В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности
Алексей Лукацкий — менеджер по развитию
бизнеса Cisco Systems
Сейчас практически 100% специалистов по информационной безопасности воспринимают Федеральный Закон «О персональных данных» как главенствующий нормативный акт в этой области в России. Этой же точки зрения придерживаются и наши регуляторы, которым отчасти выгодно такое положение дел.
На одной из последних встреч представители Роскомнадзора сами признали, что выполнить все требования ФЗ-152 физически невозможно и что некоторые представители этого регулятора не всегда при проверках отличаются чистотой своих помыслов, пользуясь жесткостью наших законов. Такое отношение к ФЗ-152 очень сильно мешает его реальному выполнению.
Вместо того, чтобы действительно защищать права субъектов персональных данных, все стремятся обойти положения закона или оптимизировать свои усилия в этой области. Кстати, за 3 года с его принятия доказанных случаев нанесения реального ущерба субъекту ПДн было зафиксировано меньше десятка.
Однако на самом деле, ФЗ-152 не является основным программным законом в деле защиты персональных данных. Пункт 4 статьи 4 данного ФЗ гласит «если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора».
Иными словами приоритет отдан международным договорам, которые приняты в России. И такой нормативный акт есть — это «Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», ратифицированная Россией Федеральным Законом от 19 декабря 2005 года №160-ФЗ.
СТИЛИСТ ОТ БОГА!!! / Персональный Шоппинг, Музей и Задница / VLOG / LONDON
Ограничений 160-й Федеральный Закон вводит всего 3:
· Конвенция не распространяется на область государственной тайны
· Конвенция не распространяется на обработку персональных данных для личных и семейных нужд
· Могут быть установлены дополнительные ограничения прав субъектов ПДн на доступ к данным о себе в целях защиты безопасности государства и общественного порядка.
Иными словами, все остальные положения Конвенции ЕС действуют на территории России и имеют бОльшую юридическую силу, чем положения ФЗ-152. Что нам дает это знание?
А то, что, например, согласно Конвенции мы не обязаны уведомлять субъекта ПДн об обработке его данных не только при наличии договора, но и в момент преддоговорной работы. Это делает законным работу:
· бюро кредитных историй, передающих кредитные истории банкам
· страховых компаний, запрашивающих страховую историю клиентов
· банков, рассматривающих заявки на получение кредита
· и т.п.
Также Конвенция разрешает нам использовать системы видеонаблюдения, «черные списки» и т.д. А средства защиты должны быть адекватны угрозе, стоимости ущерба и используемым технологиям обработки персональных данных.
Из всего вышесказанного есть только один неприятный момент — Роскомнадзор, как основной федеральный орган исполнительной власти, проверяющий реализацию прав субъектов персональных данных, прекрасно понимая роль и юридическую силу Конвенции, на практике контролирует выполнение требований именно Федерального Закона, а не Конвенции. А т.к. некоторые положения ФЗ явно противоречат Конвенции, то, несмотря на процитированную выше 4-ю статью ФЗ-152, нарушения будут найдены и по ним будут выданы предписания об устранении.
Если же вы не согласны с решением надзорного органа, то единственный вариант разрешения конфликта — суд, чье решение может быть не таким однозначным, как я описал. Особенно, если вы будете судиться не с субъектом персональных данных, который посчитал свои права попранными, а с Роскомнадзором, т.е. федеральным органом исполнительной власти.
Вероятность проигрыша в данном сценарии достаточно высока, т.к. отечественные суды не очень любят выносить решения не в пользу власти.
