Мария Глазкова →  Новая редакция закона о ПД: нужно ли нам бояться?

В конце июля Президент подписал законопроект о внесении поправок в федеральный закон «О персональных данных». Закон этот был опубликован в "Российской газете" 27 июля, и тогда же вступил в силу. Вдобавок, ему придана еще и «обратная сила»: действие его распроостраняется и на те правоотношения, которые возникли с 1 июля. Принятию предшествовала бурная дискуссия: несколько специалистов в области информационной безопасности обратились к Президенту с открытым письмом, в котором призвали его закон ни в коем случае не подписывать. По мнению подписантов письма, предлагаемые поправки не соответствуют конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», хотя целью проекта было именно выполнение ее требований.

Та схема определения мер по защите персональных данных, которая принята сейчас, в корне противоречит конвенционной. По конвенции лицо, которое обрабатывает информацию, может само определять, с помощью каких средств можно их защищать. А вот отечественный закон сам устанавливает такие требования, предусматривая ответственность за их неисполнение. Причем, по мнению авторов письма, требования эти представляют собой «методы и способы защиты государственной тайны 20-летней давности». Сам текст законопроекта изначально имел компромиссный характер, давая оператору персональных данных большую свободу действий при выборе средств защиты. Но в процессе принятия текст его был изменен. Ну что ж, давайте посмотрим, что за поправки.

На что распространяется закон?


Не так давно мы уже разбирали этот закон в его предыдущей редакции. И самым первым моментом, на который следовало обратить внимание, была сфера его действия. К сожалению, в самом законе она была описана не совсем понятно для широких народных масс: его требования распространялись только на такую обработку данных, которая либо «совершается с использованием средств автоматизации», либо «соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации». Что это за характер такой, раскрывалось в подзаконных нормативных актах, которые, как правило, никто не читает.

Теперь текст первой статьи закона изменен, в него добавлено разъяснение, которое касается именно этого момента: обработка данных «осуществляется с использованием средств автоматизации» в том случае, если она «позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным». Как уже говорилось в предыдущей статье, закон о ПД распространяется только на массовую обработку данных. Теперь это ясно обозначено в тексте. Однако, эта дополнительная конкретика была компенсирована изменением самого понятия персональных данных. Раньше под их определение попадала «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу». Теперь к ПД относится «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Этими изменениями сфера действия закона расширяется до невообразимых пределов. Теперь персональными данными считается та информация, которая хоть как-то относится к определенному лицу, при этом не имеет значения, можно ли на ее основании установить личность, или требуется сопоставлять ее с данными из других источников.

Под регулирование закона сразу же попадают все до единого сайты в Интернете, даже те, которые не хранят имен с фамилиями. Адрес электронной почты, даже без какой-либо дополнительной информации ? это уже персональные данные, поскольку он косвенно относится к определяемому физическому лицу. Как и записи в блогах, адреса Интернет-мессенджеров, и куча другой информации, вплоть до оценок в зачетной книжке. Эта неопределенность неминуемо приведет (и уже приводит) к тому, что закон толкуется «как бог на душу положит», и наказанию за нарушение порядка работы с ПД может подвергнуться любой. Так было и в период действия старой редакции закона, но изменения поспособствуют большему распространению такой практики.

Вдобавок, в четвертой статье закона расширен круг органов, которые могут принимать нормативные акты в области охраны ПД: в их число включены дополнительно Банк России и муниципальные органы. Это вполне соответствует общему курсу закона к увеличению «зарегулированности» обработки персональных данных.

Когда не нужно спрашивать согласия?



Общим условием для обработки персональных данных является получение согласия на это их субъекта (то есть, лица, к которому относятся эти данные). Закон предусматривает ряд ситуаций, когда такое согласие получать не требуется. Поправками перечень таких ситуаций был значительно расширен, поскольку старая редакция явно не отвечала современным реалиям. В список таких ситуаций добавилось, например, осуществление правосудия и исполнение судебных актов. То, что этого основания не было в законе до этого ? явное упущение.

Согласия субъекта можно не спрашивать и при предоставлении государственных услуг. Кроме того, к списку таких ситуаций добавилась и такая, когда «обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных». Как вы понимаете, под «общественно значимыми целями» понимать можно довольно многое, например, сайты с разного рода «черными списками» в случае возникновения к ним претензий, скорее всего, именно на этоит пункт закона и будут ссылаться. Согласия можно не спрашивать и в том случае, если происходит обработка информации, сделанной публичной самим субъектом персональных данных. Как ни странно, такого исключения в предыдущей редакции закона не было, то есть, формально, согласие требовалось даже на обработку тех данных, которые были общедоступными.

Девятая статья закона, описывающая процедуру получения такого согласия, также подверглась существенным изменениям. В прежней редакции его можно было дать только в письменной форме, причем документ должен был содержать собственноручную подпись. Проще говоря, он должен был быть бумажным. Хотя ГК предусматривает возможность совершения сделок в письменной форме путем обмена документами, в том числе электронными, требование собственноручной подписи лишало такой возможности оператора и субьекта персональных данных. Альтернативой бумажному согласию был только документ, подписанный электронной подписью, распространенность которой в России была крайне мала.

Но сначала поменялся закон «Об электронной подписи»: в новом его варианте подписан документ может быть не только с помощью криптографического ПО, но и с помощью паролей, кодов подтверждаения, и прочих действий. Раньше они назывались аналогами собственноручной подписи, но по новому закону тоже стали «подписью».

Авторы поправок в закон о ПД пошли еще дальше и разрешили получать согласие на обработку «в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом». Закон может требовать и письменной формы, в этом случае подпись может быть и электронной. Включая и галочку «согласен» в форме регистрации сайта. Собственно, изначально никакой собственноручной подписи закон не требовал, ее необходимость была установлена внесением в него изменений. Теперь эти необдуманные изменения откатили обратно. Кроме этого, изменениям подверглась и статья 18, определяющая обязанности оператора ПД: был расширен перечень ситуаций, когда он может не уведомлять субьекта о том, что обрабатывает его персональные данные в тех случаях, когда получает их не от самого субьекта. От такого уведомления закон освобождает, например, в том случае, если обработка осуществляется для статистических или иных исследовательских целей, либо при осуществлении деятельности журналиста.

… и что же теперь изменится?



Ну, а теперь мы подошли к той самой статье (девятнадцатой), которая регулирует меры по обеспечению безопасности данных. В отличие от других статей закона, в нее поправками вообще не было внесено никаких изменений. Измененный вариант просто выбросили из законопроекта. Между тем, он также содержал в себе значительные послабления для операторов данных. В нынешнем варианте они обязаны принимать необходимые меры для защиты информации, при этом требования к обеспечению безопасности устанавливаются Правительством. Никаких исключений из этого правила не установлено. Но тот вариант статьи, который содержался в законопроекте, также предусматривал либеральные нововведения.

Те «необходимые меры», которые оператор должен принимать, были поставлены в зависимость от объема данных и характера их обработки, вреда, который может быть причинен утечкой, а также других факторов. Но самое главное ? Правительство получало право определять обязательные требования по защите только для государственных и муниципальных учреждений. То, как защищают информацию все остальные организации ? оставалось целиком на их совести.

Почему этот вопрос принципиален, можно легко понять, если знать, как проходит в России внедрение сертифицированных информационных систем. Хороший пример ? всем известная ЕГАИС, задачей которой был контроль «за каждой бутылкой спиртного в России». С задачей этой система не справилась, но на ее внедрение уже потрачены горы денег, в основном из-за немеряной стоимости сертифицированной техники и работ по ее обслуживанию. Правда, само ПО для работы системы писалось специально для нее, а для защиты персональных данных можно будет использовать уже существующие сертифицированные программы, что позволяет надеяться на более щадящие цены.

Но аппетиты поставщиков сертифицированных компьютеров предугадать трудно: например, типичный комплект ЕГАИСовской техники для работы ликеро-водочного завода стоит 650 тысяч рублей. Именно на чрезмерные расходы ссылались и подписанты упомянутого письма к Президенту: по их оценкам, затраты на выполнение требований закона могут достигать шести процентов валового внутреннего продукта страны. А если вы думали, что основной задачей закона была реальная защита персональных данных, то вы жестоко ошиблись. Как-либо защитить от утечек он просто не способен, наоборот, содержащиеся в нем жесткие требования только усложняют получение электронных услуг.

Как мы уже писали выше, ответственность нашим законодательством установлена за несоблюдение обязательных требований по защите информации. Но в то же время, если какая-то утечка данных на самом деле произойдет, никаких санкций за это просто не предусмотрено: привлечь оператора данных можно будет только по статье 13.11 КоАП, за «нарушение установленного законом порядка» обработки данных. Статья эта не делает разницы между простым нарушением и таким, которое повлекло какой-то ущерб. Кроме того, отсутствует какая-либо ответственность за скрытие информации об утечках данных. Еще одна «ходовая» статья КоАП – 19.7, устанавливающая ответственность за «непредоставление сведений, предоставление которых предусмотрено законом». Ее применяют в тех случаях, когда оператор не уведомляет Роскомнадзор о том, что начал обработку персональных данных ? такая обязанность предусмотрена статьей 22 закона о ПД. Как видите, и здесь ответственность применяется за несоблюдение формальных требований, независимо от того, причинен ли нарушением какой-либо ущерб. А вот простимулировать продажи сертифицированных компьютеров и программ закон может вполне.

5 комментариев

Светлана Новикова
Мария, большое спасибо за анализ изменений!

Есть вопрос. Вы пишете:
Закон может требовать и письменной формы, в этом случае подпись может быть и электронной. Включая и галочку «согласен» в форме регистрации сайта.

Я неправильно поняла, или Вы считаете, что галочка «согласен» является электронной подписью?
0
Мария Глазкова
Это не электронная подпись, это принятие условий договора (акцепта)
0
Светлана Новикова
Вы меня извините, я только начинаю изучать эту область законодательства, я позадаю вопросы?

Получается, что такой договор считается подписанным со стороны лица, поставившего галочку? Просто я всегда скептически относилась к галочкам «согласен» на сайтах. Хотелось бы понять, какие возможности есть у владельца сайта (второй стороны) доказать, что договор подписан?
0
Мария Глазкова
Поставив галочку, вы акцептуете договор-оферту.

Письменная форма считается соблюденной даже при отсутствии бумажного носителя в случае, если другая сторона начинает исполнять договор фактическими действиями (п.3 ст.434)

Я не знаю всех тонкостей. Видимо, поставив галочку, вы передаете информацию, которая потом хранится на сервере второй стороны.
0