152-ФЗ Утвержденные рекомендации парламентских слушаний 20.10.09 (1027776)
Текст из файла
11
РЕКОМЕНДАЦИИ
Парламентских слушаний на тему:
«Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных»
(состоялись 20 октября 2009 г. по инициативе Комитета по безопасности, Комитета по конституционному законодательству и государственному строительству и Комитета по финансовому рынку)
7 ноября 2001 года Российская Федерация подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, возложив на себя обязательства по приведению в соответствие с нормами европейского законодательства деятельности в области защиты прав субъектов персональных данных.
Первым шагом в реализации вышеназванных обязательств стало принятие Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон).
Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Федеральный закон определил Уполномоченный орган по защите прав субъектов персональных данных, установил права субъектов персональных данных, обязанности и ответственность операторов, осуществляющих обработку персональных данных.
В настоящее время функции Уполномоченного органа возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор). Федеральная служба находится в ведении Министерства связи и массовых коммуникаций Российской Федерации (далее – Минкомсвязи), которое осуществляет контроль и координацию деятельности Уполномоченного органа.
В составе Роскомнадзора функционируют 78 территориальных органов, из них в девятнадцати созданы профильные отделы, в остальных управлениях дополнительно введены должности для выполнения функций по осуществлению государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Таким образом, в настоящее время функционирует организационно-штатная структура Уполномоченного органа, которая имеет координационный центр на федеральном уровне и территориальные органы в субъектах Российской Федерации.
Деятельность Роскомнадзора регулируется Положением, утвержденным Постановлением Правительства РФ от 16 марта 2009 г. № 228. По мнению участников Парламентских слушаний, в Положении нашли отражение не все полномочия, предусмотренные статьей 23 Федерального закона «О персональных данных».
Так, несмотря на наличие в Положении бланкетной нормы, в соответствии с которой наряду с полномочиями, прямо предусмотренными Положением, Роскомнадзор осуществляет и иные полномочия, в том числе предусмотренные федеральными законами, в настоящее время отсутствуют правовые механизмы реализации органами Роскомнадзора, в частности, права вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных, права обращаться в суд с исковым заявлением в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде, а также обязанности организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных.
Задача по приведению актов, регулирующих деятельность Роскомнадзора, в строгое соответствие с положениями Федерального закона «О персональных данных», представляется одной из наиболее значимых для повышения уровня защиты прав субъектов персональных данных в России.
Не менее значимой видится задача по приведению статуса уполномоченного органа в Российской Федерации в соответствие с требованиями Дополнительного протокола к Конвенции от 8 ноября 2001 года в части обеспечения осуществления функций уполномоченного органа независимо.
Кроме того, в Федеральном законе недостаточно регламентированы вопросы сбора и дальнейшей обработки биометрических персональных данных, являющихся наиболее чувствительными для человека. Между тем на основе подзаконных ведомственных и локальных нормативных правовых актов расширяется использование биометрических персональных данных в различных целях, в том числе в составе удостоверяющих документов нового поколения (таких, как паспортно-визовые документы; пропускные документы, используемые в автоматизированных системах контроля и управления доступом, которые создаются как в органах государственной власти, так и в негосударственных организациях, с включением в эти документы электронных носителей информации, в которые, помимо общеупотребительных сведений о личности, заносятся различные биометрические персональные данные владельцев этих документов с последующей обработкой таких данных в соответствующих информационных системах.
Операторы, создающие информационные системы с использованием биометрических персональных данных, сталкиваются со значительными трудностями в связи с отсутствием в Российской Федерации законодательного регулирования использования большинства биометрических персональных данных, которые рекомендованы Международной организацией гражданской авиации и широко применяются в зарубежных странах в паспортно-визовых и других удостоверяющих документах нового поколения. Сейчас российское законодательство регламентирует использование только одного вида биометрических персональных данных - дактилоскопических персональных данных, причем лишь в ограниченных сферах деятельности органов государственной власти. В результате создание информационных систем с использованием биометрических персональных данных в органах государственной власти и в негосударственных организациях ведется на основе подзаконных ведомственных и локальных нормативных правовых актов, что не соответствует требованиям Федерального закона
Отсутствие достаточного законодательного регулирования в этой сфере создает дополнительные возможности для вмешательства в частную жизнь человека и злоупотреблений в данной области.
В развитие Федерального закона Правительством Российской Федерации был выпущен ряд нормативных правовых актов:
Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Приказом Россвязькомнадзора от 17 июля 2008 г. № 08 был утвержден образец формы уведомления об обработке персональных данных.
В развитие Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 совместным Приказом Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК России), Федеральной службой безопасности Российской Федерации (далее - ФСБ России) и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 был утвержден Порядок проведения классификации информационных систем персональных данных.
Также во исполнение п. 3 этого Постановления ФСТЭК России в пределах ее компетенции утвержден пакет документов: «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», а также «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». Указанные документы имеют гриф «Для служебного пользования». Документы предоставляются оператору по его запросу. В настоящее время перерабатываются.
Одновременно во исполнение того же пункта Постановления ФСБ России утверждены «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» и «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Документы имеются в публичном доступе в сети Интернет.
Представители ФСТЭК России и ФСБ России в целях доведения требований указанных документов и оказания методической помощи операторам по их реализации участвуют в публичных мероприятиях, проводят практические занятия с подразделениями по защите информации органов исполнительной власти субъектов Российской Федерации, а также осуществляют лицензионные и контрольные функции в рамках своих полномочий.
В целом указанные подзаконные нормативные правовые акты ориентированы на защиту собственно персональных данных, а не прав граждан при обработке их персональных данных в информационных системах, что не соответствует базовым тенденциям в развитии законодательства о персональных данных в европейских странах в рамках реализации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Попытки реализации указанных нормативных правовых актов и методических документов, особенно определенных подзаконными актами требований к информационным системам персональных данных, выявили ряд трудностей.
Операторы столкнулись с различными подходами в трактовке положений Федерального закона в регионах, недостатком разъяснений со стороны государственных регуляторов и избирательным применением Федерального закона.
Кроме того, требования к операторам информационных систем персональных данных со стороны ФСТЭК России, включают такие механизмы государственного регулирования (лицензирование деятельности по технической защите информации, сертификацию средств защиты информации, аттестацию информационных систем персональных данных), для реализации которых у большинства операторов нет достаточных материальных и трудовых ресурсов. Особенно это касается бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса.
В коммерческих организациях существенное увеличение затрат на подготовку информационной системы по требованиям безопасности персональных данных и, особенно, затрат на поддержание системы неизбежно отразится на стоимости услуг оператора.
Участники рынка услуг по защите персональных данных также не в силах предоставить услуги всем заинтересованным операторам, число которых по экспертным оценкам составляет 5-7 миллионов.
Операторы обращают внимание законодателей на дисбаланс в российском законодательстве в сторону интересов субъекта персональных данных. Подзаконная база сформировала чрезвычайно затратный, запутанный, противоречивый механизм, не учитывающий ни особенности обработки персональных данных в различных сферах деятельности, ни возможности оператора по обеспечению установленных требований. Подзаконная нормативная база ориентирована на расширение рынка услуг по защите информации и предусматривает создание новых административных барьеров в деятельности операторов.
Специалисты указывают на неадекватность требований по обработке данных возможным угрозам их утраты и конфликте требований, установленных разными законами.
В ряде отраслей реализация установленных требований потребует радикальных изменений бизнес-процессов (например, в банковской сфере, в сфере предоставления услуг связи), поскольку большинство коммерческих структур используют зарубежные программные продукты, при этом переход на отечественные сертифицированные продукты либо невозможен из-за отсутствия аналогов, либо несет огромные временные и материальные затраты, которые могут привести к остановке деятельности многих компаний.
Значительные трудности вызывает на сегодняшний день трансграничная передача персональных данных. В первую очередь это обусловлено тем, что не определены критерии оценки адекватности защиты персональных данных в стране-получателе. При этом передача данных в страны, не обеспечивающие адекватный уровень защиты, законом существенно ограничивается. Ситуация осложняется тем, что установленный подзаконными актами уровень требований к технической защите персональных данных значительно выше, чем в большинстве стран, являющихся сторонами Конвенции и на деле обеспечивающих эффективную защиту персональных данных.
Финансовые проблемы реализации закона прогнозировались депутатами Государственной Думы еще при внесении Правительством РФ в Государственную Думу проекта федерального закона «О персональных данных», поскольку затраты на реализацию Федерального закона из средств федерального бюджета не предусматривались. Тем не менее, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований основных регуляторов (ФСТЭК России и ФСБ России) по обеспечению безопасности обработки персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, которые не планировались и не осуществимы в условиях кризиса.
Проблемы обеспечения прав субъектов персональных данных в органах государственной власти, по-видимому, рассматриваются обособлено от общих проблем внедрения информационно-коммуникационных технологий в деятельность федеральных органов исполнительной власти, поскольку они не нашли отражения в Типовой форме ведомственной программы внедрения информационно-коммуникационных технологий в деятельность федерального органа государственной власти, утвержденной Решением заседания президиума Совета при Президенте Российской Федерации по развитию информационного общества в Российской Федерации от 27 мая 2009 года.
Не выработаны механизмы взаимодействия контролирующих органов исполнительной власти при проведении проверок в части выявления нарушений Федерального закона, что провоцирует нарушения требований Федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических ли и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Следствием указанных проблем стала массовая неготовность к исполнению Федерального закона. Ситуация не может принципиально измениться за оставшиеся два месяца. Это означает, что с начала 2010 года вступят в силу положения части 3 статьи 25 Федерального закона и государственные регуляторы будут вправе осуществлять проверки исполнения требований закона в отношении всех информационных систем персональных данных и привлекать к ответственности нарушителей. Сложность исполнения этих требований и других положений Федерального закона будет усиливать правовой нигилизм в обществе и создаст условия для коррупции.
Заслушав и обсудив выступления по теме парламентских слушаний, участники парламентских слушаний отмечают важность и актуальность обсуждаемых проблем и рекомендуют:
Федеральному Собранию Российской Федерации и Правительству Российской Федерации
1. В кратчайшие сроки внести изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в части:
уточнения состава и содержания основных понятий, используемых в Федеральном законе (ст. 3);
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
