Новый год хорошо встречать в ожидании приятных сюрпризов. С 2010 годом так, увы, может не получиться. Настроение некоторой части бизнес-сообщества и госслужащих полно предчувствием надвигающейся катастрофы, и виной этому не пресловутый кризис, а "подарок" в виде ФЗ "О персональных данных".
Персональные данные (далее для краткости - "ПД") используются в самых разных ситуациях. Вводя в записную книжку служебного мобильного телефона имя своего коллеги, мы обрабатываем его персональные данные и становимся с точки зрения закона оператором ПД, а коллега становится субъектом персональных данных, защищаемым всей мощью государства Российского. Защита ПД - это ограничение свободы оператора ПД делать с ними все, что ему заблагорассудится без нормативного ограничения либо согласия на то субъекта персональных данных.
Собственно закон вступил в силу еще в январе 2007 года, но все российские компании и государственные учреждения должны привести свои информационные системы персональных данных в соответствие с требованиями закона не позднее 1 января 2010 года. Бизнес вспомнил о законе лишь в начале 2009 года и, внимательно его прочитав, ужаснулся. Почему? Попробую объяснить.
Изначально перед законодателями стояла тривиальная задача: Россия ратифицировала конвенцию Совета Европы "О защите физических лиц в отношении автоматизированной обработки данных личного характера", и надо было принять внутренний закон, приспосабливающий эту конвенцию к особенностям нашей страны. Для дружбы с Европой вполне достаточно было бы, сохранив дух и логику конвенции, издать компактный закон общего характера. Увы, депутаты приступили к работе с рвением и породили настоящий шедевр. Законодатель придал закону невероятную общность, и теперь он применим повсюду. Например, к хранению номеров телефонов (вместе с ФИО, естественно) в служебном мобильном телефоне. Я, конечно, надеюсь, что ни одна из трех ответственных за контроль соблюдения закона уважаемых организаций не будет отлавливать на улице владельцев служебных мобильных и требовать письменные разрешения их контактов на обработку ПД, но само по себе существование даже теоретической возможности такой ситуации свидетельствует о несовершенстве закона.
Закон распространяется на любые формы обработки ПД, в том числе на бумажном носителе. Это означает, что банк будет обязан по требованию любого физического лица (и даже не клиента банка) в течение десяти дней найти во всех архивах и уничтожить все платежные документы, в которых есть устаревшая информация об этом физлице. Даже если в банке нет данных этого физлица, банк обязан перерыть все архивы.
Закон создает дисбаланс между обязанностями оператора и отсутствием ответственности субъекта совершать действия, необходимые для выполнения оператором своих обязательств. Например, раз уж оператор отвечает за корректность ПД, логично было бы законом обязать субъекта при любом изменении своих ПД уведомлять операторов, но этого нет.
Закон акцентирован в отношении выбора объекта регулирования, он больше регулирует внутренние процедуры обработки ПД, которые сами по себе никаких прав не нарушают, а нарушения прав субъектов возникают как раз при неправильном использовании ПД вне оператора. В этом смысле закон действует аналогично правовым актам, регулирующим хранения оружия, очевидно приравнивая ПД к таковому.
Закон вводит очень жесткое требование про уничтожение ПД по достижении целей обработки. Во многих случаях уничтожение ПД является практически нереальной задачей. Кроме того, опять действует общий принцип - само по себе хранение (и обработка) прав не нарушает, права нарушаются при неправильном использовании. Тем не менее законодатель счел правильным обязать операторов ПД лопатить тонны бумажных архивов, выискивая старые документы с ПД умершего клиента.
Закон выделяет несколько конкретных видов деятельности путем издания закрытого перечня, в который, очевидно, вошли те, кто успел пролоббировать свои интересы. Но жизнь скорее всего богаче фантазии законодателя, и есть (а также появятся в дальнейшем) еще несколько видов деятельности, которые было бы разумно вывести из-под действия закона, чтобы не убить их на корню (в голову сразу приходят системы денежных переводов, интернет-магазины, почтовые службы типа DHL и т.п.). Не было бы разумнее попытаться дать общий критерий выделения видов деятельности из-под действия закона?
Ситуация с предоставлением субъектом разрешения на открытую публикацию своих ПД вообще потенциальная бомба. Например, дал согласие на включение в телефонный справочник, а как тираж продали, идешь в суд. Оруэлл отдыхает.
Часть положений закона противоречит требованиям других федеральных законов и установившихся международных практик. В банковской деятельности есть масса ситуаций, когда банк передает другому банку (в т.ч. зарубежному) ПД своего клиента или клиента второго или третьего банка. У банка нет никакой практической возможности убедиться, что законодательства всех стран, куда могут делать переводы (тем более транзитных стран), соответствуют требованиям закона, а также получить разрешение получателя (который не является клиентом и вообще недоступен для банка). Банк в результате стоит перед выбором, что нарушать - закон или обязательства перед клиентом. Закон, нарушая баланс между субъектом и оператором и наделяя субъекта правами, которые дают ему возможность напрямую влиять на работу оператора, создает потенциальную возможность использования этих прав в неблаговидных целях (шантаж, рейдерство). Закон может быть использован для организации атаки на любое юридическое лицо.
Требование закона об изменении, блокировании или уничтожении на том основании, что данные "неполные, устаревшие.." означают, что закон дает субъекту безусловное право грубо вмешиваться в текущую деятельность оператора вплоть до полного ее разрушения.
Складывается ощущение, что закон разработан в максимально жесткой редакции с расчетом на то, что в процессе правоприменения излишнюю жесткость можно будет постепенно убрать, а закон доработать. При этом, видимо, законодатель исходит из известной фразы про смягчение строгости необязательностью исполнения.
Очевидно полагая, что всего вышеперечисленного недостаточно, законодатели, назначив организации, уполномоченные следить за исполнением закона (Роскомнадзор, ФСТЭК, ФСБ), предоставили двум из перечисленных ведомств (ФСТЭК и ФСБ) право издания разного рода документов, детализирующих требования закона в части технической, криптографической и прочей специальной защиты персональных данных. Причем никаких ограничений относительно жесткости требований нет, и проверяющие могут в своих же собственных правилах еще "затянуть гайки".
В масштабе всего государства введение практически неисполнимого закона в действие в полном объеме может иметь весьма существенное отрицательное влияние на развитие экономики. Оценка показывает, что для одного среднего банка реализация хотя бы части требований закона может стоить миллионы или десятки миллионов долларов.