Мария Глазкова → Можно ли скрыться от закона «О персональных данных»?
27 июля 2006 года был принят закон «О персональных данных». Его принятие было связано с ратификацией Россией «Конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Закон этот был призван установить те требования защиты персональных данных, которые были описаны в этой конвенции. По замыслу законодателей, те компьютерные системы, которые были созданы до даты вступления закона в силу, нужно было привести в соответствие с его требованиями к 1 января 2010 года. Однако, по мере приближения этого срока все очевиднее становилось то, что множество компьютеровладельцев с этим не справятся. Поэтому в самом конце 2009 года, когда до «дня икс» оставалось совсем немного, его сдвинули еще, до 1 января 2011 года. А когда и до этого срока тоже оставалось совсем немного, «полноценное» вступление в силу закона отодвинули еще раз, теперь всего на полгода.
Думаю, многие сайтовладельцы, уже и так запуганные этим законом, стали искать возможность как-то скрыться от его всевидящего ока. Не исключено, что в июне наши законотворцы проделают еще один подобный маневр, однако, надеяться на это не стоит. Давайте лучше посмотрим, чем нам всем грозит этот закон.
Что такое ПД?
Для начала определимся с терминологией. Под «информационной системой» в законе понимается «совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Под этой запутанной формулировкой скрывается обычный компьютер, на котором обрабатываются персональные данные. Под такими «данными» в законе понимается любая информация, «относящаяся к определенному или определяемому на основании такой информации физическому лицу».
Прямо к персональным данным законом причислены «фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы», однако, перечень информации в законе – не исчерпывающий. проще говоря, «персональные данные» – это любая информация, с помощью которой можно идентифицировать личность. И именно в этом – одна из самых больших проблем закона: фактически, такое определение может толковаться предельно широко. То, можно ли идентифицировать лицо на основании каких-либо данных, определяется не видом этих данных, а, скорее, их объемом. Например, имени и фамилии может быть недостаточно для идентификации в том случае, если необходимо найти человека в достаточно большом массиве других людей: можете попробовать поискать своих тезок-однофамильцев в интернете и убедиться в этом лично. В то же время, если речь идет о школьном классе, то имени и фамилии вполне достаточно. Не бывает «идентификации вообще», она всегда осуществляется на основе конкретного объема данных и в конкретной ситуации. Закон, оперируя абстрактными «персональными данными», этого совершенно не учитывает. Поэтому возможность попасть под санкции за его нарушения сильно зависит от субъективного мнения проверяющего.
На практике можно быть уверенным только в том, что к «персональным данным» будут причисляться те категории информации, которые прямо указаны в законе. Все остальное может считаться ПД, а может и не считаться – по ситуации. Стоит иметь в виду и еще один нюанс: не всякое упомнинание чужих данных нарушает закон о ПД. Сама конвенция говорит об «автоматизированной обработке данных», а в первой статье закона его действие распространяется на действия, которые проводятся «с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации». Это очень важный момент, о котором часто забывают: не любые действия с персональными данными попадают под регулирование закона, а только те, которые связаны с обработкой достаточно больших их массивов.
Что касается обработки без использования средств автоматизации, то она также регулируется законом в тех случаях, когда совершаются действия с данными множества людей. Под регулирование закона в этом случае попадают разного рода картотеки, списки, и тому подобное.
Кто такой «оператор»?
«Оператором» в терминологии закона, называют любое лицо или организацию, которые занимаются обработкой чужих данных. То есть, если вы запустили сайт, на котором есть регистрация с указанием имени пользователя – все, вы, похоже, попали… Под регулирование закона. Кстати, если вы начали обрабатывать персональные данные после принятия закона, то срок «до июля», о котором мы писали в начале – не для вас. Он установлен статьей 25 закона только для тех, кто делал это до его вступления в силу. Вы же должны были соответствовать требованиям с самого начала.
Первое, что должен сделать наш оператор – уведомить уполномоченный орган, который следит за соблюдением требований закона, Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно «Роскомнадзор»). На сайте службы есть специальная интернет-форма для подачи такого уведомления, однако, толку от нее мало, поскольку посылать его обычной почтой придется все равно.
В девятой статье закона предусмотрен ряд ситуаций, когда уведомление можно не подавать. Этого можно не делать, если из всех видов персональных данных обрабатывается только фамилия, имя и отчество, чего может быть достаточно в некоторых случаях. Большинство форумов и сайтов, построенных на основе распространенных CMS, вообще предусматривают хранение только имени пользователя и пароля, которые никакими «персональными данными» не являются вообще. Поэтому рекомендуется ими и ограничиться.
Однако, в наше время социальных сетей от пользователя требуется оставлять на сайтах все больше и больше данных. А перед владельцами таких сайтов встает следующее препятствие в виде получения согласия от «субъектов». Согласие субъекта данных (то есть, того лица, к которому эти данные относятся) может быть письменным и устным. В письменной форме согласие должно быть получено в определенном перечне случаев: для включения данных в какой-то общедоступный перечень (ст. 8); для обработки специальных категорий данных, например о расовой принадлежности, политических взглядах, и тому подобные сведения(ст. 10); при обработке биометрических данных (ст. 11); при передаче данных за границу (ст. 12); для принятия в отношении субъекта при автоматизированной обработке его данных каких-то решений, затрагивющих его права и свободы (ст. 16). Кроме того, законом могут быть предусмотрены и иные случаи. Причем законом о ПД (ст. 9) установлены дополнительные требования к такой письменной форме: согласие должно содержать собственноручную или электронную подпись лица, которое дает согласие. Поэтому для его получения неприменим обычный порядок письменных сделок, установленный Гражданским кодексом, когда условия договора излагаются в отдельном документе, а согласие с ними можно выразить, совершив какое-то действие.
Таким образом, владельцы социальных сетей, которые либо показывают данные пользователей всем, либо позволяют просматривать их достаточно большому числу лиц, – нарушают закон. Нет у них ни «бумажного» согласия, ни подписанного электронной подписью… Нарушать они его стали совсем недавно, с июля прошлого года: именно тогда были внесены соответствующие изменения в закон. И избежать выполнения этого требования нельзя, похоже, никак. В общем, у любого владельца сайта на этом месте опускаются руки, и до описания требований, которым должен соответствовать его компьютер, он не доходит, сэкономив себе некоторое количество драгоценных нервных клеток (главным образом, потому, что никогда не узнает, какую сумму ему пришлось бы заплатить).
О том, как необходимо защищать персональные данные, говорится в Положении о методах и способах защиты информации в информационных системах персональных данных. Все компьютерные системы делятся на четыре «класса», из которых только для одного, четвертого, средства защиты применяются по усмотрению собственника. Порядок классификации утвержден приказом ФСТЭК, и то, к какому классу будет отнесена система, зависит от количества обрабатываемых данных, их вида, и других факторов. К «четвертому классу» причисляются системы, в которых происходит только обработка обезличенных или общедоступных персональных данных, утечка которых никак не может повредить их субъектам.
Однако, если вы подумали, что можно избежать мер по защите, просто предупредив пользователя, что введенные им данные будут общедоступны, то сразу же об этом забудьте. На этапе сбора данных, то есть, получения их от пользователя, они общедоступными еще не являются, то есть, любая система, которая собирает данные, к «четвертому классу» отнесена быть не может. Хотя на обезличивании данных основан один из часто используемых способов экономии на защите: сертифицируются только те компьютеры, на которых выполняется ввод данных. Затем каждой записи присваивается идентификатор, с которым и работают все остальные компьютеры: они и будут отнесены к «четвертому классу», для которого не требуется защита.
А контролеры кто?
Закон «О персональных данных» оказался слишком требовательным к операторам. На Западе принят совсем другой подход к регулированию в этой сфере: в случае, если у оператора произойдет утечка данных, его накажут, и сильно. Но вот то, как он обрабатывает эти данные – это его проблемы. Российский подход – прямо противоположен: здесь стремятся зарегулировать все, что можно, но вот за нарушение порядка работы с ПД ничего, кроме административной ответственности по статье 13.11 КоАП не грозит (штраф до 10 000 рублей для юридических лиц). Поэтому в России, славной своими традициями неисполнения даже нормальных законов, с такими непродуманными как «О персональных данных», народ тем более борется по-русски: просто игнорирует его, в расчете на то, что всех не накажут, по аналогии с пользователями торрентов.
Правда, торрент-юзеров намного больше, и у каждого из них шанс пострадать – соответственно, намного меньше. Но если ваш сайт находится где-то у зарубежного хостера, то до него, скорее всего, руки Роскомнадзора не дойдут. Впрочем, одна недавняя попытка привлечения владельца сайта к ответственности показала, что и сами контролеры закон знают не очень хорошо. В конце января и начале февраля состоялось два судебных процесса по делу, истцами в котором выступали представители Роскомнадзора, а ответчиком – владелец сайта «Всероссийское генеалогическое древо» Сергей Котельников.
Сам иск был подан по жалобе одной из посетительниц сайта, которая нашла на нем личные данные шести человек. Роскомнадзор в процессе выступал в интересах неопределенного круга лиц, и требовал уничтожить те персональные данные, которые к тому моменту были размещены на сайте. Сведения эти публиковались для поиска родственников, а сам сайт представляет собой крупнейший российский генеалогический ресурс. Естественно, пользователи были недовольны. В ходе переговоров с Котельников с Роскомнадзором даже собирались заключить мировое соглашение, которое включало условие о том, что при размещении данных пользователь будет давать свое согласие на то, что они становятся общедоступными.
При теперешнем распространении электронной подписи задача эта была заведомо невыполнимой. Но суд поступил проще: он не стал рассматривать заявление. В определении суда говорится о том, что Роскомнадзор просто не имеет права подавать иски в интересах неопределенного круга лиц: он может защищать интересы только конкретных «субъектов персональных данных», это право ему дано статьей 23 закона о ПД. Ведь если «персональные данные» – это информация, относящаяся к определенному лицу, то „неопределенного круга“ таких лиц существовать не может в принципе. Таким образом, этот «нашумевший» судебный процесс выявил одно из слабых мест контролеров: требовать удалить все данные всех пользователей с сайта они просто не имеют права, закон разрешает им действовать только в интересах конкретных лиц.
Думаю, многие сайтовладельцы, уже и так запуганные этим законом, стали искать возможность как-то скрыться от его всевидящего ока. Не исключено, что в июне наши законотворцы проделают еще один подобный маневр, однако, надеяться на это не стоит. Давайте лучше посмотрим, чем нам всем грозит этот закон.
Что такое ПД?
Для начала определимся с терминологией. Под «информационной системой» в законе понимается «совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Под этой запутанной формулировкой скрывается обычный компьютер, на котором обрабатываются персональные данные. Под такими «данными» в законе понимается любая информация, «относящаяся к определенному или определяемому на основании такой информации физическому лицу».
Прямо к персональным данным законом причислены «фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы», однако, перечень информации в законе – не исчерпывающий. проще говоря, «персональные данные» – это любая информация, с помощью которой можно идентифицировать личность. И именно в этом – одна из самых больших проблем закона: фактически, такое определение может толковаться предельно широко. То, можно ли идентифицировать лицо на основании каких-либо данных, определяется не видом этих данных, а, скорее, их объемом. Например, имени и фамилии может быть недостаточно для идентификации в том случае, если необходимо найти человека в достаточно большом массиве других людей: можете попробовать поискать своих тезок-однофамильцев в интернете и убедиться в этом лично. В то же время, если речь идет о школьном классе, то имени и фамилии вполне достаточно. Не бывает «идентификации вообще», она всегда осуществляется на основе конкретного объема данных и в конкретной ситуации. Закон, оперируя абстрактными «персональными данными», этого совершенно не учитывает. Поэтому возможность попасть под санкции за его нарушения сильно зависит от субъективного мнения проверяющего.
На практике можно быть уверенным только в том, что к «персональным данным» будут причисляться те категории информации, которые прямо указаны в законе. Все остальное может считаться ПД, а может и не считаться – по ситуации. Стоит иметь в виду и еще один нюанс: не всякое упомнинание чужих данных нарушает закон о ПД. Сама конвенция говорит об «автоматизированной обработке данных», а в первой статье закона его действие распространяется на действия, которые проводятся «с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации». Это очень важный момент, о котором часто забывают: не любые действия с персональными данными попадают под регулирование закона, а только те, которые связаны с обработкой достаточно больших их массивов.
Что касается обработки без использования средств автоматизации, то она также регулируется законом в тех случаях, когда совершаются действия с данными множества людей. Под регулирование закона в этом случае попадают разного рода картотеки, списки, и тому подобное.
Кто такой «оператор»?
«Оператором» в терминологии закона, называют любое лицо или организацию, которые занимаются обработкой чужих данных. То есть, если вы запустили сайт, на котором есть регистрация с указанием имени пользователя – все, вы, похоже, попали… Под регулирование закона. Кстати, если вы начали обрабатывать персональные данные после принятия закона, то срок «до июля», о котором мы писали в начале – не для вас. Он установлен статьей 25 закона только для тех, кто делал это до его вступления в силу. Вы же должны были соответствовать требованиям с самого начала.
Первое, что должен сделать наш оператор – уведомить уполномоченный орган, который следит за соблюдением требований закона, Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно «Роскомнадзор»). На сайте службы есть специальная интернет-форма для подачи такого уведомления, однако, толку от нее мало, поскольку посылать его обычной почтой придется все равно.
В девятой статье закона предусмотрен ряд ситуаций, когда уведомление можно не подавать. Этого можно не делать, если из всех видов персональных данных обрабатывается только фамилия, имя и отчество, чего может быть достаточно в некоторых случаях. Большинство форумов и сайтов, построенных на основе распространенных CMS, вообще предусматривают хранение только имени пользователя и пароля, которые никакими «персональными данными» не являются вообще. Поэтому рекомендуется ими и ограничиться.
Однако, в наше время социальных сетей от пользователя требуется оставлять на сайтах все больше и больше данных. А перед владельцами таких сайтов встает следующее препятствие в виде получения согласия от «субъектов». Согласие субъекта данных (то есть, того лица, к которому эти данные относятся) может быть письменным и устным. В письменной форме согласие должно быть получено в определенном перечне случаев: для включения данных в какой-то общедоступный перечень (ст. 8); для обработки специальных категорий данных, например о расовой принадлежности, политических взглядах, и тому подобные сведения(ст. 10); при обработке биометрических данных (ст. 11); при передаче данных за границу (ст. 12); для принятия в отношении субъекта при автоматизированной обработке его данных каких-то решений, затрагивющих его права и свободы (ст. 16). Кроме того, законом могут быть предусмотрены и иные случаи. Причем законом о ПД (ст. 9) установлены дополнительные требования к такой письменной форме: согласие должно содержать собственноручную или электронную подпись лица, которое дает согласие. Поэтому для его получения неприменим обычный порядок письменных сделок, установленный Гражданским кодексом, когда условия договора излагаются в отдельном документе, а согласие с ними можно выразить, совершив какое-то действие.
Таким образом, владельцы социальных сетей, которые либо показывают данные пользователей всем, либо позволяют просматривать их достаточно большому числу лиц, – нарушают закон. Нет у них ни «бумажного» согласия, ни подписанного электронной подписью… Нарушать они его стали совсем недавно, с июля прошлого года: именно тогда были внесены соответствующие изменения в закон. И избежать выполнения этого требования нельзя, похоже, никак. В общем, у любого владельца сайта на этом месте опускаются руки, и до описания требований, которым должен соответствовать его компьютер, он не доходит, сэкономив себе некоторое количество драгоценных нервных клеток (главным образом, потому, что никогда не узнает, какую сумму ему пришлось бы заплатить).
О том, как необходимо защищать персональные данные, говорится в Положении о методах и способах защиты информации в информационных системах персональных данных. Все компьютерные системы делятся на четыре «класса», из которых только для одного, четвертого, средства защиты применяются по усмотрению собственника. Порядок классификации утвержден приказом ФСТЭК, и то, к какому классу будет отнесена система, зависит от количества обрабатываемых данных, их вида, и других факторов. К «четвертому классу» причисляются системы, в которых происходит только обработка обезличенных или общедоступных персональных данных, утечка которых никак не может повредить их субъектам.
Однако, если вы подумали, что можно избежать мер по защите, просто предупредив пользователя, что введенные им данные будут общедоступны, то сразу же об этом забудьте. На этапе сбора данных, то есть, получения их от пользователя, они общедоступными еще не являются, то есть, любая система, которая собирает данные, к «четвертому классу» отнесена быть не может. Хотя на обезличивании данных основан один из часто используемых способов экономии на защите: сертифицируются только те компьютеры, на которых выполняется ввод данных. Затем каждой записи присваивается идентификатор, с которым и работают все остальные компьютеры: они и будут отнесены к «четвертому классу», для которого не требуется защита.
А контролеры кто?
Закон «О персональных данных» оказался слишком требовательным к операторам. На Западе принят совсем другой подход к регулированию в этой сфере: в случае, если у оператора произойдет утечка данных, его накажут, и сильно. Но вот то, как он обрабатывает эти данные – это его проблемы. Российский подход – прямо противоположен: здесь стремятся зарегулировать все, что можно, но вот за нарушение порядка работы с ПД ничего, кроме административной ответственности по статье 13.11 КоАП не грозит (штраф до 10 000 рублей для юридических лиц). Поэтому в России, славной своими традициями неисполнения даже нормальных законов, с такими непродуманными как «О персональных данных», народ тем более борется по-русски: просто игнорирует его, в расчете на то, что всех не накажут, по аналогии с пользователями торрентов.
Правда, торрент-юзеров намного больше, и у каждого из них шанс пострадать – соответственно, намного меньше. Но если ваш сайт находится где-то у зарубежного хостера, то до него, скорее всего, руки Роскомнадзора не дойдут. Впрочем, одна недавняя попытка привлечения владельца сайта к ответственности показала, что и сами контролеры закон знают не очень хорошо. В конце января и начале февраля состоялось два судебных процесса по делу, истцами в котором выступали представители Роскомнадзора, а ответчиком – владелец сайта «Всероссийское генеалогическое древо» Сергей Котельников.
Сам иск был подан по жалобе одной из посетительниц сайта, которая нашла на нем личные данные шести человек. Роскомнадзор в процессе выступал в интересах неопределенного круга лиц, и требовал уничтожить те персональные данные, которые к тому моменту были размещены на сайте. Сведения эти публиковались для поиска родственников, а сам сайт представляет собой крупнейший российский генеалогический ресурс. Естественно, пользователи были недовольны. В ходе переговоров с Котельников с Роскомнадзором даже собирались заключить мировое соглашение, которое включало условие о том, что при размещении данных пользователь будет давать свое согласие на то, что они становятся общедоступными.
При теперешнем распространении электронной подписи задача эта была заведомо невыполнимой. Но суд поступил проще: он не стал рассматривать заявление. В определении суда говорится о том, что Роскомнадзор просто не имеет права подавать иски в интересах неопределенного круга лиц: он может защищать интересы только конкретных «субъектов персональных данных», это право ему дано статьей 23 закона о ПД. Ведь если «персональные данные» – это информация, относящаяся к определенному лицу, то „неопределенного круга“ таких лиц существовать не может в принципе. Таким образом, этот «нашумевший» судебный процесс выявил одно из слабых мест контролеров: требовать удалить все данные всех пользователей с сайта они просто не имеют права, закон разрешает им действовать только в интересах конкретных лиц.
1 комментарий