Правовой режим защиты персональных данных (ПД), установленный российским законодательством, предполагает, что права граждан на защиту сведений об их личной жизни охраняются государством. Законы и другие нормативные акты определяют права и обязанности операторов, устанавливают меры ответственности за нарушение законных требований.

Терминология и правовое регулирование

Впервые термин «персональные данные», определяющий комплекс информации, неотъемлемо связанной с личностью человека и позволяющий идентифицировать его, определить его личный или финансовый статус, появился в российском правовом поле в середине 1990-х годов. Именно тогда Дума приняла первый закон, рассматривающий базовые вопросы защиты персональных данных. Им стал вступивший в силу в 1995 году закон «Об информации». Сейчас он уже утратил силу. Именно в этом нормативном акте персональные данные впервые были классифицированы в качестве персональной информации. Были установлены запреты на ее нелегитимный:

• сбор;
• хранение;
• использование;
• распространение.

Сам по себе термин «персональные данные» в законе не появился. Чуть позже, в 1997 году, он впервые в России увидел свет в Указе Президента № 188. В этом документе появилось определение, в котором под ПД подразумевались данные о фактах, событиях и обстоятельствах частной жизни человека, дающие возможность достоверно идентифицировать его личность.

Конструкция правовой защиты данных, предложенная законом об информации, в общих чертах соответствовала модели, разработанной и успешно действующей в Европе. Существовало одно отличие – в европейских странах права личности и конфиденциальность персональной информации защищались как единый объект, в России было принято решение сделать упор на защиту именно персональных данных в отрыве от прав человека. Эта концепция нашла отражение и в законе «О персональных данных». 

В 1999 году на уровне Ассамблеи стран СНГ был принят модельный закон о персональных данных, еще более конкретизировавший определение. Чуть позднее, в 2005 году, Россия ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Этот документ был разработан и принят еще в 1981 году. Факт ратификации означал, что внутреннее законодательство должно быть доработано таким образом, чтобы соответствовать нормам Конвенции. Поскольку национальное право было построено концептуально немного иным образом, чем Конвенция, то ее нормы были отражены в законе, при этом принимаемые нормативные акты Правительства, министерств и ведомств выстраивали правовое поле таким образом, чтобы действительно регулирование максимально соответствовало внутренней модели защиты персональных данных.

Следует отметить, что на момент ратификации Конвенции европейское право в части защиты информационных прав личности уже ушло вперед. Были приняты директивы Совета Европы, которые вводили следующие принципы:

• при защите персональных данных права частных лиц и интересы компаний должны быть сбалансированы;
• применяемый механизм защиты не должен мешать бизнесу.

Российское законодательство не успевало за этими изменениями. Существующая система регулирования и правоприменительная практика по защите персональных данных существенно затрудняют работу предпринимателей, особенно в части использования средств автоматизации. При этом нельзя четко утверждать, что этот уровень регулирования приносит реальную пользу тем частным лицам, персональные данные и неприкосновенность частной жизни которых таким образом охраняются.

Европейская система регулирования

Государства, принявшие нормы Конвенции по защите персональных данных без корректировки в сторону усиления регулирования путем принятия подзаконных актов, не усложняют работу субъектов бизнеса дополнительными обязательствами. Национальный режим правового регулирования требует от них только выполнения следующих необходимых условий:

• организация должной системы защиты информации и ее автоматизированной обработки;
• обучение сотрудников обращению с конфиденциальной информацией.

Компания полностью свободна в своих решениях, она самостоятельно выбирает:

• систему применяемых мер защиты персональных данных;
• аппаратные и технические решения;
• стандарты качества организации систем безопасности, которыми она руководствуется;
• архитектуру построения информационных систем.

Именно оператор может оценить наличие и релевантность угроз и, исходя из этой оценки, спланировать свою организационную деятельность по защите персональных данных. В большинстве законов, регулирующих эту сферу и действующих в странах Евросоюза, существует специальная норма, которая прямо говорит о запрете требовать применения технических мер защиты, которые не являются целесообразными с экономической точки зрения.

Российская система регулирования

Российская система регулирования персональных данных строится на следующих принципах:

• оператором персональных данных является любая организация или предприниматель, которые получают и обрабатывают их не в связи с сугубо кадровым делопроизводством;
• каждый оператор должен направить уведомление о начале деятельности по обработке данных в Роскомнадзор;
• ведомство вправе проверять соблюдение законодательства о защите персональных данных;
• при каждом получении данных от физического лица оператор должен подписывать у него согласие;
• технические средства защиты и программное обеспечение при определенном уровне защиты должны быть сертифицированы и аттестованы.

Все это порождает правовой хаос и лишние административные барьеры, затрудняющие работу малому бизнесу. Эксперты считают, что часть подзаконных нормативных актов, принятых в сфере защиты персональных данных, носят формальный характер и не имеют отношения к решению практических задач по охране личной информации.

Единой нормой для стран Европы и России является требование об оформлении согласия на обработку персональных данных. Особенностью этого документа является право субъекта отозвать его в любой момент, в который он сочтет, что деятельность конкретного оператора не обеспечивает надлежащую защиту данных. В случае отзыва согласия оператор обязан уничтожить доверенную ему информацию.

В ранних редакциях закона процесс отзыва согласия выглядел следующим образом:

• субъект персональных данных отзывает свое разрешение;
• оператор обязан уничтожить все сведения в течение трех дней с момента получения такого извещения;
• об уничтожении компания уведомляет гражданина.

Этот механизм нереализуем на практике с учетом особенностей документооборота и бизнес-процессов таких операторов, как мобильные провайдеры или банки. В итоге срок был увеличен до 30 дней и позволил оператору в ряде случаев не прекращать обработку данных.

Без согласия гражданина проводится обработка данных биометрии, если это необходимо в связи с:

• действием международных договоров;
• работой правоохранительных и судебных органов;
• в случаях, предусмотренных специальными законами, например, о терроризме.

Существуют ситуации, когда в рамках действующего законодательства гражданин обязан раскрыть свои персональные данные. Это может быть связано с подачей налоговой декларации и аналогичными случаями. Доступ к данным в российском праве затруднен и плохо отрегулирован. Иногда они не предоставляются по запросу госорганов, например, ФАС РФ, что приходится регулировать при помощи судебных решений. Возникают проблемы и у нотариусов, например, в случае уточнения места жительства наследодателя, что зачастую приводит к возможности осуществления мошенничества и заведения наследственного дела в удобной нотариальной конторе.

Правовой режим защиты персональных данных не является застывшей системой. Законодательство меняется, некоторые его нормы корректируются в ходе правоприменительной практики. Но знание и соблюдение норм обязательно для всех организаций, которые работают с информацией, затрагивающей личные права граждан.