Каблучков А.Ю.,
юрисконсульт НОУ ВПО «РОСИ»
Федеральным законом от 23 декабря 2010 г. № 359-ФЗ «О внесении изменения в статью 25 Федерального закона «О персональных данных»(1) был продлен срок приведения информационных систем в соответствие с требованиями законодательства о персональных данных с 1 января на 1 июля 2011 г. Как указал в пояснительной записке автор законопроекта А.Г. Аксаков, «выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований к информационным системам персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, что неосуществимо в условиях кризиса»(2). Данные изменения касаются только информационных систем, созданных до 1 января 2011 г. Кроме того, необходимо понимать, что «мораторий» относится только к информационным системам (то есть к техническим требованиям), все требования о подготовке документов (разработка положения, получение согласий субъектов персональных данных (ПДн) и т. д.) и часть организационных мер необходимо было осуществить «уже вчера».
Указанные выше изменения законодательства касаются огромного массива лиц, так как практически каждому лицу присвоен статут оператора персональных данных. Так, в ФЗ «О персональных данных»(3) под операторами персональных данных понимаются не только юридические лица и индивидуальные предприниматели, но и физические лица, осуществляющие обработку персональных данных. Понятие обработки предполагает любые действия с персональными данными. Закон отдельно выделяет такие составляющие обработки, как сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение. Наконец, под самими персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). В частности, под персональными данными можно понимать такие данные, как фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы субъекта персональных данных.
(1) Российская газета. – 2010. – 27 дек.
(2) http://www.aksakov.ru/ru/laws/laws/index.php?id=1092.
(3) Российская газета. – 2006. – 29 июля.
Закон о персональных данных был принят в июне 2006 г., вступил в силу в начале 2007 г. Но ясность в вопросе о компетенции по реализации закона появилась только в 2008 г., тогда же начали появляться первые подзаконные акты, без которых закон не мог эффективно действовать.
В настоящий момент уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которая находится в ведении Министерства связи и массовых коммуникаций Российской Федерации. В п. 5 ч. 3 ст. 23 ФЗ «О персональных данных» закреплено право органа обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде. Однако в Положении о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций(1) нет какой-либо регламентации названных прав службы.
В соответствии с Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных(2) количественный состав участников проверки должен быть не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения. О проведении плановой проверки оператор уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии соответствующего приказа, срок уведомления о проведении внеплановой выездной проверки равен 24 часам. Если в результате деятельности оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление оператора о начале проведения внеплановой выездной проверки не требуется. Регламент предусматривает, что срок проведения как плановой, так и внеплановой проверки не может превышать 20 дней. Однако предусмотрена возможность продления этого срока.
Роскомнадзор обязан размещать планы проверок на своем официальном сайте (п. 20 Регламента). План проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2011 г. находится по адресу: http://www.rsoc. ru/plan-and-reports/contolplan/, планы проверок территориальных подразделений Роскомнадзора можно найти на сайтах соответствующих управлений.
По инерции Роскомнадзор проверяет своих «любимцев»: операторов связи, пользователей радиочастотного спектра, организации, работающие в области телевизионного вещания и радиовещания, и, конечно, отделения ФГУП «Почта России». Кроме того, поверкам часто подвергаются бюджетные учреждения, банки, образовательные учреждения. Но волноваться должны все организации, обрабатывающие большой массив персональных данных. В целом контроль за соблюдением законодательства о персональных данных в настоящий момент не является приоритетным направлением надзорной деятельности службы.
(1) Российская газета. – 2009. – 24 марта.
(2) Бюллетень нормативных актов федеральных органов исполнительной власти. – 2010. – № 11.
Другим органом, занимающимся регулированием в области защиты персональных данных, является Федеральная служба по техническому и экспортному конт ролю (ФСТЭК России), руководство деятельностью которой осуществляет Президент РФ (п. 2 Положения о ФСТЭК(1)) при ее подведомственности Минобороне (п. 3 Положения). Служба является правопреемником Государственной технической комиссии при Президенте РФ, ее территориальных органов и подведомственных ей организаций. Надо иметь в виду, что в некоторых правовых актах наименование «Государственная техническая комиссия» все еще не было изменено на ФСТЭК. В настоящий момент ФСТЭК ограничена в кадровых ресурсах. В соответствии с Положением о ФСТЭК предельная штатная численность составляет 984 ед., у Роскомнадзора по сходной позиции имеется 3556 ед. Это сказывается на возможности проведения проверок – на 2011 г. было запланировано всего 8 плановых проверок. Свой План проведения плановых проверок юридических лиц и индивидуальных предпринимателей по вопросам экспортного контроля, лицензионного контроля и контроля обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных на 2011 г. ФСТЭК разместила по адресу: http://www.fstec.ru/_razd/_plano.htm.
Сферой деятельности ФСТЭК является техническая защита персональных данных. В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации (утв. приказом Гостехкомиссии России от 27 октября 1995 г. № 199(2)) ФСТЭК является федеральным органом по сертификации средств защиты информации, выполняет функции по аккредитации органов по сертификации. В постановлении Правительства РФ от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»(3) указывается, что ФСТЭК осуществляет лицензирование деятельности по технической защите конфиденциальной информации.
Часть задач по защите персональных данных разграничены между ФСТЭК и ФСБ «в пределах их полномочий». Информационные системы оператора, обрабатывающего большой массив персональных данных национальной важности, будут объектом проверки Федеральной службы безопасности. В соответствии с п. 21 постановления Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»(4) разработка и использование шифровальных (криптографических) средств является сферой деятельности Федеральной службы безопасности. Во исполнение данного пункта службой были приняты следующие правовые акты:
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/54-144(5);
(1) Собрание законодательства РФ. – 2004. – № 34. – Ст. 3541.
(2) http://www.fstec.ru/_razd/_isp0o.htm.
(3) Российская газета. – 2006. – 29 авг.
(4) Российская газета. – 2007. – 21 нояб.
(5) http://www.fsb.ru/fsb/science/[email protected].
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/6/6-622(1).
В п. 3.6. Типового регламента проведения мероприятий по контролю (надзору)(2) установлен 15-дневный срок со дня получения акта проверки на представление письменного возражения.
В соответствии со ст. 19 ФЗ «О персональных данных» операторы обязаны принимать необходимые организационные и технические меры для защиты персональных данных. Анализ предписываемых законодательством мер защиты персональных данных и других обязанностей операторов позволяет выделить три группы: организационные, организационно-технические и технические обязанности.
Организационные обязанности уже сейчас должны исполняться, и за их неисполнение уже сейчас оператор может быть привлечен к ответственности. Непосредственно под организационной мерой защиты персональных данных можно понимать организацию безопасного процесса обработки персональных данных, определение полномочий, обязанностей ответственных лиц и их уведомление о принятых решениях. Данные организационные решения должны быть зафиксированы в локальном правовом акте; как правило, таким актом является Положение об обработке персональных данных. При правовом оформлении процесса обработки ПДн необходимо учитывать технические и организационно-технические обязанности.
Помимо обязанности осуществлять организационную меру защиты ПДн законодатель наложил на операторов множество иных организационных обязанностей. Так, ст. 22 ФЗ «О персональных данных» обязывает оператора до начала обработки персональных данных уведомить уполномоченный орган (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Форма уведомления утверждена приказом Роскомнадзора от 16 июля 2010 г. № 482 «Об утверждении образца формы уведомления об обработке персональных данных»(3). Оператор не обязан уведомлять службу в случаях, предусмотренных в ч. 2 указанной статьи: персональные данные включают только фамилии, имена и отчества; наличие трудовых отношений; субъект ПДн является стороной договора, в связи с которым происходит обработка, и др. Но даже в этих случаях Роскомнадзор требует представления уведомления, ссылаясь на ч. 4 ст. 20 рассматриваемого закона, в соответствии с которой оператор обязан в семидневный срок представлять Роскомнадзору запрашиваемую им информацию. Следует отметить, что оператор обязан представить только «необходимую для осуществления деятельности указанного органа» информацию. «Продвинутое» ведомство, привыкшее иметь дело с информационными ресурсами, как правило, требует заполнения как письменной формы уведомления (которое необходимо для наличия у документа юридической силы), так и электронной, находящейся на сайте службы (позволяет ведомству автоматизировать работу с переданным документом).
(1) http://www.fsb.ru/fsb/science/[email protected].
(2) http://www.fsb.ru/fsb/science/[email protected]. Полное наименование документа: Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. руководством 8 Центра ФСБ России 8 августа 2009 г. № 149/7/2/6-1173.
(3) http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=105213;fl d=134;dst=100008.
В электронной версии уведомления присутствуют поля, которых нет в форме, утвержденной приказом № 482: «средства обеспечения безопасности», «использование шифровальных (криптографических) средств», «класс информационной системы», это может использовать оператор, не желающий заполнять данные поля(1). Строка о мерах обеспечения безопасности персональных данных содержит словосочетание «оператор обязуется». В связи с этим полагаем, что лучше давать данное обязательство в наиболее общем виде.
Одной из самых трудоемких организационных обязанностей операторов является обязанность получения письменного согласия от субъекта ПДн на обработку его данных (ст. 9 ФЗ № 152). Помимо прочего согласие должно содержать информацию о документе, удостоверяющем его личность, цель обработки персональных данных, перечень обрабатываемых персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, срок, в течение которого действует согласие, а также порядок его отзыва. Ряд операторов считает возможным обойтись общими фразами «обрабатывать все необходимые персональные данные и производить с ними все необходимые действия». Полагаем, что данные формулировки допустимы, но наряду с ними целесообразно также прописать конкретные перечни персональных данных и действий с ними. Перечень возможных действий можно позаимствовать из абз. 4 и 5 ст. 3 ФЗ № 152. Законодательством не ограничен срок обработки персональных данных; по нашему мнению, срок может быть обусловлен определенным условием (например, действием трудового договора). Необходимо установить конкретный порядок отзыва согласия, который также может быть любым. Необходимо серьезно отнестись к определению цели обработки данных, так как в соответствии с п. 4 ст. 21 ФЗ № 152 «в случае достижения цели… оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех дней». Также не следует забывать, что если персональные данные будут использоваться для распространения рекламы, то в соответствии с ч. 1 ст. 18 Федерального закона от 13 марта 2006 г. № 38-ФЗ «О рекламе»(2) «распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы». То есть в соглашении надо также оговорить согласие субъекта ПДн на получение рекламы. Также предварительное соглашение необходимо получать, если обработка будет осуществляться в целях политической агитации или в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (ст. 15 ФЗ № 152).
В связи с отсутствием установленной формы соглашения его можно оформлять в виде анкеты, опросного листа или совместить с другим документом. Случаи, когда получение согласия не требуется, зафиксированы в ч. 2 ст. 6 ФЗ № 152. В частности, не нужно получать согласие, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
(1) Однако в настоящий момент в соответствии с Рекомендациями по заполнению образца формы уведомления (которые являются приложением приказа) в поле описание мер… по обеспечению безопасности персональных данных указываются класс информационной системы, данные о шифровальных (криптографических) средствах.
(2) Российская газета. – 2006. – 15 марта.
Несмотря на то что закон предписывает получать именно письменное согласие, Федеральный арбитражный суд Северо-Западного округа в постановлении от 13 декабря 2010 г. по делу № А56-73636/2009 признал, что заполнение электронной формы в интернете было фактическим согласием и оператор получал «письменное согласие в смысле, определенном пунктом 4 статьи 9 закона «О персональных данных»(1).
К организационным обязанностям можно отнести также обязанность включения в договоры, по которым обработку будут осуществлять другие лица в интересах оператора, условия о соблюдении конфиденциальности (ч. 4 ст. 6 ФЗ № 152), предоставление субъекту ПДн информации, содержащейся в ч. 3 ст. 18 ФЗ № 152, в случае, если данные были получены не от субъекта, предоставление по заявлению субъекта ПДн сведений, содержащихся в ст. 14 ФЗ № 152.
Ряд организационных обязанностей содержится в постановлении Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»(2). Под обработкой, осуществляемой без использования средств автоматизации, понимаются любые действия с персональными данными, осуществляемые при непосредственном участии человека. То есть данные действия могут осуществляться как вне информационной системы, так и через нее, главным критерием является вовлеченность человека в процесс обработки. Обязанности, содержащиеся в указанном постановлении, направлены на обособление персональных данных: фиксация данных, цели обработки которых заведомо несовместимы, на разных носителях; обособление ПДн от иной информации; копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию. Пункт 7 Положения устанавливает обязательные требования к типовым формам (документам, в которых могут содержаться ПДн), к таким формам можно отнести журнал регистрации инструктажа по технике безопасности, списки ознакомлений и т. д. Указанные формы должны содержать сведения о цели обработки персональных данных, адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных и др. Для журналов, куда вносится персональные данные для однократного использования (например, однократного пропуска на территорию), существуют свои требования: запрет копирования содержащейся в данных формах информации, ПДн могут вноситься не более одного раза в каждом случае пропуска субъекта (п. 8 Положения). Обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места их хранения и установить перечень лиц, имеющих к ним доступ.
Организационно-технические обязанности помогают операторам определить объем необходимых технических мер защиты. Проверка соблюдения этих обязанностей, скорее всего, будет осуществляться одновременно с проверкой технических мер, то есть с 1 июля 2011 г.
(1) http://kad.arbitr.ru/data/pdf/3f7c3c3f-5bfb-47fe-af5e-2d5ad2d6a322/A56-73636-2009_20101213_ Postanovlenie+kassacii.pdf.
(2) Российская газета. – 2008. – 24 сент.
Основными организационно-техническими обязанностями являются классификация информационных систем персональных данных (ИСПДн) и определение угроз безопасности персональных данных.
Классификация ИСПДн должна производиться в соответствии с нормами совместного приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»(1) (так называемый приказ трех). Оператор должен самостоятельно произвести классификацию. Информационные системы подразделяются на типовые и специальные. При работе с типовыми системами требуется обеспечить только свойство конфиденциальности персональных данных. Системы, в которых требуется обеспечить другие характеристики безопасности (защищенность от уничтожения, изменения, блокирования и др.), относятся к специальным.
Типовые ИСПДн классифицируются путем определения категории обрабатываемых персональных данных и объема обрабатываемых персональных данных. Приказ устанавливает четыре категории персональных данных:
- категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
- категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;
- категория 4 – обезличенные и (или) общедоступные персональные данные.
Данные положения содержат только одну позицию, по которой возможен правовой спор, – возможность использования ПДн для получения дополнительной информации (признак категории 2). Законодательство не содержит разъяснения данного момента. При отсутствии сложившейся судебной практики и официальных разъяснений можно сделать только один вывод – информация, которая уже содержится в ИСПДн оператора, не может являться дополнительной.
Путем соотношения категории и объема обрабатываемых ПДн определяется класс системы(2). Правильное определение класса имеет существенное значение, так как для каждого класса ИСПДн в Положении о методах и способах защиты информации в информационных системах персональных данных (утв. приказом ФСТЭК от 5 февраля 2010 г. № 58) определены свои обязательные «методы и способы защиты».
(1) Российская газета. – 2008. – 12 апр.
(2) Таблица, в соответствии с которой производится определение класса системы, содержится в совместном приказе № 55/86/20.
И специальные, и типовые информационные системы подразделяются по нескольким общим параметрам: наличие подключений к сетям связи общего пользования и (или) сетям международного или отсутствие таковых; имеющие однопользовательский или многопользовательский режим обработки ПДн, наличие разграничения прав доступа или отсутствие такового; нахождение всех технических средств на территории Российской Федерации или за пределами Российской Федерациии, наконец, классификация по структуре информационной системы(1). Каждый общий параметр также накладывает определенные обязанности. В связи с этим при организации информационной инфраструктуры оператора ПДн необходимо учитывать указанную выше классификацию. Возможно, некоторым операторам будет дешевле концентрировать обработку ПДн в одном подразделении, чем организовывать маркировку носителей информации, использование межсетевых экранов и т. д.
Кроме требований технического характера каждый параметр подразумевает свое специфическое документарное оформление. Например, при наличии разграничения прав доступа к обрабатываемым ПДн необходимо разработать соответствующее специальное положение. В качестве примера по оформлению документов и классификации ИСПДн можно использовать Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости(2).
Некоторые специалисты считают, что классификация ИСПДн предусмотрена в приказе № 55/86/20 только для типовых информационных систем, а специальные информационные системы не подлежат классификации исходя из объема и класса, им не присваивается категория и соответственно не возникает обязанность выполнять требования, которые предъявляются для каждой категории. В такой ситуации оператор разрабатывает модель угроз и самостоятельно определяет, какие методы и способы необходимо применять. Однако на практике территориальные подразделения Роскомнадзора требуют присвоения класса для специальных ИСПДн. Для того чтобы присвоить класс для специальной системы, необходимо разработать модель угроз.
В соответствии с п. 12 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз является обязанностью оператора ПДн. Определение угроз безопасности осуществляется на основании Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. заместителем директора ФСТЭК России 14 февраля 2008 г.(3)), а также Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных(4). В первом документе содержится описание процедуры определения угроз безопасности ПДн, а во втором – их систематизированный перечень. И первый, и второй документы опубликованы не были, поэтому есть возможность оспаривания его юридической силы. В целом формирование модели угрозы допускает бо´льшую свободу, чем классификация ИСПДн.
(1) Данный параметр определяет порядок взаимодействие технических средств информационной системы:
1) наличие автономности; 2) в случае объединения технических средств в единую информационную систему: а) объединение средствами связи без использования технологии удаленного доступа; б) объединение средствами связи с использованием технологии удаленного доступа.
(2) http://www.minzdravsoc.ru/docs/mzsr/informatics/5.
(3) http://www.fstec.ru/_spravs/_spec.htm.
(4) http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=99662.
Технические меры защиты ПДн содержатся в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, Положении о методах и способах защиты информации в информационных системах персональных данных (утв. приказом ФСТЭКот 5 февраля 2010 г. № 58(1)),Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, Методических рекомендациях по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Конкретный перечень технических мер защиты определяется на основании классификации ИСПДн и модели угроз. Большинство из этих мер касаются информационных систем и должны быть реализованы до 1 июля 2011 г. Те меры, которые не касаются информационных систем (замки на шкафах, сейфы), должны быть определены самостоятельно оператором. Кроме того, оператор должен самостоятельно определить перечень лиц, ответственных за данные меры.
Закон № 152-ФЗ содержит категории ПДн, обработка которых связана с дополнительными обязанностями либо, наоборот, с отсутствием некоторых обязанностей. К таким категориям можно отнести специальные категории, биометрические персональные данные, общедоступные персональные данные, а также персональные данные, подлежащие трансграничной передаче.
Специальные категории ПДн – это данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Для обработки этих данных значительно сужен список случаев, когда получать письменное согласие субъекта ПДн не требуется.
Биометрические ПДн – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Для этих сведений еще более сужен перечень исключений из правила об обязательном получении письменного согласия на обработку данных.
Кроме того, постановлением Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»(2) установлены дополнительные организационные и технические требования к материальным носителям биометрических ПДн. К организационным требованиям относятся обязанность учитывать количество экземпляров материальных носителей биометрических ПДн, присваивать материальному носителю уникальный идентификационный номер, позволяющий точно определить оператора и утверждать порядок передачи материальных носителей уполномоченным лицам, то есть принимать дополнительный локальный акт или дополнять другой документ соответствующими условиями. В соответствии с техническими требованиями необходимо применять средства электронной цифровой подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, а также устанавливать срок, в течение которого можно применять материальный носитель. Данный срок не может быть более срока эксплуатации, установленного изготовителем материального носителя. Рассматриваемое постановление не распространяется на отношения, возникающие при использовании бумажных носителей, а также «использовании оператором информационной системы персональных данных материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является» (п. 3 постановления).
(1) Российская газета. – 2010. – 5 марта.
(2) Российская газета. – 2008. – 11 июля.
Определение биометрических ПДн, содержащееся в ФЗ № 152, можно трактовать достаточно широко. При проверках часто возникают споры по поводу относимости фотографий к биометрическим ПДн. Некоторые операторы пытаются доказать, что сама по себе фотография не является биометрическим ПДн, ссылаясь на ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица»(1).
В настоящее время законодательство о персональных данных развивается в сторону либерализации, отказа от излишних требований. Государственная Дума приняла в первом чтении проект Федерального закона № 282499-5 «О внесении изменений в Федеральный закон «О персональных данных»(2), судьба которого все еще не определена. Данный законопроект предусматривает возможность дачи согласия посредством совершения конклюдентных действий (фактического согласия) и право оператора продекларировать условия соглашения путем его размещения в формедоступной для ознакомления неограниченному кругу лиц. Однако сомневаться в существовании законодательства о персональных данных теперь не приходится. Судя по всему, уполномоченные органы будут увеличивать количество и качество своих проверок.
(1) http://www.klubok.net/gost/index/0/305.htm.
(2) Собрание законодательства РФ. – 2010. – № 20. – Ст. 2384.
Приложения к статье см. на стр. 106
"Советник юриста" №5/2011 |