ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ В КОНТЕКСТЕ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОCТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

АННОТАЦИЯ

В статье анализируется основного нормативно-правового акта, регулирующего положения о сохранности персональных данных в Российской Федерации. В ходе проведения исследовательской работы были рассмотрены примеры содержания политики конфиденциальности некоторых крупных организаций с большим количеством пользователей. По итогам работы предложены возможные варианты совершенствования нормативно-правового регулирования в рассматриваемой сфере.

ABSTRACT

The article analyzes the main regulatory legal act regulating the provisions on the safety of personal data in the Russian Federation. During the research work examples of the content of the privacy policy of some large organizations with a large number of users were considered. As a result of the work, possible options for improving regulatory regulation in the field under consideration are proposed.

Ключевые слова: персональные данные, Федеральный закон, личная информация, меры, операторы, локальные акты, политика организаций.

Keywords: personal data, federal law, personal information, measures, operators, local acts, organization policies.

В современном постиндустриальном мире наблюдается процесс интенсивной цифровизации многих сфер общественной жизни. В связи с чем возрастает актуальность вопроса обеспечения безопасности персональных данных (далее - ПД) всех категорий граждан Российской Федерации.

9 июля 2021 года Всероссийский центр изучения общественного мнения совместно с Ассоциацией больших данных провел опрос на тему отношения россиян к сбору, использованию и безопасности личных данных, согласно результатам которого почти половина (48%) считает, что скорее не защищены от краж/утечек ПД и лишь 3% респондентов уверены, что их данные полностью защищены от каких-либо рисков (Рис. 1).

Важно отметить, что по мнению 14% опрошенных, основная причина утечек - несовершенство законодательной системы, регулирующей хранение и использование ПД (Рис. 2).[5]

Рисунок 1. Процентное соотношение доверия россиян к сбору, хранению и использованию персональных данных различными организациям

Рисунок 2. Процент соотношения причин утери персональных данных по мнению россиян

Возникает вопрос о том, почему же у населения такое сомнение в силе закона. Рассмотрим, как в в Российской Федерации регулируется обеспечение сохранности ПД на правовом уровне детальнее.

Например, в статье 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» закреплён перечень мер, направленных на обеспечение выполнения оператором своих обязанностей. Согласно ч. 2 данной статьи, предусмотрены следующие обязанности: опубликование или иным образом обеспечение неограниченного доступа к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД.[1]

Законодательно закреплена такая обязанность, как опубликование в соответствующей информационно-телекоммуникационной сети документа, определяющего политику оператора (осуществляющего сбор персональных данных с использованием информационно-телекоммуникационных сетей), в отношении обработки ПД, и сведений о реализуемых требованиях к защите ПД, а также обеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Далее в  ч. 1 ст. 19 Федерального Закона «О персональных данных» указывается, что оператору при обработке данных необходимо принимать соответствующие меры (правовые, организационные и технические), либо обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПД.[1]

Отметим, что 31 июля 2017 года Роскомнадзор опубликовал рекомендации по составлению документа, определяющего политику оператора в отношении обработки ПД. Например, при составлении подобного документа рекомендуется указывать информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч 1 ст. 19 Федерального закона «О персональных данных».[2] Однако конкретные параметры, которые бы определяли содержательную часть сведений о принятых оператором мерах, в рекомендациях не закреплены.

Далее рассмотрим практические аспекты выполнения операторами требований, предусмотренных Федеральным законом «О персональных данных». Например, в п. 7.1 Политики Фонда социального страхования Российской Федерации в отношении обработки ПД, утверждённой приказом Фонда социального страхования РФ от 25 августа 2017 г. № 404, указывается, что при обработке данных Фонд, как оператор, принимает необходимые меры и обеспечивает их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении данных. Важно, что в п. 7.2 данного документа указан факт назначения лиц, ответственных за координацию действий по организации обработки ПД. [3]

Возьмем ещё один пример положений о мерах защиты личной информации, а именно в п. 7 Политики Торгово-промышленной палаты Российской Федерации в отношении обработки ПД, утверждённой приказом Торгово-промышленной палаты РФ от 28 декабря 2017 г. № 97, указана не только общая информация о  принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных», но и указан перечень  конкретных мер, используемых ТПП РФ в целях обеспечения безопасности  ПД. Например, организация обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в ТПП РФ, создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются ПД.[4]

Подобные различия в подходах к разработке политики в отношении обработки ПД обусловлены, вероятно, отсутствием в ч.2 ст. 18.1 Федерального закона «О персональных данных» специальных требований, предъявляемых к составлению политики в отношении обработки персональных данных в части разработки раздела, посвящённого обеспечению безопасности ПД.

Данные требования крайне важно определить именно в Федеральном законе «О персональных данных», в этом случае локальные акты организаций будут также содержать в себе более конкретизированную информацию по мерам сохранности данных.

Полагаем, что это повысит уровень правовой определённости в исследуемом вопросе (в частности, позволит контролировать возможные утери данных, определит ответственных за это), а также поспособствует повышению степени осведомлённости субъектов, чьи данные обрабатываются операторами, о разрабатываемых мерах по обеспечению безопасности ПД.

Приняв во внимание все вышесказанное, можно предложить следующее:

1) дополнить ч. 2 ст. 18.1 Федерального закона «О персональных данных» указанием на то, что опубликовываемые сведения о реализуемых требованиях к защите ПД должны носить конкретный характер;

2) дополнить часть 7 статьи 14 Федерального закона «О персональных данных», закрепляющую право субъекта ПД на получение информации, касающейся обработки его ПД, указанием на право получения информации о мерах, принимаемых для защиты ПД.

Очевидно, что в условиях увеличения количества предоставляемых услуг в области информационных технологий необходимо продолжать работу по совершенствованию законодательства в сфере информационного права, а также сделать акцент на необходимости поддержания его социально-ориентированного характера.

Список литературы

1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» URL: http://pravo.gov.ru/proxy/ips/?docbody&nd=102108261 (дата обращения 03.04.2022)
2. Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» URL: https://rkn.gov.ru/personal-data/p908/ (дата обращения 03.04.2022)
3. Приказ Фонда социального страхования РФ от 25 августа 2017 г. № 404 «Об утверждении Политики Фонда социального страхования Российской Федерации в отношении обработки персональных данных» https://fss.ru/ru/legal_information/300762/300787/302058/312532.shtml (дата обращения 03.04.2022)
4. Политика Торгово-промышленной палаты Российской Федерации в отношении обработки персональных данных (Приложение 1 к приказу Торгово-промышленной палаты РФ от 28 декабря 2017 г. № 97) URL: https://www.garant.ru/products/ipo/prime/doc/71777864/ (дата обращения 03.04.2022)
5. ВЦИОМ. Новости: Сохранность персональных данных URL: https://wciom.ru/analytical-reviews/analiticheskii-obzor/sokhrannost-personalnykh-dannykh (дата обращения: 03.04.2022)