Вопросы будущей практики в отношении закона о персональных данных вызывают не только живой интерес у ИТ-сообщества, но и разнообразные тревоги и страхи… Не остаются в стороне и юристы, у них тоже масса вопросов.
Мыслями о современной ситуации в этой области своим квалифицированным мнением с нашим порталом продолжают делиться эксперты рынка. В этой связи Константин Суворов, руководитель практики интеллектуальной собственности Адвокатского бюро "Корельский, Ищук, Астафьев и партнеры", рассказывает:
«С момента вступления в силу первой редакции Закона о персональных данных прошло уже более 3 лет, а до 1 января 2011 года, когда все информационные системы персональных данных должны быть приведены в соответствие с требованиями закона, осталось менее 3 месяцев, а волнения по поводу правоприменительных перспектив закона, кажется, только нарастают.В напряжении находятся банки, страховые, финансовые компании, авиакомпании, медицинские учреждения, а также представители интернет-сообщества – онлайн-магазины и поставщики услуг, которые так или иначе в своей деятельности сталкиваются с необходимостью сбора и обработки информации о своих клиентах.
Как обычно вокруг закона, практика применения которого еще не сформировалась, но потенциальные санкции могут быть существенными, возникает множество кривотолков, страхов и опасений. Попытаемся разобраться, насколько они обоснованны.
Сразу надо оговориться, что нормы закона применимы только в отношении персональных данных граждан - физических лиц и не распространяют свое действие на сбор, хранение и обработку данных о юридических лицах или индивидуальных предпринимателях.
Соответственно компании, не работающие с клиентами-физическими лицами, будут обязаны привести в соответствие с Законом о ПД только внутренние информационные системы, содержащие сведения о своих сотрудниках.
Выглядят весьма преувеличенными опасения в том, что новый закон подкосит электронную коммерцию из-за необходимости получать письменное согласие от каждого клиента-физического лица с его собственноручной подписью, либо (с учетом изменений, вступающих в силу с 01.01.2011) в виде электронного документа с ЭЦП или иным предусмотренным законом аналогом подписи.
Частью 2 статьи 6 Закона о ПД предусмотрено, что обработка персональных данных физического лица с целью исполнения договора между оператором и этим лицом избавляет от необходимости получать согласие на обработку в порядке ст.9 Закона о ПД.
Практически любой интернет-сервис подразумевает установление договорных отношений с пользователем (в форме публичного договора или договора присоединения), вследствие чего согласие пользователя в письменной форме на обработку данных, предоставленных для исполнения такого договора, не требуется. Кроме того, в этом случае также не требуется направлять уведомление об обработке персональных данных уполномоченному органу в порядке ст.22 Закона о ПД.
Некоторые особенности могут возникнуть в деятельности социальных сетей, в которых раскрытие данных пользователя третьим лицам (другим пользователям) предполагается. Однако в общем случае с момента регистрации пользователя в сети в терминах Закона о ПД происходит распространение введенных самим пользователем персональных данных, такие данные становятся общедоступными. С учетом того, что такое распространение необходимо для оказания пользователю услуг социальной сети, к данной ситуации также может применяться норма части 2 ст.6 Закона о ПД.
Наибольшая дискуссия в настоящее время развернулась по вопросу лицензирования операторов персональных данных в области деятельности по технической защите конфиденциальной информации (ТЗКИ).
Согласно преобладающей точке зрения из законодательства о персональных данных во взаимосвязи с нормами законодательства о лицензировании отдельных видов деятельности прямо следует, что каждый оператор персональных данных обязан получить лицензию на право осуществления деятельности в порядке, установленном Постановлением Правительства №504 от 15.08.2006.
На возражения о том, что тотальное получение лицензий практически любой организацией, ведущей электронный учет персональных данных своих сотрудников, является абсурдом, обычно следует довод dura lex sed lex (закон суров, но справедлив). Однако несмотря на внешнюю стройность, такое толкование закона имеет некоторые изъяны, и не является вполне однозначным.
Во-первых, надо принять во внимание, что субъектами закона о ПД (операторами) являются не только юридические лица и индивидуальные предприниматели, которые могут выступать в качестве лицензиатов по закону о лицензировании отдельных видов деятельности, но также и государственные органы (федеральные, муниципальные, местные), которые субъектами лицензирования не могут быть в принципе, - на основании статей 1 и 2 Закона о лицензировании отдельных видов деятельности (128-ФЗ от 08.08.2001).
То есть, часть операторов персональных данных не может получить лицензию на ТЗКИ для осуществления обработки персональных данных в силу закона.
Кроме того, и среди юридических лиц есть такие, которые помимо своей основной деятельности по закону не вправе заниматься никакой иной деятельностью – в частности, адвокатские коллегии и бюро, аудиторские компании, что свидетельствует о невозможности получения ими лицензий на ТЗКИ.
Означает ли это, что адвокаты и аудиторы не вправе самостоятельно вести электронные регистры собственных сотрудников (а адвокаты также и клиентов-физлиц) и в случае проверки могут быть привлечены к ответственности за незаконную предпринимательскую деятельность (в отсутствие лицензии)? Или исходя из анализируемой точки зрения сторонников лицензирования у аудиторов и адвокатов нет иного выхода кроме как привлечь лицензированную компанию на аутсорсинг?
Пункт 1.3 Положения о методах и способах защиты информации в информационных системах персональных данных (утв. Приказом ФСТЭК №55 от 05.02.2010, зарегистрирован в Минюсте РФ 19.02.2010 N 16456) гласит, что для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных либо может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Таким образом, оператор, заведомо не имеющий возможности получить лицензию на ТЗКИ (госорган, аудиторские, адвокатские образования и пр.) может в соответствии с абзацем первым п.1.3 Положения назначить должностное лицо для работ по защите информации и нормам права это никоим образом противоречить не будет.
Какая же именно точка зрения возобладает в правоприменительной практике, станет ясно после 01.01.2011.»
Источник: CIO-world.ru