четверг, 13 марта 2014 г.

О законе «О персональных данных» и специфике выполнения его требований

Закон «О персональных данных» сегодня один из самых обсуждаемых среди специалистов по защите информации. Однако его «популярность» объясняется не столько его востребованностью, сколько невероятным количеством правовых и организационных коллизий, которые породил закон, два постановления правительства, противоречащие друг другу и оба – здравому смыслу, и нормативно-методические документы ФСТЭК, удивляющие своим низким методическим и методологическим качеством даже видавших виды специалистов.
Вместо защиты прав и свобод (в статье 4 закона продекларировано, что «нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных») закон их ограничивает. Согласно п. 4 статьи 29 Конституции РФ «каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом». Ограничения предполагаются только для информации, составляющей государственную тайну. А в соответствии с п. 1 статьи 24 Конституции РФ не допускается сбор, хранение, использование и распространение информации без согласия субъекта только о его частной жизни. Тем не менее, т. н. регуляторы, ссылаясь на 152-ФЗ, обязывают всех давать письменное согласие на любые виды обработки любых персональных данных любыми операторами. Причем Закон не устанавливает с какого возраста индивид становится субъектом персональных данных и с какого возраста он должен давать согласие. И совсем уж парадоксальная вещь: даже если субъект не хочет, чтобы его т. н. персональные данные защищали и дает письменное согласие на отнесение их к  общедоступным, закон признает такое согласие ничтожным. Вывод очевиден: 152-ФЗ «О персональных данных» противоречит Конституции Российской Федерации! И не только. Он практически никак не коррелирован с действующими законами РФ и, в частности, с  Федеральным законом РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». 
В законе также нет ни одного определения используемых терминов[1], отвечающих требованиям однозначности их понимания. Не отвечают они в большинстве своем и элементарным правилам логики и здравого смысла. В первую очередь это касается ключевых понятий. Так, в законе под термином «персональные данные» понимается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Понятно, что слов «любая» и «другая» в таком определении быть просто не должно. Все, что перечислено под рубрикой «в том числе», – это социально значимая информация, необходимая для идентификации и самоидентификации индивида. Она полностью находится в правом поле и должна иметь свободное и, более того, обязательное хождение в обществе. Эта и ряд другой информации должны быть «вывешены» в Интернете. Исключение составляет только «частная жизнь». Информация данного вида регулируется нормами морали и потому может (и должна) быть  выведена за рамки общедоступной, как это и прописано в Конституции РФ.
Закон «О персональных данных» создал массу проблем, выстроив межведомственные препоны и осложнив тысячам простых граждан процессы оформления льгот, пособий, субсидий, трудоустройства и т.д., и предоставил законные основания жуликам и прочим пакостникам скрывать социально значимую информацию о себе и своей незаконной деятельности. И все это еще и за государственный счет. Кто хочет убедиться в этом рекомендую заглянуть на сайт ИСПДн.ру в раздел «Судебная практика»[2]. Там нет, практически, ни одного примера защиты прав законопослушных и добропорядочных граждан, но достаточно много примеров защиты недобросовестных налогоплательщиков, заемщиков, получателей кредитов и других нарушителей законов. Бороться нужно с преступниками, а не с законопослушными гражданами и организациями, обязывая их выбрасывать баснословные суммы на абсолютно бесполезное и даже вредное дело. Почему вредное? Да потому, например, что теперь те, кого закон причислил к категории «оператор», получили законные основания не предоставлять данные о субъектах без их согласия даже правоохранительным органам и прокуратуре, осложнив, таким образом, проведение следственных действий. Особенно, если уголовное дело еще не возбужденно. Кстати, «оператор» - крайне неудачный термин. Можно предположить, что употребление этого термина в законе является следствием механического перетаскивания аналогичного термина из английского или американского законодательств. Если читать закон дословно и через призму логики, то к категории операторов должен быть отнесен только тот, кто определяет цели и содержание обработки персональных данных. А это, прежде всего, исполнительные органы государственной власти. Только они  определяют цели и содержание обработки персональных данных, обязательные для всех на территории страны и только они наделены законом правом по принятию нормативных правовых актов, к коим относится, например, положение об обеспечении безопасности персональных данных. По закону ни органы местного самоуправления, ни юридические, ни физические лица не наделены полномочиями по принятию нормативных правовых актов по отдельным вопросам, касающимся обработки персональных данных (в т.ч. по обеспечению безопасности персональных данных при их обработке в информационных системах. Все они призваны только исполнять то, что предписано государственными органами. Но, если устанавливать правила обработки персональных данных имеют право только государственные органы, то, следовательно, и платить за это должны только они!
Есть, правда, еще группа деятелей, подпадающих под категорию «оператор». Это те, кто прибегает к услугам детективных агентств (не сами агентства, а именно их клиенты), а также предприятия, организации, учреждения, устанавливающие системы контроля персонала. Они же должны и нести всю полноту ответственности за обеспечение безопасности собранных ими сведений и нести расходы по их защите.
Еще одна коллизия, которую породил закон, состоит в том, что непонятно кого следует считать «оператором» на уровне местного самоуправления: орган местного самоуправления как единое целое или каждое структурное подразделение, имеющее статус юридического лица? И что следует понимать под «не входящими в систему органов местного самоуправления муниципальными органами». Данная коллизия стала следствием смешения разнопорядковых понятий при определении термина «оператор». Понятия «государственный орган» и «муниципальный орган» - структурно-административные, а «юридическое лицо» и «физическое лицо» - хозяйственно-юридические.
Получается, что под благовидными предлогами принят закон, наносящий сокрушительных удар по российской экономике. Мало того, что на проведение абсолютно ненужных мероприятий необходимо выбросить большие деньги каждому юридическому лицу и даже индивидуальному предпринимателю, созданы еще и беспрецедентные возможности не только «кошмарить бизнес», но и «кошмарить» органы государственной власти и местного самоуправления. Для этого организованы и содержатся за государственный счет специальные  подразделения Роскомнадзора. Кроме этого по всей стране несчетное количество специалистов вместо того, чтобы заниматься производительным трудом, вынуждены заниматься созданием тонн абсолютно ненужной макулатуры в виде положений, инструкций, моделей, актов, приказов и т. д. и т. п. и при этом еще мешать работать другим. К сожалению, ущерб подобного рода у нас до сих пор считать не принято. А следовало бы!
Действительно закон наносит экономике страны колоссальный ущерб при нулевой эффективности! Вместо того чтобы тратить деньги на развитие, совершенствование деятельности, закупку нового оборудования, предприятия поставлены перед необходимостью выбросить «на ветер» баснословные средства. Тем более в условиях кризиса! И абсолютно неважно кто выиграет конкурс на производство работ по защите этих пресловутых персональных данных. В любом случае это будет лицензиат ФСТЭК. А для непонятливых и ослушников предусмотрена очень серьезная ответственность, вплоть до уголовной, причем никоим образом не коррелированная ни с ущербом (даже гипотетически причиненным субъекту), ни с размерами утечки. Защищать нужно не то и не так! Как и что – отдельный вопрос, а вот прояснением истинных причин принятия такого закона следовало бы озаботиться Конституционному суду, Генеральной прокуратуре, Федеральной антимонопольной службе и ФСБ.

[1] Понятие – это форма мышления, а то, что приведено в 152 ФЗ под заголовком «Основные понятия, используемые в настоящем Федеральном законе», является терминами и их определениями. Кроме того понятия используются не в «целях закона», а в тексте закона с целью его (закона) изложения.
[2] http://www.ispdn.ru/practice/


Библиографическая ссылка:  Атаманов Г.А. О законе «О персональных данных» и специфике выполнения его требований / Проблемы обеспечения информационной безопасности в регионе : материалы III Регион. науч.-практ. конф., Волгоград, 20 апр. 2010 г./ ГОУ ВПО «Волгогр. гос. ун-т». – Волгоград : Изд-во ВолГУ, 2010. – С. 21-26.

Комментариев нет:

Отправить комментарий