесения изменений в Федеральный закон «О персональных данных» привести в соответствие с ним нормативные правовые акты Правительства Российской Федерации (включая Положение об уполномоченном органе по защите прав субъектов персональных данных) и нормативные правовые акты федеральных органов исполнительной власти.

Организовать публичные обсуждения проектов нормативных правовых и нормативно-технических актов, подготовленных во исполнение Федерального закона «О персональных данных».

3. Принять программу мероприятий, рассчитанную на 1 год, по подготовке к вступлению в силу Федерального закона «О персональных данных», включающую:

1) разработку под общим руководством Минкомсвязи России и при участии заинтересованных министерств и ведомств, совместно с общественными организациями операторов и профильными компаниями отраслевых методических рекомендаций по обеспечению безопасности информационных систем персональных данных;

2) уточнение сфер компетенции федеральных органов исполнительной власти в области защиты прав граждан при автоматизированной обработке их персональных данных,

3) предусмотреть в рамках ФЦП «Электронная Россия» создание и сертификацию свободно распространяемого типового программного обеспечения для защиты персональных данных для государственных и муниципальных учреждений.

4) в рамках областей компетенции Минкомсвязи России, ФСТЭК России и ФСБ России подготовить методическую базу для проведения сертификации отраслевых требований по защите государственных информационных систем персональных данных с учетом международного опыта гармонизации стандартов в области информационной безопасности, обеспечивающих решение задач по интеграции России в мировое информационное пространство;

5) разработать, согласовать и довести до сведения операторов административный регламент проведения совместных мероприятий Роскомнадзора, ФСТЭК России и ФСБ России по контролю и надзору в области персональных данных, включая возможность представления контролирующему органу электронных документов;

6) организовать общедоступные порталы по проблемам, связанным с обеспечением безопасности персональных данных, размещать на них методические материалы, разъяснения, информацию о типичных ошибках, примеры для построения систем защиты персональных данных (ФСТЭК России и ФСБ России);

7) обеспечить применение отраслевых методических рекомендации организациями отрасли (Федеральные органы исполнительной власти).

Генеральной прокуратуре Российской Федерации, Роскомнадзору, Федеральной службе труда, Федеральной антимонопольной службе

разработать единый порядок взаимодействия их территориальных органов при выявлении, пресечении и профилактике правонарушений в сфере обработки персональных данных;

Комиссиям (Советам) по защите информации при Полномочных представителях Президента Российской Федерации в федеральных округах, уполномоченным органам государственной власти субъектов Российской Федерации:

обеспечить координацию подготовки организаций субъектов Российской Федерации к вступлению в силу Федерального закона «О персональных данных», подготовить планы мероприятий по разъяснению, обучению, стимулированию организаций к выполнению требований Федерального закона,

рассматривать на своих заседаниях ход выполнения планов мероприятий;

направлять в уполномоченные органы и Государственную Думу предложения по совершенствованию законодательства в области защиты персональных данных;

оказать поддержку органам местного самоуправления и муниципальным организациям в подготовке к вступлению в силу Федерального закона «О персональных данных».

Источник: duma.gov.ru