Правовое регулирование в сфере защиты персональных данных



Актуальность работы заключается в том, что в современном развивающемся мире человеку нужны гарантии неразглашения личной информации, а также гарантии невмешательства в личное пространство работника третьих лиц и работодателя. Личная информация и интересы личности должны выражаться в неприкосновенности частной жизни при обработке персональных данных.

В современной Российской Федерации проблема защиты персональных данных в сети «Интернет» последние несколько лет является достаточно актуальной. Такая ситуация объясняется тем, что различными социальными сетями, мессенджерами, электронной почтой, да и просто самим интернетом пользуется большое количество граждан. При активном пользовании всем вышесказанным человек оставляет некоторые данные, которые могут дать информацию о нем. Эти данные могут быть различными, начиная просто от имени и фамилии и заканчивая всеми данными паспорта.

Персональные данные — это любые сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу, которые предоставляются другому лицу [1].

Все персональные данные, которые существуют в Российской Федерации, подразделяются на следующие виды (научное деление):

– общие персональные данные. К ним можно отнести: Ф. И. О. человека, место регистрации и жительства, номер мобильного телефона, адрес электронной почты. Такие данные в большинстве своем известны не только их обладателю, но и каким-либо другим гражданам;

– специальные персональные данные. К ним относятся политические взгляды, религиозная принадлежность, данные о состоянии здоровья, подробности о судимостях человека. Этот вид персональных данных отличается от общего вида тем, что они обычно находятся в закрытом доступе. Узнать их можно только в том случае, если их обладатель сам захочет их рассказать;

– биометрические персональные данные. К ним относятся отпечатки пальцев, группа крови, физиологические параметры человека. Такие данные становятся персональными только в том случае, если используются для идентификации личности. Например, если у какого-либо юридического лица на входе стоит датчик распознавания отпечатков пальцев, то тогда это юридическое лицо работает с персональными данными, так как именно по ним вы определяете личность человека;

– иные виды персональных данных. В эту категорию персональных данных входят все те данные, которые не попадают во все вышеперечисленные, например, информация о заработной плате, о датах отпуска, о стаже работы [6].

Правовое регулирование охраны таких данных осуществляется положениями Конституции Российской Федерации, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, а также различными подзаконными актами. Однако, несмотря на такой большой объем правовой защиты, сейчас существуют две проблемы защиты персональных данных в интернете. Первая проблема — это утечка этих данных в Сеть, а вторая — это почти нереальная возможность добиться компенсации за вред, который был причинен такой утечкой. Решение этих двух проблем должно заключаться в устранении причин, которые их вызывают. Вследствие их устранения в Российской Федерации должен резко снизиться процент утечки персональных данных в сеть «Интернет».

В наше современное время число пользователей Интернета достигло колоссального уровня. Человек стал практически зависим от связи и Интернета. Информация стала не только основным преимуществом, но и величайшим оружием общества. Практически у каждого имеется электронная почта и далеко не одна, имеется множество аккаунтов. А ведь не каждому известно, к чему приводит взлом аккаунтов. Угроза потери наиболее важной информации конфиденциального характера, в том числе паспортных данных. А какие риски мы несем, привязываю свои банковские карты, осуществляя покупки через интернет-сайты. Поэтому значительно возросли ресурсы злоумышленников, незаконно использующих имеющейся информации о субъекте путем возможности удаленного доступа к базам данных. В связи с быстрой обработкой персональных данных человека создается реальная угроза законным интересам и правам человека. [2] Проблема защиты личности от несанкционированного сбора персональных данных, злоупотреблений, возможных при сборе, обработке и распространении информации персонального характера на сегодняшний момент является достаточно актуальной для нашего государства.

Нормативно-правовая основа решения данной актуальной и прикладной проблематики также значительна и фундаментальна, ниже перечислим самые основные документальные акты, включающие и федеральную законодательную базу, и ведомственную:

1. Федеральный Закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
2. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
3. Федеральный Закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
4. Приказ Федеральной службы по техническому и экспортному контролю (далее ФСТЭК) № 17 от 11 февраля 2013 г. — “Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах”.
5. Приказ ФСТЭК № 21 от 18 февраля 2013г. — “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”.
6. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (ФСТЭК России,2008 г.)
7. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (от 15 февраля 2008 г.).
8. Банк данных угроз безопасности информации (ФСЭК).
9. ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения». М.: Стандартинформ, 2008.
10. ГОСТ РИСО/МЭК 27002–2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».

В настоящее время вопрос обработки персональных данных находится в секторе внимания специалистов по безопасности абсолютно любой организации. Трудно найти организацию, которая не обрабатывала бы персональные данные своих сотрудников или контрагентов. В свою очередь, любой гражданин вступает во взаимоотношения с различными физическими и юридическими лицами, в результате которых образуются массивы (базы данных) персональных данных. В то же время у сотрудников служб информационной безопасности возникают трудности в применении действующих правовых норм, регулирующих данную сферу общественных отношений.

Таким образом, при персональной обработке данных в любой информационной базе имеют значение нормативно-правовые акты, их применение и соблюдение. Одно из главных нововведений затронуло Положение ФЗ № 152- ФЗ, дополняя его требованием с 1 января 2021 года хранения персональных данных на серверах. При сборе, в том числе посредством информационно-телекоммуникационных систем, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнения (обновление, изменение) данных граждан РФ с использованием баз, находящихся на территории РФ.

Нередко случаются ситуации, когда в силу разных причин персональные данные того или иного гражданина становятся общедоступными, происходит так называемая утечка персональных данных человека. Об этом мы в настоящее время слышим достаточно часто. Так, например, в ноябре 2019 года произошла утечка данных клиентов «Альфа-банка». В Сети на продажу были выставлены данные лиц, заключавших кредитные договоры и договоры страхования. В договорах содержатся Ф. И. О., номер мобильного телефона, паспортные данные, адрес регистрации, сумма кредитного лимита или оформленной страховки, предмет страхования, а также дата заключения договора [7]. Гражданин, передавая свои личные данные какому-либо юридическому лицу, индивидуальному предпринимателю или публично-правовому образованию, надеется на то, что их получатель защитит эти данные и никому не передаст.

Актуальные проблемы защиты персональных данных:

1. В Российской Федерации положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться. Также в рамках правоприменительной практики существуют разные решения судов по одному и тому же спорному вопросу. В качестве примера такой ситуации можно привести следующую — является ли номер мобильного телефона персональными данными. В соответствии с законодательством номер телефона можно отнести к персональным данным, а по мнению Роскомнадзора — нет, так как телефонный номер — это не характеристика человека, а атрибут аппаратного средства связи и, значит, персональными данными не является. Судебная практика тоже в этом вопросе не однозначна. Приведем два примера. В 2019 году житель города Белгорода обратился в суд с жалобой на размещение его телефонного номера в интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с государственным органом в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека, и на сторону жителя Белгорода не встал. Между тем суд в Москве, рассматривая подобный вопрос, вынес другое решение. Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением законодательства о персональных данных. Также в качестве еще одного примера вышеуказанной ситуации можно привести разные трактовки того, являются ли фотографии, которые применяются в системе СКУД, биометрическими персональными данными или нет [9]. Вследствие этого из-за того, что нет четкого понимания законодательных положений, многие юридические лица могут надлежащим образом не охранять номера телефонов или фотографии лиц, так как они не считают их персональными данными, что приводит к их утечке и распространению в сети «Интернет».
2. В Российской Федерации существует достаточно низкий размер административных штрафов для юридических лиц, которые в процессе своей деятельности допускают нарушение законодательства о защите персональных данных.

Размер таких штрафов находится в диапазоне от 15 000 до 75 000 рублей. Заплатить такой административный штраф может стать затруднительным лишь для небольшого юридического лица [8]. Крупные юридические лица, которые осуществляют продажу персональных данных, смогут заплатить такой штраф без труда. Для них это «издержки производства».

3. У некоторых юридических лиц утечка персональных данных происходит из-за человеческого фактора. Он может проявляться в разных аспектах: сотрудники слабо понимают требования положений российского законодательства о персональных данных, сотрудники халатно относятся к исполнению своих должностных обязанностей, сотрудники выполняют требования закона «для галочки», а не по факту, сотрудники организаций сами продают персональные данные своих работников или клиентов каким-либо третьим лицам.
4. Для установления личности субъекта персональных данных Законом «О персональных данных» установлены минимальные требования к обработке биометрических персональных данных. Однако вопрос в части информирования об утечке таких данных носит открытый характер, а это представляет существенную угрозу безопасности граждан. Массовые утечки персональных данных в России в последнее время существенно возросли.
5. Российским гражданам, которым был причинен какой-либо ущерб утечкой персональных данных, почти нереально добиться компенсации за это в судебном порядке от частных юридических лиц или государственных органов, допустивших утечку персональных данных. Такое положение вещей объясняется тем, что в случае, если какой-либо из подобных процессов, увенчавшийся успехом, может привести к цепной реакции, когда каждый пользователь, сталкивавшийся с утечкой данных, обратится в суд за компенсацией. Учитывая низкий уровень защиты персональных данных в России, это может обернуться разорением юридических лиц.

Правовой режим защиты метаданных находится в «серой зоне». Это обусловлено как минимум несколькими факторами: 1) сложностью самого регулирования технических процессов; 2) отсутствием заинтересованности в регулировании со стороны разработчиков программных продуктов; 3) возможностью получения информации правоохранительными органами в упрощенном порядке. Обращение к российскому законодательству показывает, что сам термин «метаданные» в нем используется. Например, ст. 14 Федерального закона от 30 декабря 2015 г. № 431-ФЗ «О геодезии, картографии и пространственных данных и о внесении изменений в отдельные законодательные акты Российской Федерации» содержит указание на пространственные метаданные. Однако изучение иных документов показывает, что законодатель не видит большой разницы между пространственными данными и пространственными метаданными (и в том и в другом случае речь идет об информации, изложенной в виде файлов в формате XML, созданных с использованием XML-схемы).

Таким образом, приходится констатировать, что создаваемые технологии прямо противоречат действующим принципам нормативно–правовой базы, что говорит о сомнительной эффективности законодательства о защите персональных данных. Законодательство о защите персональных данных в существующем виде является все менее адекватно в соотношении с современными технологическими реалиями, и конечно, нуждается в значительной корректировке.

Литература:

1. Бойкова О. Ф. Защита персональных данных: касается всех! Практическое пособие. Выпуск № 142 / Бойкова Ольга Феоктистовна. — М.: Либерея, 2018. — 950 c.
2. Бондаренко, К. А. Взаимосвязь признаков индивидуального трудового договора и особенностей договорного регулирования трудовых отношений / К. А. Бондаренко // Трудовое право в России и за рубежом. 2015. — № 3. — С. 23–27.
3. Бурдов, С. Н. К вопросу о возможностях совершенствования нормативноправового режима конфиденциальной информации / С. Н. Бурдов // Государство и право. 2015. № 5. — С. 103–105.
4. Буркова А. Ю. Определение понятия «персональные данные» // Право и экономика. — 2015. — № 4. — С. 20–24
5. Буркова, А. Ю. Локализация баз данных на территории Российской Федерации: первые толкования // Законодательство и экономика. 2015.- № 9.- С. 59–64.
6. Власов Д. С. Защита персональных данных в автоматизированных системах обработки информации органов государственной власти // Успехи современной науки. 2016. Т. 8. № 12. С. 33–38.
7. Гадельшин А. А., Степанов М. М. COOKIE-ФАЙЛЫ как объект персональных данных и способ нарушения конфиденциальности персональных данных //Вопросы российской юстиции. 2021. № 16. С. 516–531.