Некоторые проблемы практического применения законодательства Российской Федерации о персональных данных

Размещено на http://www.allbest.ru/

Некоторые проблемы практического применения законодательства Российской Федерации о персональных данных

Дмитрий Бабичев

В статье освящаются проблемы надлежащего отнесения оператором персональных данных - сведений о физическом лице - к информации, содержащей персональные данные, в процессе соблюдения оператором уведомительного порядка уполномоченного органа по защите персональных данных. Автором предлагается учитывать критерии необходимости и достаточности при отнесении полученных сведений о физическом лице к персональным данным. Поднимается вопрос о необходимости правового регулирования механизма обезличивания персональных данных и законодательного закрепления способов обезличивания.

Ключевые слова и фразы: персональные данные; уведомительный порядок; критерии необходимости и достаточности; механизм (процедура) обезличивания персональных данных.

Анализ действующего законодательства РФ о персональных данных позволяет сделать вывод о том, что некоторые из его положений носят достаточно противоречивый характер. Прежде всего, это касается положений, которые не учитывают, при установлении уведомительного порядка уполномоченного органа по защите персональных данных, критериев необходимости и достаточности отнесения сведений о физическом лице к персональным данным.

Не понятными остаются причины, по которым действия по обезличиванию персональных данных, вынесены за рамки правового регулирования и переданы на откуп операторам персональных данных.

В соответствии с п. 1 ст. 3 Федерального закона «О персональных данных» ФЗ-152 от «27» июля 2006 года, «персональные данные» - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. К субъектам (операторам персональных данных), имеющим право организовывать и (или) осуществлять обработку полученных от физических лиц персональных данных, законодатель отнесены государственные и муниципальный органы, юридические или физические лица, которые самостоятельно определяют цели обработки и состав обрабатываемых персональных данных.

Из содержания определения «персональные данные» следует, что обрабатываемая оператором персональных данных информация, должна относиться к определенному или определяемому на основании такой информации физическому лицу. Другими словами, это не простой набор данных о физическом лице, включающих в себя информацию о фамилии, имени, отчестве, адресе места регистрации, или дате рождения, а данные, которые необходимы и достаточны для определения конкретного субъекта (физического лица) которого они идентифицируют.

Следуя логике построения определения «персональные данные», к операторам персональных данных могут быть отнесены субъекты, обрабатывающие только такую информацию о физическом лице, которая предоставляет оператору возможность, с учетом критериев необходимости и достаточности, установить их принадлежность обрабатываемых данных конкретному физическому лицу.

Вышеизложенное отражено и в положении совместного Приказа Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ «Об утверждении Порядка проведения классификации информационных систем персональных данных» № 55/86/20 от 13 февраля 2008 года.

Критерии необходимости и достаточности, также являются основополагающими для определения категорий обрабатываемой информации и установления на их основе классов информационных систем (К1, К2, К3 и К4), а также последующего выбора методов и способов защиты персональных данных (категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные). Данные критерии позволяют операторам, учитывать не только количественные составляющие предоставленных физическим лицом данных, но и их качественную структуру, то есть отбирать и обрабатывать только необходимую для них информацию.

Однако, обращаясь к положению п. 5 ст. 22 закона «О персональных данных», можно констатировать, что устанавливая уведомительный порядок уполномоченного органа по защите субъектов персональных данных, законодатель посчитал достаточным получение информации о физическом лице, ограниченной фамилией, именем и отчеством, для ее отнесения к данным, идентифицирующим отправителя, т.е. персональным данным. Из этого также следует, что получение информации в указанном объеме, неизбежно причисляет субъекта их получения и обработки к операторам персональных данных. персональный законодательный обезличивание

Результатом применения на практике вышеуказанной нормы, регулирующей порядок уведомления уполномоченного органа по защите субъектов персональных данных, становится, принуждение субъектов, получающих данные о физическом лице, которые не позволяют в совокупности, с учетом критериев необходимости и достаточности, определить их принадлежность к конкретному субъекту персональных данных (физическому лицу), к исполнению обязательств по соблюдению конфиденциальности и принятию обязательных мер и способов защиты персональных данных. Исключение составляют лишь общедоступные персональные данные и данные, в отношении в которых оператором проведены действия по их обезличиванию.

Обезличивание персональных данных, является способом обработки персональных данных, который позволяет обезличить уже полученные оператором персональные данные, то есть создать такую их форму, при которой будет невозможно определить принадлежность таких данных конкретному субъекту персональных данных. Закон «О персональных данных» выделяет их в отдельную категорию 4, не требующую обеспечения конфиденциальности и применения, установленных законодательством о персональных данных, обязательных мер и способов защиты.

Сложность возникает в том, что предоставляя операторам персональных данных возможность самостоятельного выбора методом и способов защиты обезличенной информации, законодатель устранился от закрепления процедуры ее обезличивания.

Некоторые предложения по обезличиванию персональных данных, как уменьшение перечня обрабатываемых данных, использование среднего значения в численной составляющей, замена части сведений идентификатором, формирование идентификационного кода по определенному алгоритму с помощью контрольного слова в заданной кодировке и другие, уже находят свое практическое применение среди операторов персональных данных.

Однако существует риск, в частности, в отношении последнего из вышеупомянутых способов по обезличиванию персональных данных, отнесения таких действий к одному из способов шифрования. Это создает дополнительную нагрузку на деятельность операторов персональных данных, поскольку обязывает их получать лицензию на разработку, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем или нести расходы по привлечению сторонних организаций имеющих соответствующие лицензии.

С момента принятия Федерального закона «О персональных данных» ФЗ-152 от «27» июля 2006 года неоднократно предпринимались попытки не только изменить положения указанного закона, но и внести на рассмотрение новые проекты. Это продиктовано, прежде всего, необходимостью устранить противоречия некоторых положений закона и заполнить пробелы в регулировании отдельных вопросов обработки персональных данных. Остается надеяться, что с принятием изменений, законодатель не обойдет вниманием затронутые в настоящей статье проблемы регулирования отношений в области защиты персональных данных.

Список литературы

1. Ведение реестра операторов, осуществляющих обработку персональных данных: приказ Министерства связи и массовых коммуникаций РФ «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, массовых технологий и массовых коммуникаций по исполнению государственной функции от 30 января 2010 года № 18 [Электронный ресурс]. URL: www.consultant.ru

2. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ [Электронный ресурс] // Там же.

3. О внесении изменений в приказ Россвязькомнадзора "Об утверждении образца формы уведомления об обработке персональных данных" от 17 июля 2008 г. № 8: приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций от 18 февраля 2009 г. № 42 [Электронный ресурс] // Там же.

4. О лицензировании отдельных видов деятельности: федеральный закон от 8 августа 2001 г. № 128-ФЗ [Электронный ресурс] // Там же.

5. О персональных данных: федеральный закон от 27 июля 2006 г. № 152-ФЗ [Электронный ресурс] // Там же.

6. Об утверждения Положения о методах и способах защиты информации в информационных системах персональных данных: приказ Федеральной службы по техническому и экспортному контролю от 05 февраля 2010 г. № 58 [Электронный ресурс] // Там же.

7. Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных: постановление Правительства от 17.11.2007 № 781 [Электронный ресурс] // Там же.

8. Об утверждении Порядка проведения классификации информационных систем персональных данных: приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 [Электронный ресурс] // Там же.

9. Об утверждении требований к материальным носителям биометрических ПД и технологиям хранения таких данных вне ИСПД: постановление Правительства от 06.07.2008 г. № 512 [Электронный ресурс] // Там же.

10. Уголовный кодекс РФ от 13 июня 1996 г. № 63-ФЗ [Электронный ресурс] // Там же.

Размещено на Allbest.ru