Что включает в себя международное законодательство в области защиты информации
Российское и международное законодательство в области защиты персональных данных
В предыдущей публикации мы рассмотрели основные понятия и парадигму информационной безопасности, а сейчас перейдем к анализу российского и международного законодательства, регулирующего различные аспекты защиты данных, поскольку без знания законодательных норм, регулирующих соответствующие области деятельности компании, корректно выстроить систему управления риск- и бизнес-ориентированной информационной безопасностью невозможно. Штрафные санкции, а также репутационный ущерб от несоответствия законодательным нормам могут внести существенную коррективу в планы функционирования и развития организации: мы знаем, что, например, невыполнение норм защиты информации в национальной платежной системе может обернуться отзывом лицензии у финансовой организации, а несоответствие требованиям по месту первичного сбора и обработки персональных данных может привести к блокировке доступа к веб-сайту компании. Невыполнение же норм безопасности критической информационной инфраструктуры вообще может обернуться лишением свободы на срок до 10 лет. Разумеется, применимых законов и норм – огромное количество, поэтому в этой и двух последующих статьях сосредоточимся на защите персональных данных, защите объектов критической информационной инфраструктуры и информационной безопасности финансовых организаций.
Итак, в сегодняшней серии – персональные данные, поехали!
Прежде всего, надо рассказать об основополагающем документе, который регламентирует порядок работы с различной информацией в РФ, в т.ч. и с персональными данными — речь идет о Федеральном Законе №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает обязательные нормы и правила её обработки. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность — например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д. Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также классификатор видов информации, доступ к которой, напротив, не может быть ограничен — например, нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д.
Российские нормы по защите персональных данных
Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет и поднимаются в самых высоких кабинетах как в России, так и за рубежом, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.
Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками. С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году. Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федерального закона №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.
Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.
Итак, в 2006 году был принят 152-ФЗ «О персональных данных», который не только во многом повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных (далее — ПДн). Со временем в Федеральный Закон вносились изменения, основные из которых были введены 261-ФЗ от 25.07.2011 и 242-ФЗ от 21.07.2014. Первый закон внес существенные изменения в базовые постулаты защиты ПДн, а второй запретил первичную обработку ПДн за пределами территории РФ. Отметим, что уполномоченным государственным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации.
В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить установленные Постановлением Правительства №1119 от 01.11.2012 уровни защищенности ПДн, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности. Для моделирования этих угроз, т.е. построения модели угроз (далее — МУ) и модели нарушителя, следует опираться на следующие нормативные правовые акты:
Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые МУ в зоне их ответственности. Такие МУ были разработаны, например, в ЦБ РФ (сначала в виде РС БР ИББС-2.4, затем в виде Указания Банка России №3889-У), Министерством связи и массовых коммуникаций РФ («Модель угроз и нарушителя безопасности ПДн, обрабатываемых в типовых ИСПДн отрасли» и «Модель угроз и нарушителя безопасности ПДн, обрабатываемых в специальных ИСПДн отрасли»), Министерством здравоохранения РФ («Модель угроз типовой медицинской ИС типового лечебно-профилактического учреждения»).
В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее — ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»). В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня зависит от категории обрабатываемых ПДн (т.е. типа ИСПДн), категории и количества субъектов ПДн и типа актуальных угроз.
Категории ПДн могут быть специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения), биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности), общедоступными (ПДн получены из общедоступных источников), иными.
Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).
Выбор уровня защищенности (далее — УЗ) персональных данных зависит от перечисленных выше характеристик ИСПДн (категории обрабатываемых ПДн и тип актуальных для ИСПДн угроз), а также от категории субъектов (сотрудники оператора или иные лица) и количества субъектов, чьи ПДн обрабатываются (больше или меньше 100000 записей). Максимальным УЗ является 1-ый, минимальным – 4-ый.
Рассмотрим сначала Приказ №21. Данный документ посвящен мерам защиты ПДн для негосударственных ИС и содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн. В п.4 операторам негосударственных ИС дается послабление в виде разрешения не использовать сертифицированные СЗИ в случае отсутствия закрываемых ими актуальных угроз, а п.6 документа устанавливает трехлетний интервал проведения оценки эффективности реализованных мер. Приказ №21, равно как и Приказ №17, предлагает одинаковый алгоритм выбора и применения мер для обеспечения безопасности: сначала осуществляется выбор базовых мер на основании положений соответствующего Приказа, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных «базовых» мер в зависимости от особенностей информационных систем и использующихся технологий. Затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.
Приказ №21 в п.10 содержит важное замечание о возможности оператора применять компенсирующие меры при невозможности технической реализации или экономической нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности ПДн. В случае, если оператор использует сертифицированные СЗИ, регулятор в п.12 Приказа предъявляет требования к классам применяемых СЗИ и к средствам вычислительной техники (далее — СВТ).
Сертифицированные межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы в соответствии с недавно (в 2011-2016 гг.) введенными классификаторами ФСТЭК России могут иметь классы от 1 (максимальный уровень обеспечения защиты) до 6 (минимальный уровень). СВТ могут быть классифицированы по семи уровням в соответствии с руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия недекларированных возможностей в ПО СЗИ — существует четыре уровня контроля. Актуальный список сертифицированных СЗИ содержится в государственном реестре сертифицированных средств защиты информации.
В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны быть применены в зависимости от требуемого уровня защищенности ПДн:
• Идентификация и аутентификация субъектов доступа и объектов доступа
• Управление доступом субъектов доступа к объектам доступа
• Ограничение программной среды
• Защита машинных носителей ПДн
• Регистрация событий безопасности
• Антивирусная защита
• Обнаружение вторжений
• Контроль (анализ) защищенности ПДн
• Обеспечение целостности ИС и ПДн
• Обеспечение доступности ПДн
• Защита среды виртуализации
• Защита технических средств
• Защита ИС, ее средств, систем связи и передачи данных
• Выявление инцидентов и реагирование на них
• Управление конфигурацией ИС и системы защиты ПДн.
Приказ №17 устанавливает требования к обеспечению безопасности информации ограниченного доступа в ГосИС, при этом в п.5 подчеркивается, что при обработке ПДн в ГосИС следует руководствоваться и ПП-1119. Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации. Данный документ предполагает выполнение операторами следующих мероприятий для обеспечения защиты информации (далее — ЗИ): формирование требований к ЗИ; разработка, внедрение и аттестация системы ЗИ ИС; обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации. Пункт 14.3 Приказа говорит о необходимости создания модели угроз и предлагает использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России, о котором мы говорили в предыдущей публикации. Для ГосИС устанавливается класс защищенности (от максимального 1-го до минимального 3-го), который зависит от уровня значимости обрабатываемой информации и масштаба системы, где уровень значимости зависит от степени возможного ущерба свойствам безопасности (конфиденциальность, целостность, доступность) обрабатываемой в ГосИС информации, а масштаб системы может быть федеральным, региональным или объектовым.
В ГосИС 1-го класса защищенности должна быть обеспечена защита от действий нарушителей с высоким потенциалом, в ГосИС 2-го класса — от нарушителей с потенциалом не ниже усиленного базового (в БДУ их потенциал называется «средним», а в проекте Методики определения угроз безопасности информации в ИС — «базовым повышенным»), в ГосИС 3-го класса — от нарушителей с потенциалом не ниже базового (в БДУ этот потенциал называется «низким»). Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные СЗИ, в п.26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля отсутствия НДВ, в зависимости от класса ГосИС. В п.27 проводится связь между классом защищенности ГосИС и уровнями защищенности ПДн, обрабатываемыми в ней: выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн, для 2-го класса — 2, 3 и 4 УЗ, для 3-го класса — 3 и 4 УЗ.
Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа №21, описанными выше, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией. Эти действия выполняются уже после построения системы защиты, на этапе эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты информации и контролем за обеспечением уровня защищенности информации в ГосИС.
Кроме Приказа №17 при реализации соответствующих мер ЗИ можно также руководствоваться и методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», в котором более детально раскрываются состав и содержание всех мер.
Международные нормы по защите персональных данных
Если в России не утихают споры относительно правоприменения 152-ФЗ и соответствующих подзаконных актов, то в Европейском Союзе последние 3 года ведется работа по внедрению и соответствию нормам GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных). Данный документ, с момента его принятия в апреле 2016 года и до момента вступления в силу 25 мая 2018 года, а также и в настоящий момент, вызывает множество вопросов и споров, поскольку он касается большого количества граждан и компаний по всему миру.
Предшественником GDPR в Европейском Союзе была Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 года «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». После принятия GDPR права субъектов ПДн существенно расширились, а обязанности операторов и штрафы за их неисполнение существенно возросли.
Само определение ПДн в GDPR не сильно отличается от того, что было принято в Конвенции Совета Европы и от аналогичного определения в отечественном 152-ФЗ: под персональными данными в рамках GDPR понимается любая информация, относящаяся к идентифицированному или идентифицируемому лицу (субъекту персональных данных). Под идентифицируемым лицом понимается то лицо, которое может быть идентифицировано, прямо или косвенно, в частности с использованием таких идентификаторов, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или при помощи одного или нескольких факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального статуса этого лица. Таким образом, под определение ПДн подпадают не только привычные нам характеристики, но и IP-адрес, установленные пользователю cookie-идентификаторы, данные о геолокации пользователя и иные технические атрибуты.
Новым важным термином в GDPR является «профилирование» (англ. profiling), под которым понимается любая форма автоматизированной обработки персональных данных в целях оценки определенных аспектов личности, в частности для анализа или предсказания работоспособности человека, его материального положения, здоровья, личных предпочтений, интересов, поведения, местоположения или передвижений.
Как и в 152-ФЗ, в GDPR используются такие понятия, как «обработка персональных данных», «обработчик», «оператор» (англ. controller), «трансграничная обработка», «псевдонимизация» (обезличивание) и подобные универсальные термины.
Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн граждан ЕС и иных граждан, находящихся на территории ЕС. При этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также находиться за пределами ЕС. Примеры, касающиеся операторов-компаний из РФ:
Кроме вышеописанных принципов, в GDPR также присутствуют следующие нормы:
Практика взаимодействия США и Европы по вопросам обработки личных данных
В июле 2016 года было введено в действие соглашение о защите конфиденциальности между ЕС и США EU-U.S. Privacy Shield. Данное соглашение является фреймворком, который определяет подходы коммерческих компаний к защищенному обмену ПДн между Евросоюзом и Северной Америкой. Цель такого соглашения — привести в соответствие нормы GDPR по защите ПДн в ЕС и методы обеспечения их безопасности в США. Предшественником данного фреймворка было соглашение Safe Harbor Privacy Principles («Принципы Безопасной Гавани для защиты личных данных»), которое действовало с 2000 по 2015 годы и подтверждало, что методы обеспечения безопасности ПДн в США соответствуют нормам Европейской Директивы 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». Указанное соглашение было подвергнуто критике из-за выявленных фактов целенаправленного постоянного доступа к ПДн европейских граждан со стороны правительства США, в частности, Агентства Национальной Безопасности. Это было учтено Европейским судом, который вынес в октябре 2015 года решение о недействительности Принципов Безопасной Гавани. Таким образом, в настоящее время компании из США, желающие обрабатывать ПДн граждан Евросоюза, должны соответствовать требованиям EU-U.S. Privacy Shield. Подтверждение соответствия осуществляется в виде добровольной самостоятельной сертификации в Министерстве торговли США. Компания-оператор должна выполнять следующие базовые требования, подтверждающие адекватный уровень защиты ею ПДн граждан Евросоюза:
Штрафные санкции за невыполнение требований по защите ПДн в разных странах
1. Штрафы, взимаемые за нарушение российского законодательства о защите персональных данных, регламентируются ст. 13.11 КоАП РФ, в которой предусматриваются семь составов правонарушений, введенных в июле 2017 года. Например, часть 1 ст. 13.11 КоАП РФ предусматривает наказание операторов за обработку ПДн в случаях, не предусмотренных законом, либо обработку, несовместимую с целями сбора ПДн, в размере до 50 тысяч рублей. Часть 2 ст. 13.11 КоАП РФ предусматривает наказание за обработку ПДн без согласия субъекта либо за нарушения в процессе получения такого согласия, в размере до 75 тысяч рублей. Кроме того, невыполнение норм о локализации баз ПДн на территории РФ является нарушением ст.1 242-ФЗ и ст.15.5 149-ФЗ, что грозит блокированием доступа к веб-ресурсу компании-нарушителя на основании вынесенного судебного решения.
Следует учитывать, что штраф может быть наложен за каждый факт нарушения законодательных норм. Более того, недавно в Государственную Думу был внесен законопроект, подразумевающий введение двух новых составов правонарушений в области защиты ПДн — депутаты предлагают накладывать миллионные штрафы за невыполнение норм 242-ФЗ, т.е. за отказ от локализации баз ПДн россиян на территории РФ, а также за повторные нарушения требования по локализации.
2. Штрафы, взимаемые европейскими регуляторами за невыполнение норм GDPR в случае незначительных нарушений составляют до 10 миллионов евро или 2% от мирового годового оборота компании, а в случае существенных — до 20 миллионов евро или 4% от мирового годового оборота. При этом за год действия требований GDPR уже подведена неутешительная статистика: было проведено более 200000 проверок в отношении операторов, а общая сумма штрафов составляет более 56 миллионов евро, при этом 50 миллионов евро составляет сумма штрафа, выставленного интернет-гиганту Google со стороны французского регулятора в области защиты ПДн.
3. Штрафы, взимаемые Федеральной торговой комиссией США с компаний, не соответствующих принципам Privacy Shield, составляют до 40 тысяч долларов за факт нарушения плюс 40 тысяч долларов за каждый последующий день незаконной обработки ПДн после выявления нарушений.
Международная система защиты персональных данных
Защита персональных данных
с помощью DLP-системы
П раво человека на защиту личной информации является одним из основополагающих в современном информационном мире. Способы ее обработки с применением технических средств и их уязвимость делают возможным доступ к конфиденциальным сведениям третьих лиц, что может причинить ущерб личности и ее интересам. В условиях регулярного и активного трансграничного взаимодействия задача охраны персональных данных перестает быть только национальной проблемой, требуется международное законодательство, которое могло бы унифицировать понимание и стандарты, действующие в области защиты персональных данных.
Общие тенденции
В России защита сведений о гражданах регламентируется КЗоТ РФ, специальным законодательством, ведомственными нормами, определяющими классы охраны, права и обязанности операторов, ответственность за неправомерную обработку и распространение персданных. В большинстве случаев внутренние российские нормы отвечают общепринятой международной практике. Несмотря на создание национальных коммуникационных сетей, Интернет продолжает оставаться единым информационным пространством. Только национальное право не может создать тот профиль регулирования, который защитит внутренние ресурсы от посягательств субъектов, деятельность которых регулируется нормами других государств. Также национальное право не может регулировать стандарты трансграничного обмена информацией.
Это приводит к необходимости создания единой международной системы защиты персональных данных. Дополнительной задачей становится соотнесение российской системы с интернациональной, устранение взаимоисключающих норм, внесение тех положений, которых на сегодня не хватает или они уже не соответствуют меняющимся реалиям.
Сейчас в международно-правовом регулировании защиты данных существует три одинаково важных тенденции:
При этом не существует единой системы и терминологии, поэтому на разных уровнях регулирования стандарты могут быть разными.
Нормативно-правовое регулирование
Право человека на защиту информации о себе берет свое начало из общего источника приоритета интересов личности, появившегося в результате Великой Французской революции. В новейшее время основные права человека были закреплены во Всеобщей декларации, принятой в 1948 году. Там указывается, что люди имеют право на охрану от вмешательства в личную жизнь и на тайну переписки. Оно не может нарушаться без законных оснований. Ограничивается возможность нарушить эти тайны не только гражданами и компаниями, но и государственными органами. При расширенном толковании устанавливается, что персональные данные в рамках этой концепции являются частью личной жизни, и посягательство на них помимо воли человека не разрешено никаким третьим лицам. Кроме того, информация о себе является своеобразным активом, имеющим определенную ценность, и с этой точки зрения она также подлежит охране.
Регулирование гуманитарного порядка
Эта норма была конкретизирована принятыми позднее Международным пактом 1966 г., ограничившим сферу регулирования только общественной жизнью, и Европейской Конвенцией 1950 г. На базе этих документов и общественного консенсуса создана своеобразная концепция информационных прав. Она включает в себя:
Международное право сейчас основывается в большинстве случаев на общепринятых понятиях, не закрепленных официально. Но именно они становятся базой для разработки правовых актов, носящих более утилитарный характер. Сейчас не существует ни одного международного соглашения, конвенции или договора в сфере защиты сведений о гражданине, которые были бы ратифицированы РФ и имели приоритет над национальным законодательством. Двухсторонние соглашения об обмене информацией содержат единичные нормы, касающиеся частных вопросов.
Регулирование на уровне международных институтов
Если рамочные соглашения регулируют широкую сферу отношений, не давая конкретных понятий и стандартов, резолюции и другие документы, издаваемые органами управления интернациональными организациями, становятся обязательными для их членов. В рамках второго направления многочисленные нормы, регулирующие систему защиты персональных данных, создаются на разных уровнях и для разных регионов. Институты управления предлагают свои механизмы скрупулезного и подробного регулирования способов и методов работы с данными, получаемыми от граждан. В течение нескольких последних лет, одновременно с развитием Интернета и технологий, принимались и многочисленные документы, регулирующие эту сферу. Среди них:
Эти акты конкретизируют внимание на таких вопросах, как:
Нормы касаются только Европейского Союза и не действуют для неприсоединившихся к нему стран мира, где вопросы защиты персональных данных регулируются собственным национальным законодательством. Тем не менее глубина их проработки привела к тому, что именно они легли в основу национальных стандартов, касающихся в том числе вопросов, связанных с особенностями автоматизированной обработки сведений.
Отдельный пакет документов принимался в рамках ОЭСР, созданной в 1948 году в целях переустройства Европы по плану Маршалла. В 1980 году была утверждена Директива «Основные положения о защите неприкосновенности частной жизни». Россия членом этой организации не является. Она неоднократно предпринимала попытки вступить в ОЭСР, но по тем или иным причинам получала отказ, как и большинство стран постсоветского пространства. Нормы директивы Российской Федерацией не ратифицированы и на внутреннем законодательстве не отразились.
Создание документа на уровне организации преследовало две цели:
Предполагалось, что нормы директивы станут обязательными для применения как на государственном уровне, так и в частном секторе. Они касаются тех групп персональных данных, которые несут в себе угрозу правам человека или вследствие процессов их обработки, допускающих потерю сведений, или из-за таких ситуаций их использования, которые могут причинить ущерб человеку.
В рамках постсоветского пространства модельный закон «О персональных данных» утвержден в 1999 году Ассамблеей СНГ. Он вводит термин «персональные данные», под которыми понимаются размещенные на материальном носителе сведения о человеке, которые достоверно отождествляются с конкретной личностью. К ним могут относиться не только анкетные сведения, но и вся информация о семье, карьере, бизнесе, счетах и вкладах, здоровье. Документ освещает стандарты регулирования обработки персональных данных, поясняет, как определяются права и обязанности операторов.
Этот комплекс нормативно-правовых актов наиболее полно регулирует международную систему защиты персональных данных, но не решает главную задачу – общую унификацию норм и правил регулирования их обработки и передачи.
Международные договоры
Третий механизм введения в интернациональное правовое пространство норм о защите персональных данных – закрепление их в международных договорах, заключаемых между двумя или более странами. Среди соглашений, в которых могут встречаться нормы о защите персональных данных:
Примером такого документа стало Соглашение между Правительством РФ и Правительством Республики Кипр, посвященное вопросам избегания двойного налогообложения. Заключенное в 1998 году, с последними изменениями от 2010 года, оно устанавливает такие параметры международного взаимодействия, касающегося защиты персональных данных:
Хаотическая система регулирования порождает потребность в унификации международных норм о защите персональных данных в рамках одного документа, издаваемого организацией, право на регулирование правового пространства подтверждается большинством стран.
Практический аспект необходимости международной защиты персональных данных
С точки зрения бизнеса защита персональных данных интересует большинство граждан в смысле защиты информации об их имущественном статусе, активах и вкладах, находящихся вне национальных границ. Тем более этот вопрос интересует инвесторов, которые хотели бы гарантий сохранности сведений об их счетах и вкладах, находящихся в России.
Но еще более важным становится вопрос о защите персональных данных работников предприятий и организаций и его правовое регулирование на международном уровне. В этой области основной груз работы ложится на Международную организацию труда (МОТ), созданную при ООН. Но на настоящий момент ею не разработано ни одного кодифицированного и ратифицированного нормативно-правового акта, регулирующего эти вопросы.
Большинство значимых тем регулируется на уровне общего понимания и обычного права. Так, предполагается, что защите должны подлежать все данные, получаемые организацией при процедуре найма работника. Это:
Эти сведения формально не защищаются законодательством об охране персональных данных, и их защита определяется только нормами рекомендательного характера. При этом рекомендации имеют три самостоятельных значения:
Помимо рекомендаций МОТ, издаются кодексы практики, содержащие рекомендуемое нормативное регулирование различных вопросов трудового права. Кодексы практики, как предполагается, ориентированы на развитие национального законодательства, правоприменительных актов, коллективных соглашений. Самостоятельного нормативного значения эти акты не имеют, у государств нет обязательств по их выполнению. В рамках защиты информации сотрудников издан Кодекс практики МОТ по защите персональных данных работников. 14-я глава российского КЗоТ практически полностью повторила соответствующие рекомендации кодекса МОТ, это говорит о том, что их инкорпорация в национальное законодательство прошла успешно.
Международное регулирование защиты персональных данных пока не носит единообразного характера. На уровне ООН не принято единого документа, многие нормы носят чисто рекомендательный характер. Но интересно, что при разработке нормативных актов по защите персональных данных на уровне коллективных договоров или внутренних стандартов организации нет необходимости ожидать инкорпорации рекомендательных норм МОТ в национальное законодательство, они могут быть использованы при условии непротиворечия национальному праву.