Что нового в старом законе о персональных данных?

А.В. Лукацкий, бизнес-консультант по безопасности Cisco

В последней редакции Федерального закона № 152-ФЗ «О персональных данных», подписанной Президентом России 25 июля 2011 г., был введен ряд новых норм, обязательных для всех российских предприятий, которые занимаются обработкой персональных данных (далее - ПДн) собственных сотрудников и клиентов. Теперь за неисполнение этих обязательных требований может последовать вполне реальное наказание, вплоть до уголовной ответственности. Автор данной статьи на правах участника ряда рабочих групп, вносивших поправки в закон «О персональных данных», хотел бы поделиться с читателями журнала «Современные технологии делопроизводства и документооборота» собственным мнением о том, что принесла нам новая редакция закона и каковы перспективы его применения в будущем.

Итак, 2011 год ознаменовался тем, что вышла новая редакция Федерального закона от 27.07.2006 № 152-ФЗ «О персональный данных». Сам закон хвалили, ругали, его новую редакцию с нетерпением ждали и его реализацию в своих компаниях многие откладывали как можно дольше. И вот обновленный закон вышел - но это появление на свет сопровождалось молчанием. Отчасти потому, что вышло не совсем то, что ждали, отчасти потому, что вышло еще не все. В целом все внесенные в закон изменения можно разделить на две части:

• Защита прав субъектов персональных данных*.

В этом направлении внесено наибольшее число поправок, и большинство из них носят положительный характер для всех служб любой организации.

• Защита самих персональных данных**.

Этому вопросу посвящена всего одна статья федерального закона, причем произошедшие изменения не только не соответствуют европейскому и международному законодательству, но и «откатили» Россию на 5 лет назад, когда закона о персональных данных еще не было. Но обо всем по порядку.

Положительные моменты

Одним из самых позитивных изменений нового «старого» закона можно назвать более расширенный список ситуаций, при которых не требуется получение согласия на обработку персональных данных от субъектов персональных данных (ст. 6), т. е. сотрудников и клиентов, будущих сотрудников и потенциальных клиентов, бывших сотрудников и клиентов. Прежняя версия закона «славилась» тем, что вынуждала оператора ПДн получать слишком много согласий даже там, где это было избыточно или просто не нужно. В новой версии разработчики постарались уйти от лишних обременений операторов ПДн**.

Например, теперь не требуется согласие на обработку персональных данных не только при наличии договора с субъектом ПДн, но и до момента заключения такого договора в целях так называемой преддоговорной работы. При этом субъект ПДн может быть не только стороной по договору, но и поручителем или выгодоприобретателем, что существенно расширяет сферу применения данного исключения и снижает степень обременения оператора ПДн (ст. 6.1.5).

Другое полезное нововведение будет с благодарностью воспринято кадровыми службами. Речь идет об обработке сведений о состоянии здоровья. Раньше на обработку таких данных требовалось письменное согласие работника, при этом определение понятия «состояние здоровья» не было нигде зафиксировано.

Например, некоторые сотрудники Роскомнадзора (один из трех органов надзора по данному закону) по непонятным причинам не считают инвалидность состоянием здоровья - автор столкнулся с такой позицией в одном из регионов России. Другие, напротив, считают инвалидность состоянием здоровья. Некоторые чиновники Роскомнадзора считают код в поле «диагноз» бюллетеня о временной нетрудоспособности персональными данными, а некоторые - нет. Эти разногласия очень сильно мешали кадровым службам и часто заставляли их перестраховываться, получая согласие там, где это не было нужно. Статья 10 новой редакции закона наконец внесла ясность - обработка сведений о состоянии здоровья допускается в случае, если она «осуществляется в соответствии с трудовым законодательством».

Еще одним несомненным достоинством новой редакции закона стало появление термина «лицо, осуществляющее обработку персональных данных по поручению оператора» (ЛООПДПО). В европейских документах этот термин звучит просто - «обработчик ПДн». Суть этого термина проста это лицо, которому поручают только обработку ПДн (курьеры, аутсорсинговые компании, частные охранные предприятия, вахтеры в бизнес-центре). Но есть и более интересные примеры - каждая организация является обработчиком (или ЛООПДПО) в отношении данных, отправляемых в Пенсионный фонд РФ, ФОМС РФ, ФСС РФ, налоговую инспекцию, Росстат и другие государственные органы, запрашивающие многочисленные формы отчетности на регулярной основе. Основные отличия обработчика от оператора заключаются в следующем:

• Обработчику не требуется получать согласие на обработку ПДн - это обязанность оператора ПДн.

• Обработчик не несет ответственность за утечку ПДн это ответственность оператора, который поручил обработку ПДн третьему лицу.

Одним из серьезных недостатков прошлой редакции закона была статья 14, которая разрешала любому субъекту запрашивать у любого оператора (даже того, с кем его не связывали никакие правоотношения) целый «ворох» сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а именно:

• подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

• способы обработки персональных данных, применяемые оператором;

• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

• перечень обрабатываемых персональных данных и источник их получения; 

• сроки обработки персональных данных, в том числе сроки их хранения;

• сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Отказать субъекту в ответ на такой запрос было невозможно, причем ответ требовалось подготовить в десятидневный срок. А что делать в случае, если организация одномоментно получает 200-300 подобных запросов? Подготовить 300 ответов за десять дней просто физически невозможно, особенно если ПДн запрашиваемого организация никогда не обрабатывала, а он просто решил «подшутить» (и такие случаи бывают). Новый «старый» закон значительно облегчил жизнь служб делопроизводства, не только увеличив срок ответа на запросы субъекта до тридцати дней, но и ограничив повторные запросы также тридцатидневным сроком (ст. 20). Теперь в запросе субъект обязан указать сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное буквенное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором. Право субъекта персональных данных на доступ к его персональным данным теперь может быть ограничено в соответствии с новыми поправками в ФЗ-152.

Например, в случае если эти ПДн получены (ст. 14.8) в результате оперативно-розыскных или разведывательных мероприятий, в результате задержания субъекта ПДн, в результате обработки ПДн в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и т. д.

На заметку! Для служб делопроизводства важным является иное исключение - если доступ субъекта ПДн нарушает права и законные интересы третьих лиц, например самих делопроизводителей.

Еще одной головной болью делопроизводителей было выполнение требования «старого» закона об уничтожении персональных данных, содержащихся в различных документах, по достижению цели их обработки. По сути, это означало необходимость чуть ли не каждую неделю уничтожать (сжигать, закапывать, измельчать в шредере) кипы документов. По новой версии закона «О персональных данных» это можно делать раз в полгода или не делать вообще, переведя данные документы в архив или произведя их обезличивание (ст. 5.7)*.

Отрицательные моменты

В новой редакции Закона, несомненно, имеется и ряд других полезных нововведений, но размер статьи не позволяет осветить их все. Говоря о позитивных моментах нового закона, нельзя не упомянуть и про «ложку дегтя». Речь идет о двух статьях 18.1 и 19.Статья 18.1 - абсолютно новая. Она требует от оператора ПДн утверждения и публикации для неограниченного круга лиц документа, определяющего политику оператора ПДн в отношении обработки персональных данных и реализуемых требованиях к защите персональных данных. При этом оператор ПДн обязан представить этот документ, а также иные локальные акты, предусмотренные ст. 18.1, по запросу Роскомнадзора.

Это приводит не только к излишней бюрократии, но и к раскрытию достаточно чувствительной информации о способах защиты персональных данных, которые раньшес читались информацией, не подлежащей раскрытию неограниченному кругу лиц. Другим неприятным следствием из этого пункта является необходимость как можно быстрее формировать этот комплект документов, т. к. Роскомнадзор уже имеет полное право запрашивать эти документы, которыми обладают очень немногие операторы ПДн. Невыполнение пусть и законного, но отнюдь не быстро реализуемого требования может привести к наказанию по ст.13.11 Кодекса об административных правонарушениях РФ. Повторно еже невыполнение данного требования может привести к штрафу до 500 тыс. руб. (по ст. 19.5 КоАП РФ).

Самое неприятное изменение коснулось ст. 19 по защите персональных данных. Если во всем мире и, в частности, в Европе, у которой мы «списывали» наш закон, оператор имеет право самостоятельно выбирать защитные меры и делает это в зависимости от природы ПДн, возможностей нарушителя, технологии обработки ПДн, причем стоимость защиты адекватна размеру наносимого ущерба, то в России эти требования оказались жестко зафиксированы в законе.

К этим мерам относятся:

1. Определение угроз безопасности ПДн при их обработке в информационных системах, обрабатывающих персональные данные (ПСПДн).

2. Применение организационных и технических мерпо обеспечению безопасности ПДн при их обработкев ПСПДн, необходимых для выполнения требованийк защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерацииуровни защищенности ПДн.

3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ПСПДн.

5. Учет машинных носителей ПДн.

6. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер.

7. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8. Установление правил доступа к ПДн, обрабатываемым  в ПСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ПСПДн.

9. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ПСПДн.

Самое настораживающее в этом списке - пп. 3 и 4, которые, по сути, узаконивают обязательную сертификацию средств защиты информации и аттестацию информационной системы. Со мной, безусловно, можно поспорить относительно такой трактовки (я и сам готов обосновать отличную от только что названной точку зрения), но тенденции в законодательстве в последнее время именно таковы - об этом свидетельствует рост числа нормативных актов, в которых прописана обязательная сертификация средств обеспечения информационной безопасности* (рис. 1).

Динамика принятия нормативных актов с требованиями обязательной сертификации средств защиты

Казалось бы, что «криминального» в обязательной сертификации? Проблема в том, что в России, в отличие от всего мира, сертифицируется конкретный экземпляр системы защиты, что существенно удорожает данный процесс для потребителя - ведь именно он несет ответственность за использование несертифицированных средств защиты.

В качестве примера могу привести простую аналогию. При выпуске дыроколов производитель проводит оценку соответствия эталонного экземпляра некоторому ГОСТу или техническим условиям (ТУ) и затем производит неограниченное количество дыроколов, каждый из которых считается прошедшим оценку соответствия. В области информационной безопасности ситуация отличается коренным образом - сертифицируется каждый такой «дырокол», сколько бы их не выпускали. На каждый «дырокол» наклеивается защитный знак (голограмма) и выдается сертификат с серийным номером «дырокола». Можно себе представить, как это усложняет и удорожает процесс, делая его немасштабируемым. И такая ситуация стала возможной потому, что государственные регулирующие органы так и не пересмотрели уже морально устаревшие правила сертификации, разработанные для средств защиты гостайны еще два с лишним года назад.

Что касается обязательной аттестации информационных систем - это практически та же сертификация, т. е. оценка соответствия требованиям по безопасности. Но если при сертификации оценивается средство защиты, то при аттестации помещение, в котором работает компьютер, обрабатывающий персональные данные, защищаемые сертифицированным средством защиты.

При этом аттестат действует при одном условии - неизменность объекта аттестации. Говоря простым языком  компьютер, работающий в таком помещении, нельзя обновить. На него нельзя установить новое программное обеспечение и даже обновить устаревшее. Нельзя использовать такие удобные инструменты, как беспроводные технологии. Любое изменение приводит к тому, что аттестат перестает действовать, а выдача новой «бумажки» потребует не только временных, но и немалых денежных затрат - по рядка 15-25 тыс. руб. на каждый компьютер.

К сожалению, это далеко не все негативные моменты новой редакции закона, но детальное рассмотрение всех подобных проблем - это тема для отдельной статьи.

О неопределенности

Помимо четких позитивных и негативных моментов, новая редакция Закона оставила «висящими в воздухе» множество вопросов. Два из них касаются классификации информационных систем, обрабатывающих персональные данные, и моделирования угроз, причем второй вопрос носит достаточно технический характер, и, на мой взгляд, пока не стоит акцентировать на нем внимание (тем более что в новой редакции он отдан «на откуп» Правительству РФ, которое и определяет актуальные угрозы для операторов ПДн). Классификация ИСПДн - вот более интересный вопрос. Теперь можно считать, что такого понятия, как «классификация ИСПДн», просто нет - ему на смену пришел термин «уровень защищенности». И если по старой редакции закона защитные меры зависели от класса ИСПДн и модели угроз, то в новой версии ФЗ-152 зафиксирована иная логическая последовательность - защитные меры зависят от требований по безопасности, определяемых уровнем защищенности, которые, в свою очередь, зависят от модели угроз. И содержание этих трех упомянутых понятий определяет Правительство РФ. 

Заканчивается ли на этом перечень всех вопросов, который вызывает закон? Безусловно, нет. Несмотря на то что с момента принятия новой редакции закона прошел уже целый квартал, операторы ПДн продолжают сталкиваться в своей работе с большим числом неопределенностей. И причина этого кроется в том, что у нас в стране сейчас есть только один федеральный закон, который хотя и не отменил уже существующие нормы, но по ставил знак вопроса над имеющимися подзаконными актами  постановлениями Правительства РФ и нормативными документами регуляторов.

Согласно имеющейся у автора статьи информации Правительство РФ в настоящее время готовит к выходу (предположительно в ноябре 2011 г.) девять новых постановлений, разъясняющих и уточняющих новые правила обработки персональных данных. При этом часть этих постановлений будет ориентирована на государственные и муниципальные органы, а другая часть - на коммерческие предприятия. За ними должны последовать и подзаконные акты ФСТЭК и ФСБ, отвечающие за информационную безопасность персональных данных. Озвученная дата выпуска первой партии требований по защите  второй квартал 2012 г., а весь набор подзаконных актов будет готов к концу следующего года.

В качестве резюме

Подводя итоги, можно отметить, что несмотря на «благие намерения», лежащие в основе Федерального закона «О персональных данных» и направленные на защиту прав субъектов ПДн (т. е. нас с вами, рядовых граждан), получилось так, что новая редакция закона слишком обременяет предприятия, их кадровые службы, службы делопроизводства, отделы ИТ и информационной безопасности. В результате на имя Президента России, премьер-министра, министра информатизации, связи и массовых коммуникаций уже было направлено немало обращений с просьбой пересмотреть некоторые новые нормы за кона, существенно усложняющие жизнь российского бизнеса. Но, к сожалению, воз и ныне там: обременения до сих пор существуют, а права рядовых жителей России, чьи персональные данные продолжают утекать из различных государственных систем и баз данных, по-прежнему не защищены. Именно по этому многие специалисты в области данного закона считают, что основная работа, имеющая отношение к приведению в соответствие с требованиями ФЗ-152, связана по существу не с реальной защитой ПДн и прав их субъектов, а с защитой от регуляторов, получивших еще один рычаг давления на российские предприятия.

Панацеи по решению этой новой проблемы, к сожалению, пока нет, но группа Центрального банка РФ и ассоциации российских банков (АРБ), в которую входит и автор статьи, еще в 2010 г. подготовила рекомендации касательно того, как оптимально для всех сторон взаимодействия выполнить требования законодательства по защите прав субъектов ПДн. Этот успешно прошедший проверку на практике алгоритм из 49 шагов по приведению в соответствие закону актуален и сегодня (документ с рекомендациями доступен для скачивания в Интернете по адресу: http://www.arb.ru/forums/conf152FZ/2/docs.php). Он позволит не делать «шаг вправо и шаг влево» и отвлекаться на ненужные действия.

Источник: Современные технологии делопроизводстваи документооборота, №12, 2011