Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите демоверсию и консультацию

+7(495) 221-24-31

Вернуться к списку

Закон на лакмусовой бумаге.

26 января вступил в силу Федеральный закон «О персональных данных». Трудно найти еще хоть один нормативный акт, который вытащил бы на свет такое количество скрытых обывательских комплексов. Ведь затрагивает он ту область, которую все предпочитают познавать интуитивно – так называемую «приватность». Ею у нас дорожат все.

Ничего что пароль «от Интернета», написанный на бумажке, вешается на монитор. Ничего, что номер кредитки вводится черт знает где. Ничего, что право на получение и распространение информации считают важным всего два, а право на личную и семейную тайны – четырнадцать процентов населения России. За «приватность» горло ближнему своему готовы порвать процентов девяносто, но определить это понятие боюсь, мало кто сможет.
Обладатель прав, столь рьяно пользующийся ими, напоминает мне чукчу из бородатого анекдота, который ест мыло, перепутав его с мороженым. Потому что «деньги платила – кушать надо».

Либерально-православная общественность

Принятие этого закона, как мы помним, сопровождалось пикетами и «молитвенными стояниями» когорт «православной общественности» (в сетевом простонародье – «фофудьеносцев»). Чудилось им попрание религиозных чувств, не велящих, чтобы человеку присваивался номер. Они, кстати, не гнушались в борьбе за богоугодное дело даже откровенным спамом, и, думаю, могли распять кого-нибудь, если понадобится - ссылаясь при этом, в основном, на Апокалипсис, где о таких знамениях конца света предупреждал Иоанн Богослов. Ну, не думаю, что четыреста пятьдесят думцев смогут по просьбам общественности этот конец отсрочить, случись ему случиться...

Кстати, у фофудьеносцев дикая каша в голове: они не знают даже своих культовых талмудов. В Откровении Иоанна вообще ничего нет о числах, там употребляется (девять раз, можете посчитать) слово «начертание». То есть, говорит Иоанн о знаке, который должны наложить на руку или чело, а не о числе и, тем более – не о номере. Число там только одно, «Зверя» которое. Но у нас, к сожалению, слишком многие Библию ниасилили, и пользуются дебильниками для младшего школьного возраста. Отсюда беды, митинги и «духовность».

Не отставало и «либеральное» крыло критиков: эти клоунадой не развлекались, мерещилась им тотальная слежка на основе собранных баз, объединенных в одну Базу Зверя. В итоге, взявшись дружно, протестующие таки похоронили один из ключевых моментов законопроекта – так называемый «регистр населения», представляющий собой некую базу идентификаторов, уникальных для каждого человека. Вернее, не похоронили, а, предусмотрели возможность создания такого регистра в несчастливой, тринадцатой статье. Сроки введения, разумеется, не определив.

По замыслу разработчиков, запись в базе данных, касающуюся конкретного лица и содержащую в себе этот идентификатор, можно сопоставить с записью в любой другой базе, если она также содержит идентификатор. То есть, регистр действительно давал возможность объединить всю информацию, накопленную о гражданине, в одном месте. Ну, теоретически...

Что такое "персональные данные"?

Если не вчитываться в текст Закона, то кажется, что все те картины локальных мини-апокалипсисов, которые рисуют нам газеты, имеют под собой какие-то реальные основания. Если же вчитаться...
Основные принципы, которые закреплены в нем – следующие. Вводится особая категория конфиденциальной информации, «персональные данные». Это – любые сведения, на основании которых можно идентифицировать личность.
В них также включаются «биометрические данные» – физиологические особенности человека, на основании которых можно установить его личность. Обычно к таковым причисляются отпечатки пальцев и ДНК, но это – лишь малая их часть. В рубрики научных курьезов постоянно попадают сообщения об исследованиях всяких ненаших ученых, в ходе которых человека идентифицируют то по отпечатку кончика носа, то по пупырышкам на языке. А история отечественной криминалистики знает прецедент идентификации по отпечатку лба: жулик, выжидая момент что-нибудь слямзить и глядя на улицу из подъезда, неудачно прижался головой к стеклу. В общем, под «биометрию» подвести можно все, что угодно, включая человеческие выделения (я серьезно) и даже походку.

Список информации, которая может быть персональными данными, не исчерпывающий. Например, в него не внесены адреса электронной почты, «живого журнала» и всяких прочих «асек», хотя по ним человек определяется однозначно. В ту же копилку можно, думаю, внести и личную подпись.

Кто собирает и кто отвечает

Так вот, для персональных данных Закон устанавливает особый режим. Организация, занимающаяся их сбором и обработкой (в терминологии Закона – «оператор»), должна уведомить об этом уполномоченный орган по защите прав субъектов персональных данных, сообщив, а зачем ей все это надо. Список таких организаций-операторов является общедоступной информацией, и любой субъект данных может обратиться к нашему оператору и спросить, какой информацией о нем последний располагает.

От уведомления статьей 22 освобождается довольно большой круг организаций, например, работодатель, обрабатывающий данные работников, общественные объединения и религиозные организации – в отношении своих членов. Коммерческие организации могут обрабатывать информацию о своих клиентах до тех пор, пока это делается в целях исполнения договора с ними, и информация никуда не распространяется. Короче говоря, под исключения попадает довольно большое количество типовых ситуаций, в которых Закон отдыхает.

Согласие на обработку

Согласие на обработку своих персональных данных субъект может дать в устной или письменной форме, причем последняя требуется в ограниченном количестве случаев. Например, при включении данных в общедоступные источники (статья 8), при обработке «специальных категорий» персональных данных, к которым относится информация наподобие политических, религиозных, философских убеждений (статья 10), биометрических данных (статья 11), а также в том случае, если в отношении субъекта данных принимается какое-либо решение не человеком, а на основе исключительно машинной обработки (статья 16).
Кроме этого, если данные передаются из России в другую страну, не обеспечивающую им адекватной правовой защиты, для этого тоже надо письменное согласие (статья 12). В итоге – большинство «операторов данных» может спрашивать согласия исключительно в устной форме. К ней относится и тыканье кнопок, что, как вы понимаете, на руку интернет-магазинам, вынужденным запрашивать их для обеспечения доставки товара, и просто сайтам. Им новый закон ничем не грозит.

В отдельных же случаях, предусмотренных статьей 6 Закона согласия спрашивать вообще не требуется. Скажем, коммерческие организации при исполнении договора с клиентом могут обрабатывать его данные, если это нужно для исполнения договора. И даже передавать кому-нибудь: «распространение» – составная часть «обработки», в соответствии с определениями из Закона.

А помните, нам пророчили, что какой-нибудь чиновник будет преследовать журналистов за критику себя, любимого, опираясь именно на этот закон? Обломается чиновник: публиковать его данные, не спрашивая согласия, разрешает все та же статья 6 (часть 2, пункт 6). С данными, подлежащими опубликованию в соответствии с федеральными законами, тоже можно делать без спросу что хочешь (пункт 7).

Еще Закон разрешает делать все, что хочешь, с общедоступной информацией, то есть, с такой, которая стала известной неограниченному кругу лиц. В том числе – со сведениями о религиозных и прочих убеждениях. Только надо позаботиться о доказательствах общедоступности – и можно умывать руки.
Вдобавок, закон ставит возможность обработки персональных данных в зависимость от письменного согласия самого субъекта. Ну, значит, надо просто спросить этого согласия. Причем в конечном итоге, когда «операторы» просекут фишку, ситуация может стать похожей на американскую, при которой доступ к довольно чувствительным личным данным человека может получить большой круг лиц, но – только с его письменного согласия, разумеется. А если он не даст согласия – ему не видать всяких мелких ништяков типа проката машины, сдачи квартиры, банковской ссуды и прочего. Зато права не нарушены. Ура?

Правда, еще закон устанавливает обязанность оператора обрабатывать информацию ровно столько, сколько это необходимо, а потом – уничтожить в течение трех дней, уведомив об этом субъекта (статья 21, часть 4). В случае компьютерной обработки все просто: просто изменяем запись в базе данных, удаляя все имена-явки-пароли. В случае с бумажными документами проблема чисто техническая: нумеруем документы, персональные данные вносим в приложение, которое после исполнения сжигается, а пепел закапывается в землю. Если потом возникнут какие-то вопросы – факт того, что был такой документ, и относился он к определенному лицу, можно установить по номеру. Субъекту данных мы, разумеется, выдадим копию. Все просто.

Еще большая группа действий с данными, на которые Закон не распространяется – это обработка их исключительно в личных целях или для семейных нужд. Единственное условие – права тех, чьи данные вы обрабатываете, не должны нарушаться.

Привлечение к ответственности

И самое главное: распространенное заблуждение о том, что раньше привлечь к ответственности за нарушения при обработке персональной информации было нельзя, зато вот теперь-то... Уверяю вас, никаких новых статей, вводящих дополнительную ответственность за такие нарушения, не принято, и пользоваться придется лишь тем, что уже есть. Почему обиженные не пользовались теми возможностями, которые и так у них уже были – я не знаю.
Хотя я не исключаю того, что новый закон сыграет роль своеобразной пустышки-«плацебо», основное назначение которой – чтобы в нее верил больной. Так что судебные иски к организациям, допустивших утечки баз, которые сейчас продаются на рынке, вполне могут воспоследовать. Представляете феерию: у Сбербанка за утечку баз с «проводками» отбирают лицензию, в соответствии с пунктом 6 части 3 статьи 23 Закона... А что? Нарушение налицо...

Лицензия для сайта?

Окончательный срок для приведения в соответствие Закону уже созданных систем обработки персональных данных назначен аж до 2010 года, в соответствии с чем сейчас должна осуществляться только обработка уже накопленных данных. А на направление уведомлений в тех случаях, когда это требуется, срок дан до 2008 года. Это дает шансы уладить ситуацию с самой большой "засадой", которую нам готовит новый закон.

Дело в том, что для обработки конфиденциальной информации он требует наличия лицензии. Соответственно, есть несколько вариантов развития событий: или все, кто формально обязан это сделать, лицензии получат, или порядок лицензирования будет упрощен под давлением общественности (не все ж православных-то слушаться). Кроме этого я не исключаю, что могут появиться организации наподобие тех, что сейчас занимаются приемом платежей по кредиткам, и у которых все необходимые бумажки будут.

И, наконец, последний вариант: "органы" просто смотрят сквозь пальцы на то, что у кого-то там нету лицензии. В случае с интернет-сайтами он мне кажется самым верным. Но до 2010 года времени еще много, подождем разъяснений и официальных требований к порядку защиты персональных данных, которые должно сформулировать Правительство. Если же речь идет об обычных сайтах, которым эти данные, в общем-то, и не нужны, то их владельцам проще переложить ответственность за публикацию данных на самого пользователя: хозяин - барин, в конце концов... (Закон не требует обеспечивать конфиденциальность общедоступных персональных данных, думаю, именно это может избавить от необходимости получения лицензии).

Короче говоря, православная общественность не зря протестовала против Закона. В его деталях таился бес: благодаря куче исключений применяться он будет на совсем-совсем маленькую часть лиц и организаций, имеющих дело с персональной информацией, и единственное неудобство (правда, самое большое) при его применении связано именно с лицензированием.


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

15ноября

ЭОС - участник форума «Искусственный интеллект, большие данные, отечественный софт: национальная стратегия»

Узнать больше

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

09октября

ЭОС - участник Всероссийского форума «ПРОФ ИТ»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ