Как хранить персональные данные?
Еще одна группа вопросов связана с процедурами хранения и уничтожения персональных данных. Существуют сроки хранения, установленные Федеральным законом "Об архивном деле в Российской Федерации", независимо от носителя. Они касаются и электронных документов, содержащих персональные данные. Как известно, относительно определенной части персональных данных, учитываемых, например, в системах кадров, эти сроки достаточно большие – 75 лет. Но в ст. 21 Закона о персональных данных говорится о трех вариантах уничтожения персональных данных безотносительно к их категории и признакам. Вариант, представленный в ч. 4 этой статьи, предусматривает, что персональные данные уничтожаются в случаях достижения цели обработки персональных данных. Представляется, что цель обработки в зависимости от комплекса реализуемых операций оператором второго уровня состоит в создании определенного информационного результата (продукта), который используется заказчиком. В связи с этим незамедлительное уничтожение персональных данных после достижения цели вызывает вопросы, которые требуют уяснения. Прежде всего необходима дифференциация форм результатов обработки и их адресность, режим использования. По этому поводу специалисты высказывались еще в период обсуждения проекта закона. Однако они не привлекли должного внимания. Оговорка "если иное не предусмотрено федеральными законами" не решает дела. Не многие действующие законы обращают внимание на обработку персональных данных (кроме Трудового кодекса РФ, НК РФ и Федерального закона от 30.12.2004 № 218-ФЗ "О кредитных историях").
При постановке вопроса об обработке персональных данных в режиме управленческого и делового обращения таких сведений речь идет об их временном хранении у того субъекта, который в соответствии с его компетенцией собирает, учитывает, храпит и использует эту информацию. Известно, что в архивной практике процедура уничтожения информации, тем более связанной с персональными данными, регулируется особым режимом. А поскольку в соответствии с Федеральным законом "Об архивном деле в Российской Федерации" правила хранения распространяются и на электронные документы, то с ними приходится считаться и на этапе оперативной работы как с объектами временного хранения. Простая отмашка от архивного законодательства не решает эти вопросы до конца. Уничтожение персональных данных в указанных случаях должно быть согласовано с архивным законодательством, по крайней мере, в части управленческой документации.
Например, в законе "О персональных данных" Венгерской Республики[1] указано, что "положение об обязательном уничтожении данных, за исключением случаев их незаконного использования, не применяется к персональным данным, сведения о носителе которых подлежат архивному хранению в соответствии с законодательством об охране архивных материалов"[2]. В соответствующем законе Испании в разделе о картотеках государственных лиц содержится норма, в соответствии с которой "в распоряжениях, принимаемых для уничтожения картотек, должно быть указано предназначение этих картотек и должны быть предусмотрены меры по их уничтожению". В других случаях говорится не об уничтожении, а об "изъятии" персональных данных[3]. Между тем подобных норм в российском законе не предусмотрено. Поэтому не ясно, кто принимает решение и в какой форме, с каким обоснованием. Если по решению субъекта персональных данных, то целесообразно прекратить обработку данных, можно даже изъять их из базы данных, но история работы с такими данными должна в любом случае сохраняться в архиве автоматизированной информационной системы определенного субъекта, к компетенции которого относится работа с персональными данными.
Согласно п. 3 ч. 3 ст. 23 Закона о персональных данных, уполномоченный орган по защите прав субъектов персональных данных имеет право требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных. Даже эта, более точная, формулировка не разъясняет, какие могут быть последствия после уничтожения.
Есть и еще один вопрос, связанный с субъектами, действующими в зоне работы с персональными данными. В ч. 1 ст. 23 Закона о персональных данных определено, что уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. Однако прерогатива создания такого органа принадлежит по Конституции РФ Государственной Думе. Уполномоченный по правам человека – это особый институт. Уполномоченным органом по защите прав субъектов персональных данных вряд ли может быть орган исполнительной власти отраслевого направления.
Для практического применения Закона о персональных данных важен вопрос о государственном регистре населения. Ни один национальный проект, ни одна реформа, да и любая отраслевая и функционально определенная задача в деятельности государства не могут быть реализованы без учета численности, состава и состояния необходимых параметров населения[4]. Закон о персональных данных предусмотрел возможность создания государственного регистра населения. Но это должен быть другой, самостоятельный федеральный закон. Указанная же норма Закона сформирована без учета того, что государственные регистры населения (ГРН) уже созданы и используются многими субъектами РФ.
При применении Закона о персональных данных необходимо уделить внимание правовой основе реализации всех направлений обработки и работы с персональными данными. В определении термина "обработка", о чем мы уже говорили, перечислены 13 видов работ – действий (операций) с персональными данными разных операторов. Но в тексте гл. 4 "Обязанности оператора" речь идет только о сборе, обеспечении безопасности, об устранении нарушений законодательства, допущенных при обработке, а также об уточнении, блокировании и уничтожении персональных данных, о сообщении об обработке и праве обрабатывать персональные данные без уведомления уполномоченного органа по защите прав субъектов персональных данных. И это все правильно. Однако такие формы работы (операции), как систематизация, распространение, использование, в том числе и передача через глобальные сети, остались за пределами внимания законодателя. И это при том, что рынок наполнен базами персональных данных самых различных органов и систем.
В рассматриваемом Законе содержится специальная статья о трансграничной передаче персональных данных. Такая передача может осуществляться по желанию самого субъекта персональных данных и в силу закона. Существует много международных договоров об обмене информацией, в том числе и персональными данными в условиях борьбы с преступностью, террористической и прочей опасной для общества деятельностью. На первом плане при этом – обеспечение безопасности таких данных. И в ст. 12 Закона о персональных данных говорится об этом. Степень защиты у принимающей персональные данные стороны не может быть ниже, чем у передающей.
В связи с трансграничной передачей персональных данных актуален вопрос о признании электронной подписи в разных информационных и правовых системах. Но если к персональным данным относятся сведения личного характера по определенным вопросам, биометрические персональные данные, то вопрос о личной, аналоговой, электронной цифровой подписи не включается в систему персональных данных. Возможно, это тема для обсуждения?
Несмотря на множество вопросов, которые возникают относительно принятого Закона о персональных данных и, несомненно, еще возникнут в практике его применения, следует в целом позитивно оценить сам факт появления такого Закона. Значимость любого закона определяется нс только тем, что он регулирует определенный комплекс вопросов, волнующих общество, но и в том, что он пробуждает устремление науки и практики к размышлениям о дальнейших путях совершенствования правовой основы тех или иных отношений в обществе.
Совершенствование законодательства о персональных данных
Мы уже упоминали о II Международной конференции по защите персональных данных. Ее значение определяется и тем, что она позволила обобщить материалы многих парламентских чтений по этому вопросу и откликнуться на изменения, которые уже произошли на законодательном уровне и еще ожидают своих решений. Общественность беспокоят вопросы повышения эффективности законодательства. В июле 2011 г. был принят федеральный закон, которым внесены дополнения и изменения в Закон о персональных данных, что позволило укрепить баланс интересов субъектов персональных данных и операторов, упростить процедурные требования к операторам в части обработки этих данных, усилить контроль за выполнением обязанностей операторов. Большой комплекс вопросов упорядочения состояния баз персональных данных встал и в связи с предоставлением государственных и муниципальных услуг.
Немало встает вопросов и в области сотрудничества государств – участников СНГ. В связи с этим в сентябре 2011 г. было принято Соглашение об их экономическом сотрудничестве и об обеспечении информационной безопасности, включая проблемы использования и защиты персональных данных граждан этих государств. Международное сообщество настоятельно ищет пути совместного решения в области обеспечения безопасного электронного взаимодействия, в том числе и в глобальной информационной системе.