В данной статье освещены актуальные вопросы организации обработки и защиты персональных данных в Российской Федерации, оценка эффективности действующего законодательства РФ в сфере защиты персональных данных.
Ключевые слова: персональные данные, оператор персональных данных, организация обработки персональных данных.
Современная жизнь неразрывно связана с развитием информационных технологий, автоматизацией различных процессов обработки информации, в том числе содержащей персональные данные граждан. Объем обрабатываемых персональных данных неизбежно растет. Стремительное развитие цифровых технологий влечет за собой необходимость усиленной защиты персональных данных как объекта правовой охраны как при их автоматизированной обработке, так и при обработке персональных данных без использования средств автоматизации.
Вопросы защиты конституционного права на неприкосновенность частной жизни, личную и семейную тайну при использовании персональных данных на сегодняшний день как никогда актуальны.
Утечки персональных данных и как следствие рост уровня мошенничества с их использованием наносит вред не только самим владельцам персональных данных, но и безопасности государства в целом.
Вопросы, связанные с обработкой и защитой персональных данных, а также само понятие персональных данных регулируются положениями Конституции Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами.
Так, в соответствии со статьей 23 Конституции Российской Федерации каждому гарантировано «…право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения». Положениями статьи 24 Конституции Российской Федерации установлен запрет на «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия» [1].
6 марта 1997 года Указом Президента Российской Федерации № 188 утвержден «Перечень сведений конфиденциального характера», пунктом 1 которого было определено, что персональные данные — это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением ведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях [3].
В соответствии с п. 1 ст. 3 Федерального закона № 152-ФЗ «О персональных данных» персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (физическому лицу) [2].
Защита персональных данных определяется как совокупность мероприятий, направленных на обеспечение защищенности, сохранности персональных данных от неправомерного их использования [4, с. 88].
Юридические лица, индивидуальные предприниматели являются операторами персональных данных. Оператором персональных данных может быть даже физическое лицо.
Федеральным законом № 152-ФЗ «О персональных данных» определены обязанности операторов персональных данных, одной из которых является назначение юридическим лицом ответственного за организацию персональных данных. Ответственное лицо должно, в частности, осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Как следует из вышеизложенного, лицо, ответственное за организацию обработки персональных данных должно выполнять важные задачи, направленные на безопасность персональных данных, имеющихся в распоряжении оператора. Так, периодические внутренние проверки деятельности по обработке персональных данных внутри каждой организации должны обеспечить своевременное обнаружение факторов, способствующих возможному нарушению прав субъектов персональных данных, а также принятие необходимых мер профилактики правонарушений в данной сфере.
Однако на практике многие операторы формально подходят к вопросу назначения ответственного за организацию обработки персональных данных. Обязанности, возложенные на такое лицо, исполняются лишь на бумаге, а зачастую не исполняются вообще. Например, положения законодательства Российской Федерации о персональных данных фактически до работников не доводятся, лицо, ответственное за организацию обработки персональных данных ограничивается лишь формальным подписанием листов ознакомления.
В то же время согласно статистике огромное количество утечек персональных данных связано как раз с человеческим фактором: это и низкий уровень знаний работников, обрабатывающих персональные данные, отсутствие обучения персонала, относительно невысокие штрафы за обработку персональных данных в отсутствие правовых оснований.
Полагаем, что данная проблема, в том числе связана с тем, что в Российской Федерации не существует административной ответственности за неисполнение оператором обязанности по назначению лица, ответственного за организацию обработки персональных данных, невыполнением им предусмотренных законодательством функций и обязанностей, равно как и не существует требований к его квалификации.
Кроме того Федеральным законом № 152-ФЗ «О персональных данных» не предусмотрено обязательное назначение такого лица для индивидуальных предпринимателей, в то время как деятельность индивидуального предпринимателя может быть связана с обработкой значительного объёма персональных данных.
Учитывая изложенное считаем необходимым закрепить на законодательном уровне необходимость назначения лица, ответственного за организацию обработки персональных данных, для индивидуальных предпринимателей, установить требования к квалификации такого лица, а также ввести административную ответственность за неисполнение таким лицом предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» обязанностей.
Следствием принятия данных мер должно стать повышение уровня осознанности операторов персональных данных в вопросах их защиты, а также снижение процента утечек персональных данных.
Литература:
- Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г. с изменениями, одобренными в ходе общероссийского голосования 01.07.2020)// Собрание законодательства РФ. 04.08.2020. № 81.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» // Собрание законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451.
- Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» // Собрание законодательства Российской Федерации от 10 марта 1997 г. N 10.
- Криволапова Л. М. Защита персональных данных / Л. М. Криволапова // Право и государство: теория и практика, 2020. — С. 88–91.