Закон 152-ФЗ "О персональных данных" от 27 июля 2006 г. появился вследствие подписания Россией конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. После внесения в него существенных изменений федеральным законом № 261-ФЗ от 25.07.2011, где, в частности, были проработаны вопросы трансграничной передачи и автоматизированной обработки ПДн, практики стали называть модернизированный закон "второй редакцией" 152-ФЗ. Несмотря на то, что до первой годовщины обновленного 152-ФЗ осталось около квартала, его все еще воспринимают как новый закон. Одна из причин - отсутствие вокруг него завершенной системы нормативных актов.

Впрочем, необходимые акты готовятся и постепенно принимаются. В марте вступает в силу новый регламент проверок, разработанный Минкомсвязи. ФСБ готовит к маю проекты переработанных постановлений, касающиеся определения уровня требований к защите ИС. "Роскомнадзор" рассчитывает на утверждение правительством РФ документов, расширяющих полномочия его сотрудников и устанавливающих перечень мер и требований к органам государственной власти, которые, в частности, должны будут в обязательном порядке проводить обезличивание ПДн в своих ИС.

"Российский закон в максимальной степени соответствует тем требованиям, которые выдвигают общеевропейские документы в области персональных данных, – считает заместитель начальника управления по защите прав субъектов ПДн "Роскомнадзора" Юрий Контемиров. – Можно сделать вывод, что на сегодняшний момент новая редакция 152-ФЗ уже практически в полном объеме вобрала в себя те положения, которые инициируются европейскими партнерами, а наше действующее законодательство, в общем, практически полностью соответствует установленным требованиям международного права".

Ослабление или усиление?

Обновленный 152-ФЗ существенно расширил круг обязанностей операторов ПДн, которые, помимо технической защиты информации, должны сегодня обеспечить целый комплекс организационно-правовых мероприятий для обеспечения защиты прав субъектов.

"В статье 18.1 сформулированы требования к оператору по обработке ПДн, а не только по их защите. Также в новой редакции закона закреплена обязанность оператора принимать меры, необходимые и достаточные для обеспечения обязанностей, предусмотренных законом. Евросоюз идет по пути ослабления регулирования, мы тоже", – сделала интересный, но несколько неожиданный вывод по поводу внесенных в 152-ФЗ изменений член Консультативного совета при уполномоченном органе по защите прав субъектов ПДн, гендиректор "ИнфоТехноПроект" Елена Голованова. "Принимайте какие хотите меры, в том числе те, которые указаны в ст.18.1. Главное, чтобы они были необходимыми и достаточными для защиты прав субъектов, но при этом не забывайте, что вы как оператор будете нести ответственность за эти меры и за то, чтобы права субъектов, данные которых вы обрабатываете, были бы достаточно защищены".

Забыть о своей ответственности многие операторы уже не смогут. "Текущая судебная практика показывает, что по каждому правонарушению в качестве компенсации за причинение имущественного и морального вреда, понесенных убытков с оператора обычно взыскивают от 20 до 100 тыс. руб.. Умножьте приведенную выше усредненную сумму на число субъектов и на число требований закона - и вы оцените возможную итоговую сумму искового требования" – предложила операторам сделать самостоятельный расчет г-жа Голованова.

"Многие операторы считают, что судебное рассмотрение можно оттянуть, ведь истечет срок исковой давности и правонарушение будет забыто. Однако закон о ПДн - не единственный закон, который регулирует институт защиты прав. В настоящее время набирает обороты судебная практика по ФЗ-68 о компенсации за нарушение права на судопроизводство в разумный срок, в котором есть прямая ссылка - не на нормативную базу, а именно на практику европейского суда по правам человека. Это предусматривает размеры компенсаций совсем не такие, как в РФ", – добавила она в этой связи.

Медики защищаются

Заместитель директора Медицинского информационно-аналитического центра (МИАЦ) РАМН Андрей Столбов сделал обзор законодательства и привел примеры постепенного заполнения "белых пятен" в системе нормативно-правовых актов, регламентирующих обработку ПДн в медицине. "Если внимательно читать постановление правительства № 79 "О лицензировании деятельности по технической защите конфиденциальной информации" и интерпретировать его в свою пользу, то можно сделать вывод о том, что наличие лицензии на техзащиту информации не требуется в случае, если мы не оказываем услуг на стороне, а обрабатываем информацию в своих внутренних целях", - привел он пример такого рода.