Тема 8 правовое регулирование информационных отношений в области персональных данных

1. Особенности информационных отношений в области персональных данных.

2. Субъекты и объекты информационных правоотношений в области персональных данных.

3. Правовой режим персональных данных.

1. Особенности информационных отношений в области персональных данных

Институт защиты персональных данных сегодня уже не является той категорией, которую можно регулировать только национальным правом. Важнейшей особенностью современных автоматизированных информационных систем является «наднациональность» многих из них, «выход» их за пределы границ государств, развитие общедоступных мировых информационных сетей, таких, как Интернет, формирование единого информационного пространства в рамках таких международных структур. В мире и в Европе отношения, связанные с обращением персональных данных, регулируются достаточно давно. Актуальность и своевременность принятия законов, регулирующих отношения в области защиты персональных данных, подтверждается зарубежным опытом.

Совет Европы в 1980 г. разработал Европейскую конвенцию о защите физических лиц в вопросах, касающихся автоматической обработки личных данных, вступившую в силу в 1985 г. В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, принципы хранения и доступа к этим данным, способы физической защиты данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований.

Для сравнения можно отметить подходы России к решению этой проблемы. Российская Федерация, подписав указанную конвенцию в 2001 г., ратифицировала ее спустя 4 года, а к практической защите персональных данных приступила лишь с 2007 г. Завершить в целом этот процесс, как планировалось, к началу 2010 г. ей не удалось из-за экономических условий, и Госдума продлила срок еще на год. Также в России был принят закон «О персональных данных».

Основа гарантий права на неприкосновенность частной жизни заложена в Конституции Республики Беларусь, где провозглашается:

"Каждый имеет право на защиту от незаконного вмешательства в его личную жизнь, в том числе от посягательства на тайну его корреспонденции, телефонных и иных сообщений, на его честь и достоинство" (ст. 28).

Правовой режим защиты информации о частной жизни и персональных данных физических лиц устанавливается законом "Об информации, информатизации и защите информации".

Белорусское законодательство в области защиты персональных данных имеет настолько разрозненный характер, что надлежащая реализация права на неприкосновенность частной жизни и защиты персональных данных при использовании новых технологий становится весьма проблематичной.

Путаница начинается уже в понятийной базе. С одной стороны, отсутствует четкое определение информации, относящейся к частной жизни. С другой - определение персональных данных является исчерпывающим, что не позволяет распространять его на другие категории информации, - прямо не указанные в Законе, но позволяющие идентифицировать физическое лицо.

В законе "Об информации, информатизации и защите информации" информация, относящаяся к частой жизни физического лица, определена как информация, составляющая личную и семейную тайну, тайну телефонных переговоров, почтовых и иных сообщений, касающихся состояния его здоровья (ст. 18).

Более развернутое определение информации о частной жизни физического лица содержится в Инструкции о режиме доступа к документам, содержащим информацию, относящуюся к тайне личной жизни граждан, утвержденной приказом Комитета по архивам и делопроизводству Республики Беларусь от 3 июля 1996 г. № 21. Согласно ей, к тайне личной жизни граждан могут быть отнесены сведения, содержащиеся в архивных документах, использование которых без согласия заинтересованных лиц может нанести ущерб моральным и имущественным интересам граждан.

Перечислены следующие категории информации:

• о здоровье, семейных и интимных отношениях;

• об обстоятельствах рождения, усыновления, развода;

• о личных привычках и наклонностях;

• личная переписка и корреспонденция, дневниковые, телефонные, телеграфные, видео-, аудио- и другие виды сохранения информации;

• об имущественном положении, источниках доходов;

• о деятельности, содержащей коммерческую тайну;

• об интеллектуальной собственности (авторское право, изобретательское и патентное право, право на научные открытия, а также другие права, относящиеся к интеллектуальной деятельности в области производства, науки, литературы и искусства);

• сведения, разглашение которых создает угрозу личной безопасности граждан, безопасности членов его семьи и имущества;

• об участии граждан в действиях судебно-следственных органов в качестве обвиняемых, подсудимых, свидетелей и т.п., а также об обвинении в злоупотреблениях властью или служебным положением (кроме случаев, не подлежащих засекречиванию по ст.7 закона "О государственных секретах");

• о рассматривавшихся персонально в руководящих и контрольных органах КПБ делах морально-этического характера.

Однако как определение, так и перечисленные в Инструкции категории относятся к информации, содержащейся в архивах, и применение данных норм, например, к правоотношениям, возникающим в сети Интернет, может быть проблематичным.

В настоящее время в большинстве стран мира под персональными данными принято понимать любую информацию, относящуюся к определяемому с её помощью человеку (физическому лицу). К подобным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, номера паспорта и карточки социального страхования и т.д. Кроме того, к персональным данным относятся сведения о семейном, социальном, имущественном положении, образовании, профессии, доходах.

Недавно проведенный в США опрос показал, что современные американцы в большей мере опасаются быть ограбленными в киберпространстве, чем подвергнуться нападению в реальном мире. Согласно результатам опроса, 65 % респондентов заявили о возможном злоупотреблении их персональными сведениями. Исследователи называют кражу идентификационной информации одной из наиболее актуальных проблем для большей части населения США. Белорусов пока не в такой степени волнует утечка информации об их кредитах, доходах и налогах, владении недвижимостью, состоянии вкладов и т. п. К примеру, если в развитых странах утечка информации для организаций, работающих с персональными данными, означает удар по имиджу, потерю клиентов и серьезные финансовые издержки, то у нас систематические утечки подобных данных у некоторых операторов связи фактически никак не сказываются на их популярности. Многие из нас испытывают, как минимум, дискомфорт от подобных утечек, но свыклись с этим чувством и не слишком верят в то, что их данные могут быть надежно защищены.

Любая утечка информации в конечном итоге оборачивается финансовыми потерями для допустившей её организации – это подтверждается многолетними данными, собранными производителями средств защиты от утечек информации. При этом, как правило, убытки от утечек данных весьма ощутимы: так, согласно отчетам британской исследовательской организации, средняя стоимость утечки информации в 2008 г. составила около 2,7 млн. долларов. При этом такая «цена» характерна для сравнительно небольшой по своим масштабам утечки данных, поскольку крупные инциденты, связанные с обнародованием конфиденциальной информации, обходятся допустившим их организациям куда дороже. К примеру, в 2008-м году Bank of New York допустил утечку информации о нескольких десятках тысяч своих клиентах, обошедшуюся ему в $866 млн. А в 2009-м три подразделения британской группы компаний были оштрафованы на сумму более £3 млн. за неспособность обеспечить адекватную защиту данных своих клиентов от утечки и кражи.

Что касается нашей страны, были проведены исследования по вопросам защиты персональных данных. Вот результаты.

На вопрос «По вашему мнению, может ли повредить утечка персональных данных обычному человеку?» белорусы ответили следующим образом: «Скорее да, чем нет» ? 77.2%; «Скорее нет, чем да» ? 18.6%; «Затрудняюсь ответить» ? 4.2%. Вопрос «Опасаетесь ли вы утечки персональных данных из организаций, которым вы их доверили?» также продемонстрировал общую обеспокоенность респондентов этой проблемой: 61.9% опрошенных ответили «Да, меня это беспокоит», 10.7% ? «Нет, я доверяю операторам персональных данных», и 27.4% ? «Не вижу смысла беспокоиться об этом». А при ответе на вопрос «Подадите ли вы в суд на организацию, допустившую утечку ваших персональных данных?» голоса респондентов распределились следующим образом: «Да, поскольку ущемлены мои права» ? 63.7%; «Да, это легкий способ "срубить денег"» ? 11.2%; «Нет, я не считаю, что это мне чем-то грозит» ? 14.4%; «Нет, нужно уметь прощать подобные ошибки» ? 10.6%.

Стоит отметить, что это же исследование показало не только заинтересованность участников опроса в защите своих персональных данных от утечек, но также и недостаточную защищенность организаций от утечек информации и, в частности, персональных данных. При этом сотрудники демонстрируют практически единодушную готовность делиться закрытой корпоративной информацией со всеми желающими за вознаграждение, что еще больше усугубляет проблему.

На вопрос «Используют ли в вашей организации систему защиты от утечек информации?» положительно ответили только 27,9% всех респондентов. Уверенность в том, что такой системы в тех организациях, где они работают, нет, выразили 47.4% опрошенных, и ещё 24.7% сообщили о том, что не знают, есть такая система или нет. Впрочем, даже если предположить, что хотя бы на половину случаев «не знаю» приходится реально действующая в организации система защиты от утечек, защищенность от подобного рода угроз в среднем по нашей стране оставляет желать лучшего. Более того, подавляющее большинство организаций проявляет вопиющее пренебрежение к вопросам обеспечения информационной безопасности, что показывает распределение ответов на вопрос «Кто отвечает за вопросы информационной безопасности в вашей организации?». Подавляющее большинство респондентов (34.7%) выбрали вариант «Никто не отвечает», второй по популярности ответ – «ИТ-отдел» (32.6%), на третьем месте – «Затрудняюсь ответить» (13.5%). Ещё 6.7% сотрудников, участвовавших в исследовании, ответили, что в их организациях такими вопросами занимается отдел внутренней безопасности, и только 12.4% опрошенных сообщили о том, что в их организациях есть специальный отдел информационной безопасности.

Не менее интересна статистика и по вопросам, связанным с готовностью сотрудников способствовать распространению конфиденциальной информации, и, в том числе, персональных данных. На вопрос «Готовы ли вы перейти на работу с большей зарплатой к конкурентам, при условии передачи им конфиденциальных данных?» участники опроса отвечали следующим образом: «Да, но я ничего не знаю» ? 10.1%; «Жаль только не предлагают» ? 20.2%; «Я уже так делал» ? 5.3%; «Нет. Боюсь, меня оттуда быстро уволят» ? 11.5%; «Нет, это аморально» ? 52.8%. Как видите, больше трети сотрудников проявляют готовность к распространению конфиденциальной информации. Ответы на вопрос «Использовали ли вы в личных целях служебную информацию?» распределились так: «Нет» ? 50.8%; «Не было возможности, но хотелось» ? 8.9%; «Никогда не обладал такой информацией» ? 13.4%; «Использовал» ? 26.8%.

Впрочем, проблема защиты персональных данных пока что не стоит в Беларуси так остро, как, например, в соседней России, хотя в данном случае это скорее плохо, чем хорошо. Российские организации уже сейчас задумываются о том, как защитить своих клиентов от утечек информации, а себя – от штрафов со стороны Роскомнадзора. Думаю, не за горами то время, когда за небрежное отношение с персональными данными клиентов организации будут нести реальную ответственность и в Беларуси. Тогда гораздо дешевле будет предотвратить утечку персональных данных, чем выплачивать штрафы и нести судебные издержки из-за неё.