Защита персональных данных в России: современное состояние и перспективы развития

На сегодняшний день не утихают споры относительно необходимости ужесточения юридической ответственности за нарушение законодательства о персональных данных (ПД) [1; 2]. Но пока одни представители общественного сектора яро отстаивают позицию в пользу смягчения ответственности за откровенную продажу ПД [3], другие верно подмечают, что количество реальных случаев распространения данных в нашей стране неимоверно растет. Так, источник InfoWatch отметил, что в 2023 г. в Сеть было слито 1,12 млрд записей ПД, это почти на 60 % больше, чем в предыдущем году [4].

Вопиющим нарушением являются факты распространения данных в особо доверительной сфере – сфере предоставления потребителю услуг, когда априори потребитель вверяет исполнителю услуг не только свои данные, но также жизнь и здоровье. Однако последние случаи показыва-

ют, что даже такие процедуры, как прохождение медосмотра, косметологические услуги, требующие уважения к потребителю и сохранности его данных, в том числе биометрических, неизменно сопровождаются видеосъемкой потребителя и распространением его личных данных [5].

За время, прошедшее с принятия российского законодательства о персональных данных, в него было внесено немало изменений в области защиты ПД физических лиц, ужесточена ответственность за разглашение и откровенную незаконную «продажу» ПД; при внесении этих изменений большое значение имела судебная практика, подчеркивавшая важность защиты данных. Между тем проблема остается насущной и не решена в полной мере и по сей день. Так, даже Конституционный Суд РФ издал документ о защите ПД в рамках своего ведомства только в 2021 г.1

Казалось бы, о необходимости защиты персональных данных сказано немало как в доктринальных исследованиях ученых [см., напр.: 6; 7], так и в разъяснениях федеральных судов РФ. Однако даже сегодня новостная лента пестрит информацией о вновь совершенных случаях кражи и незаконной передачи персональных данных потребителей банковских и медицинских организаций. Основная проблема – отсутствие единого мнения о механизмах минимизации и ликвидации случаев утечки данных.

В результате общество делится на две группы: законодатель идет по пути ужесточения ответственности (теперь штрафы за повторное совершение правонарушения, предусмотренного ч. 8 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях2 (КоАП РФ), могут составлять 18 млн р. для юридических лиц – операторов персональных данных; кроме того, готовятся поправки в КоАП РФ с еще более крупными суммами3), представители делового сообщества, напротив, предлагают смягчить ответственность. Так, несмотря на непомерно растущее год от года количество дел, связанных с персональными данными, представители банковских организаций, некоторых политических партий возражают против ужесточения ответственности в отношении операторов ПД и предлагают снизить устанавливаемый законопроектом максимальный размер оборотных штрафов для юридических лиц – с 500 млн р. до 50 млн р., а в ряде случаев и разделить несение ответственности за утечку данных между компанией, совершившей утечку данных, и поставщиком решений в области защиты данных [3; 8].

Конечно, эксперты в области защиты данных бьют тревогу и называют указанные предложения абсурдными. Из-за возрастающего количества правонарушений, связанных с распространением данных, говорить о снижении уровня ответственности как минимум неэффективно. Мы однозначно выступаем за ужесточение ответственности, однако это далеко не единственная мера предотвращения распространения данных физических лиц.

Иная проблема связана с неточным определением термина «оператор» персональных данных. Согласно действующей редакции ст. 3 федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ (далее – Закон), оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных4. Между тем в Законе подробно не классифицируются основания и случаи такой обработки, а также виды операторов данных.

Так, например, получение и обработка данных могут быть связаны с научной деятельностью в случае, если оператором анализируются данные из ответов, полученных из опроса в социальной сети иными пользователями. К примеру, опрос может проводиться студентами учебных заведений с целью написания проекта, курсовой или дипломной работы. Такие ответы не всегда анонимны, у такого «оператора» имеются следующие сведения: «аватар» (фотография) пользователя, его ответ (мнение), фамилия, имя и отчество, возраст и пол. Напомним, что, согласно ст. 8 Закона, фамилия, имя и отчество являются общедоступными данными, обрабатываемыми лишь с согласия субъекта данных; его пол и фотография, позволяющая определенно идентифицировать ее изображение с личностью конкретного человека, являются, в соответствии со ст. 11 Закона, биометрическими данными; мнение, выраженное по поводу того или иного вопроса, можно отнести, согласно ст. 10 Закона, к религиозному или философскому убеждению. Таким образом, при проведении «безобидного» социологического опроса в социальной сети в руках «оператора» находится массив данных других лиц.

К слову, считаем, что «философское или религиозное убеждение» из ст. 10 Закона не отражает мнения человека о любом факте или событии внешней объективной реальности или о нем самом. Потому указанный вид охраняемых персональных данных предлагаем дополнить следующей категорией: «философское или религиозное убеждение, а также мнение человека по любому вопросу, касающемуся объективной реальности или его самого». Считаем, что мнение человека о самом себе, своих поступках и личности также является информацией, требующей защиты. Например, информация, содержащая признание человеком вины в совершенном преступлении, может сыграть немаловажную роль (негативную), поставив человека в уязвимое положение, причинив вред ему самому или членам его семьи.

И хотя, проходя опрос, пользователи потенциально соглашаются с фактом обработки своих данных, не имеется никакой гарантии, что «оператор» обезличит их и, более того, понимает свой статус как оператора по смыслу указанного Закона. Потому велика вероятность неправомерной обработки данных.

Иные случаи обработки ПД могут быть связаны с обработкой данных клиентов (потребителей) юридическим лицом. В таком случае, к сожалению, не всегда работник – представитель работодателя осознает свой статус «оператора». Иная ситуация – обработка данных самих сотрудников компании. В указанных ситуациях речь идет о сборе и обработке данных, связанных с деятельностью компании.

Кроме того, обработка ПД оператором может производиться в целях проведения социального опроса непосредственно в общественных местах или по номеру мобильного телефона. Однако, как и в случае с опросом, проводимым студентами в социальных сетях, нет никакой гарантии анонимности такого опроса, а также знания «оператором» своего статуса и потенциальной ответственности.

Наконец, обработка данных может производиться владельцем интернет-сайта для личных целей, не связанных напрямую с данными потребителей.

Считаем, что в настоящее время возможно следующее решение указанной проблемы, а именно дополнение Закона ст. 18.2: «Цели и категории обработки персональных данных оператором:

• 1.    Обработка данных может быть совершена компанией, организацией, индивидуальным предпринимателем в связи с осуществляемой им деятельностью в отношении работников, а также потребителей, получающих определенные виды работ, услуг от последних.

• 2.    Данные могут быть получены и проанализированы в учебных целях обучающимися всех уровней образования. Обработка и получение данных могут быть вызваны целью создания оригинальной научной, научно-исследовательской работы.

• 3.    Получение и обработка данных могут быть осуществлены волонтерами, работниками организаций в связи с необходимостью выявления общественного мнения по отдельным вопросам социально-правовой, экономической, духовно-нравственной и политической областей.

• 4.    Указанные случаи получения и обработки данных возлагают ответственность за сохранность полученных данных».

Повышение уровня правовой грамотности и осведомление населения о потенциальном статусе оператора данных, о сущности и видах охраняемых Законом данных позволит, на наш взгляд, минимизировать количество совершаемых утечек.

Наконец, обработка персональных данных оператором на рабочем месте предполагает целый ряд комплексных мер, причем со стороны как работодателя, так и работника. Считаем, что введение ежемесячной отчетности в компании или организации, осуществляющей обработку данных потребителей или работников, позволит минимизировать количество нарушений, связанных с утечкой данных.

Например, за «оператором» на рабочем месте может быть закреплена обязанность фиксации с помощью специальной компьютерной программы всех действий, совершаемых на компьютере. Причем угроза потенциальной ответственности работодателя за риск вторжения в частную жизнь работника в случае, если последний занят неделовым общением в рабочее время, может быть ликвидирована следующим образом: во-первых, работник должен быть письменно предупрежден о записи всех действий компьютера, о сдаче отчетности; во-вторых, компьютер должен быть предоставлен работодателем за свой счет, в таком случае имущество будет не в личном распоряжении работника. Указанные аналогичные механизмы установлены ст. 214.2 Трудового кодекса Российской Федерации1 и позволяют вести запись рабочего места работника.

Мы же предлагаем, в свою очередь, вести запись всех действий и совершаемых алгоритмов в самом компьютере. Сдача отчетности о произведенных действиях возможна с помощью уже существующих программ: средство записи действий на базе ОС Windows, а также дополнительных программ. Отслеживаемая информация позволит выявить возможную утечку данных.