Три месяца для работы над ошибками

Что делать с законом "О защите персональных данных"?

Сегодня первое октября. А это значит, что всего лишь три месяца осталось до вступления в силу санкций, предусмотренных за нарушение закона «О защите персональных данных». Эти три месяца остались у бизнеса для того, чтобы зарегистрировать  все свои базы персональных данных, продумать получение согласия на обработку и передачу третьим лицам персональных данных и всячески подготовиться к защите от такого всеобъемлющего и всеустрашающего закона.

Эти же три месяца есть у законодателя, чтобы исправить свою ошибку и внести изменения в этот Закон.

Первое, что несёт проблемы всем – очень широкое определение персональных данных как любых сведений о физическом лице, которое может быть конкретно идентифицировано. То есть персональными данными, которые подпадают под действие этого закона, будут даже  общие сведения о лице – его фамилия, имя, отчество. А ведь это данные, которые и не требуют защиты, а известны всем.

 Европейская практика идёт по тому пути, что защита нужна уязвимым данным о лице, а не всем данным в принципе. Под уязвимыми данными подразумеваются данные медицинской карты, данные о вероисповедании, данные о банковских счетах. То есть те данные, разглашение которых может повлечь негативные последствия для физического лица.

У нас такого разграничения нет, поэтому под защиту попали абсолютно все данные.  Даже те, которые могут или даже должны знать все.

Очень широко выписано и определение базы персональных данных. По сути, такой базой является всё, что содержит любую информацию о лице.  Базой данных является и Ваша визитница, и Ваша телефонная книга, и даже список контактов Вашего мобильного телефона. Хорошо, допустим, Вы сможете убедить контролирующие органы, что список контактов Вашего телефона существует для Ваших личных целей. Но готовы ли Вы уже завтра подавать заявку на регистрацию Вашей визитницы  как базы персональных данных. В ней ведь визитки Ваших партнёров по бизнесу. Извольте регистрировать её.

Многие пользуются различными бухгалтерскими программами (например, 1С). Они тоже подлежат регистрации. Причём, если в программе есть информация и о персонале, и о контрагентах, то регистрировать нужно как две отдельные базы данных. В конечном счёте, под регистрацию подпадают практически все действующие предприятия, так как наличие персонала требует регистрации картотеки персональных данных сотрудников предприятия.

Ещё законом предусмотрено получение разрешения на обработку данных. Отлично, но почему в законе указано «любое документированное»?  А что, другие формы выражения согласия не являются осознанными или добровольными? Почему, если лицо передаёт мне визитку, оно ещё должно дать мне письменное согласие на обработку данных этой визитки? Нелогично.

Пока нет и чётких требований к формам защиты баз персональных данных. Формулировка о том, что степень защиты данных должна быть «достаточной» для каждой конкретной базы данных – это, конечно, хорошо. Но определение достаточности пока нигде не предусмотрено. А это предоставляет дополнительные возможности контролирующим органам и увеличивает риск развития коррупции в этой сфере.

Так что благое намерение защитить персональные данные, ратифицировать конвенцию «О защите лиц в связи с автоматизированной обработкой персональных данных» и ускорить процесс вступления в ЕС – это, конечно, хорошо. Но теперь нужно принять меры по устранению последствий этих самых благих намерений. И за оставшиеся три месяца до вступления в законную силу санкций за нарушение закона «О защите персональных данных» просто необходимо принять изменения к нему, чтобы устранить хотя бы те недостатки закона, которые были озвучены.