В этой статье хотелось бы кратко осветить последние изменения в ФЗ “О персональных данных” (в редакции от 25.07.2011 № 261-ФЗ).

Сразу хочется отметить, что большое количество правок касается корректировки терминов и определений, уточнения формулировок. Интересно, что появились определения автоматизированной обработки, информационной системы обработки персональных данных (ранее предметов рассмотрения ПП № 687 и 781 соответственно). Однако включенные в текст закона определения аналогичны ранее использовавшимся в ПП и по-прежнему не исключают неясности в толковании.

Некоторые изменения коснулись вопроса организации трансграничной передачи. Теперь она разрешена безо всяких условий на территории государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при обработке ПДн, а также иных государств, перечень которых утвердит Роскомнадзор. В остальных случаях оператору необходимо брать согласие субъекта в письменной форме. Также детализированы требования и в целом к передаче персональных данных третьим лицам.

До ввода новой редакции операторы сталкивались с серьезными трудностями в реализации положений ФЗ № 152-ФЗ в части сбора согласий, уведомления субъекта об обработке его ПДн. Например, ФЗ предполагал возможность сбора ПДн непосредственно от субъекта, в противном случае от оператора требовалось выполнение непростых процедур уведомления субъекта о факте получения и начале обработки его персональных данных. При этом совершенно не учитывалось, что существует целый ряд процессов, в которых ПДн в норме собираются оператором совершенно законно, но не от самого субъекта. Это страхование (данные застрахованного лица в случае, если он не совпадает со страхователем), кредитование (данные поручителей) и т. д.

В настоящий момент были внесены правки, призванные если не решить, то снизить остроту данной проблемы. Так, расширен перечень условий, при которых возможна обработка персональных данных без согласия субъекта (“…для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект… будет являться выгодоприобретателем или поручителем”). Кроме того, добавлены исключения в правило, обязывающее оператора уведомлять субъекта о начале обработки его ПДн, полученных не от самого субъекта. Теперь достаточно, чтобы оператор, осуществляющий сбор ПДн и планирующий их передачу другой организации, информировал об этом субъекта в момент сбора его ПДн. Ну и следует отметить, что новая редакция ФЗ признает согласие субъекта в форме электронного документа равнозначным согласию в письменной форме на бумажном носителе.

Еще больше в новой редакции закона расширены права субъекта в части получения информации от оператора, касающейся обработки его ПДн. Для обработки таких обращений организациям придется вести учет обрабатываемых ПДн, документируя не только виды данных, цели и необходимый срок их обработки, но также и вид отношений с субъектами, в рамках которого возникает обработка этих данных (например, кредитное обслуживание), информацию о допущенных к обработке категории лиц, способах обработки (в том числе в каких ИС), осуществляется ли передача и кому именно (налоговая, банки, страховые, пенсионный фонд и т. д.) и др. Отсутствие в упорядоченном виде данной информации затруднит организации выполнение возложенных на нее ФЗ обязанностей по обработке обращений субъектов в положенный срок.

Дополнительная нагрузка на оператора немного скомпенсирована введенным ограничением прав субъекта на получение доступа к сведениям, касающимся обработки его ПДн. В новой редакции ФЗ введен срок в 30 дней, ограничивающий право повторного запроса/обращения субъекта (ранее частота подачи запросов не ограничивалась).

Ну а теперь о главном — обязанностях оператора по защите персональных данных. Цепочка нормативных документов, определяющих конкретные меры, требуемые от оператора для защиты ПДн, была, как известно, следующей: ФЗ -> Постановления Правительства (№ 781 и № 687 в части обработки данных в информационных системах и неавтоматизированной обработки соответственно), далее 781ПП определяло полномочия ФСТЭК и ФСБ в части регламентации детальных требований по техническим защитным мерам и криптографической защите. Набор мер определялся моделью угроз и классом информационной системы (по сути отражающим возможный ущерб в случае нарушения безопасности ПДн). Причем, за основу для формирования наложенных на тысячи операторов ПДн требований были использованы существующие практики для защиты конфиденциальной информации и государственной тайны.

Что же мы видим в обновленном законе? Статья 18 обязала операторов защищать ПДн, дав им при этом право самостоятельно определять набор необходимых для этого мер (особняком были выделены операторы, являющиеся государственными или муниципальными органами, определять требования по защите которых было поручено правительству). Далее следовала осторожная рекомендация, что “к таким мерам могут, в частности, относиться...” и ссылка на перечень разработанных законодателями мер, включенных в статью 19 . Здесь операторам следовало бы возликовать — как данному им праву в определении перечня мер, так и оказанной специалистами по ИБ помощи в виде подготовленных рекомендаций. Однако в статье 19 уже не идет речи о рекомендательном характере изложенных защитных мер или об ограничении области их применения по типу оператора. “Оператор … обязан принимать необходимые … меры или обеспечивать их принятие для защиты персональных данных... Обеспечение безопасности персональных данных достигается:..”. Итак, оператор должен защищать персональные данные таким образом, чтобы обеспечить уровень их защищенности, который определит Правительство РФ (ака “классы информационных систем”). Правительству же вменено в обязанность определить вместе с уровнями и соответствующие им требования по защите (полная аналогия с 781 и 687 ПП), а далее для информационных систем ФСТЭК и ФСБ должны детализировать эти меры ( т. е. снова 58-й приказ ФСТЭК и существующие методические документы ФСБ). Как и ранее в 781 ПП, используемые средства защиты должны проходить “в установленном порядке процедуру оценки соответствия”. В общем, “найдите 10 отличий"…

Подытоживая, хочется отметить, что изменения нормативной базы по защите персональных данных можно считать скорее косметическими”, т. е. большинство поправок ставит своей целью уточнить или пояснить положения и требования, но не затрагивает объявленных ранее принципов. К сожалению, мы так и не ушли от схемы, в которой на федеральном уровне не только определяют цели защиты персональных данных и ответственность за их несоблюдение, но и формулируют, как именно к ним идти. Не получился бы опять “не по Тишке кафтан"…

СПЕЦПРОЕКТ