Несовершенные данные

Вопрос о защите персональных данных отложен до 2011 года, но не решен. Эксперты полагают, что существующий закон не решает поставленную задачу и в нынешнем виде представляет угрозу для бизнеса.

Исполни то, не знаю что

Если руководствоваться действующим федеральным законом «О персональных данных», получается, что, например, когда соискатель высылает свое резюме работодателю, тот должен получить письменное разрешение на использование присланных личных данных. Такую же бумагу нужно получать от обеих сторон любого платежа или денежного перевода. Согласно закону письменное разрешение на использование персональных данных должно получать даже бюро пропусков любого учреждения. А после их использования и уничтожения — письменно уведомлять об этом каждого посетителя.

Эти требования действуют уже три года, и за это время бизнес успел научиться обходить многие из них. Видимо, такой срок по­влиял и на то, что предприниматели спокойно пережили декабрь. А ведь он был последним месяцем, который законодатели дали на то, чтобы информационные системы персональных данных были приведены в соответствие закону. А перед самым Новым годом в нем появились новые изменения: срок был отложен до 1 января 2011 года. На то, чтобы привести созданные до 1 января 2010 года информационные системы в соответствие требованиям, осталось чуть больше десяти месяцев.

Терминология и положения закона «О персональных данных» таковы, что затрагивают почти любого человека, находящегося на территории России. Под понятие «оператора», собирающего, хранящего и обрабатывающего данные, подпадают государственные и муниципальные органы, юридические и физические лица, организующие или осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки этих данных.

Менее конкретно определены «субъекты» (то есть лица, чьи данные собираются и обрабатываются). В законе не разъяснено, подпадают ли под это понятие иностранные граждане и лица без гражданства, в том числе не находящиеся на территории Российской Федерации, и каков порядок обработки их персональных данных.

Но, читая закон, бизнес сегодня ломает голову не только над этим. Дело в том, что само понятие персональных данных описано в документе весьма нечетко. Такими данными является любая информация, относящаяся к определенному или определяемому на основании этой информации физическому лицу. В том числе его фамилия, имя, отчест­во, дата и место рождения, адрес, семейное, имущест­венное и социальное положение, образование, профессия, доходы, другая информация. При этом последний пункт, предполагающий достаточно широкую трактовку, в законе не раскрыт. Отсутствует в документе и перечень сведений, относящихся к персональным данным. Буквы закона сложились в приставку «в том числе». Но и без того ясно, что составить телефонный справочник жителей крупного города, не нарушив требований, достаточно проблематично.

Трудности возникнут и с передачей персональных данных через российскую границу. «Требования закона, касающиеся получения письменного согласия на обработку персональных данных, а также ограничения на трансграничную передачу персональных данных делают невозможными все банков-ские операции, связанные с проведением платежей и денежных переводов в иностранные государства. Фактически они не дают возможности без нарушения закона осуществлять международные банковские расчеты», — рассказал на условиях анонимности представитель ВТБ 24.

Закон также обязывает оператора убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается «адекватная защита прав субъектов персональных данных». При этом в документе не определено, как именно оператор должен убедиться в этой адекватности. К тому же ни одно предприятие, занятое электронной коммерцией, или, скажем, банк никогда не смогут проверить все страны, в которые и из которых клиенты переводят средства.

Благие намерения

Эксперты признают, что защита персональных данных необходима. Однако множество положений существующего закона не отвечает поставленным задачам. «Все недоработки существующего документа, безусловно, влия­ют на его коррупциогенность», — объясняет Инна Коновалова, руководитель юридиче­ского отдела Института проблем предпринимательства. В банке ВТБ 24 тоже указали на опасность существующего закона для бизнеса: «Документ, вводя избыточные права для субъектов персональных данных, открывает большие возможности для противоправного вторжения в текущую деятельность собирающего и обрабатывающего их оператора, создания помех его работе, вплоть до ее блокирования».

Чтобы привести информационные системы персональных данных в соответствие требованиям закона, операторам среди прочего необходимо пройти аттестацию оборудования и помещений, участвующих в обработке персональных данных, а также заменить все средства защиты информации на сертифицированные Федеральной службой по техническому и экспортному контролю (ФСТЭК). «В неадекватно завышенных требованиях по обеспечению защиты персональных данных просматривается личная заинтересованность работников ФСТЭК. Известно, что учредителями и руководителями большинства специализированных предприятий, аккредитованных ФСТЭК, являются бывшие работники этой службы или лица, имеющие тесные связи с ней. Завышенные требования ведут к увеличению объемов работ по защите персональных данных и росту закупок средств защиты. Это, соответственно, приводит к увеличению портфеля заказов указанных предприятий и росту доходов участвующих в этом бизнесе лиц», — рассказал представитель ВТБ 24.

В полемике, развернувшейся вокруг закона «О персональных данных», звучат и оптимистичные мнения. Инна Коновалова считает, что документ при всех своих недостатках несет и положительный эффект. «Большин-ство из тех, кто говорит о полной нежизнеспособности закона «О персональных данных», устраивает атмосфера анархии и безнаказанности, которая царила в этой области до вступления документа в силу», — считает эксперт и выражает надежду на то, что до 2011 года многие несовершенства документа будут устранены.