История ФЗ №152 "О защите персональных данных"

История ФЗ №152 "О защите персональных данных"

История ФЗ №152 "О защите персональных данных"

История федерального закона номер 152 "О персональных данных" началась в далёком 1981 году, когда Совет Европы опубликовал конвенцию о защите персональных данных граждан при их обработке с помощью электронных средств.

Чтобы присоединиться к ней достаточно было подписать меморандум и отослать его в Совет Европы, где он и храниться. Конвенция предполагает защиту граждан от коммерческого использования электронных баз данных, причём заниматься этим должно государство. Уже в этом принципе есть определённое противоречие, поскольку именно государство склонно собирать наиболее полные и опасные базы персональных данных, в сравнение с которыми не идут ни какие коммерческие. Как же гражданам защититься от государства в Конвенции не сказано. Конвенция редактировалась в 1999 году для включения в неё новых реалий.

Именно в этой редакции Россия и подписала Конвенцию 7 ноября 2001 года. Сделано это было по требованию ВТО как необходимый шаг для вступления в эту организацию. Таким образом, на территории России конвенция вступила в силу с 1 марта 2002.

Конвенция предполагает, что страна, которая подписала документ, предъявляет собственные технические требования к защите персональных баз данных своих контролёров - компании, которые обрабатывают персональные данные. Для реализации этого страна должна принять закон о персональных данных, который эти требования закреплял. До выпуска этого закона можно было признать обработку персональных данных незаконной по конвенции, однако прецедентов таких не известно. Таким образом, конвенция была принята формально, но по факту не действовала из-за отсутствия российских нормативных актов.

Российский закон "О персональных данных" был принят 27 июля 2006 года и получил порядковый номер 152. Он закрепил, что ответственными ведомствами за соблюдение закона является Роскомнадзор в части организационных мер и ФСТЭК и ФСБ в части технических мер защиты. В нем также были перечислены организационные меры, такие как назначение ответственных, разработка набора корпоративных документов, регистрация в реестре операторов персональных данных, вести который доверено Роскомнадзору.

Наиболее одиозными особенностями первого ФЗ-152 были требования получения разрешения субъекта на обработку персональных данных, причём обязательно заверенной собственноручной подписью; уничтожению данных в базе оператора по заявлению субъекта в течении трёх дней; уничтожение данных при достижении цели их обработки с обоснованием именно этого набора персональных данных. Таким образом, закон изначально давал больше прав субъекту персональных данных, в то время как практически все граждане являются также и операторами.

Впрочем серьёзные проблемы возникли у операторов с выпуском подзаконных актов, которые подготовили ФСТЭК, Роскомнадзор и ФСБ. Наиболее сложными из этих требований оказались обязательная сертификация средств защиты для базы персональных данных и аттестация объектов. При этом сложно реализуемыми оказались требования по защите так называемых специальных типов персональных данных. Повышенная степень защиты для сведений о здоровье, политических и религиозных взглядах, а также сексуальной ориентации была прописана ещё в конвенции. Поэтому ФСБ предложила использовать для защиты таких данных методы, разработанные ей для сохранения государственной тайны. Даже сам документ, описывающий требования к защите, был с грифом ДСП, якобы потому, что он давал представление и методах защиты гостайны. В частности, в этих требованиях указывалось, что нужно предусмотреть защиту от утечек по нетехническим каналам, таким как звуковая и визуальная информация, а также с помощью побочного электромагнитного излучения. В результате, все медицинские учреждения и пенсионные фонды потребовалось защищать по этим завышенным требованиям с аттестацией помещения и проверкой на правильное расположение мониторов и телефонов, а также на наличие ПЭМИН.

Требования были завышены, но они могли предъявляться только для новых систем, поскольку закон обратной силы не имеет. Требование о приведении в соответствие всех остальных систем было связано с датой 1 января 2010 года, после которой уже все компании без исключения должны выполнить предписания регуляторов. Только после этого можно было проводить проверки на соответствие техническим требованиям. Поэтому соблюдение технических требований ни кто не проверял до 1 января 2010 года. Однако потом эту дату перенесли ещё на год, а потом на полгода - окончательно закон вступил в силу почти через пять лет после подписания 1 июля 2011 года.

Однако перед самым вступлением закона в силу президент России Дмитрий Медведев потребовал снять излишние обременения с операторов персональных данных, поэтому в конце весенней сессии Государственной Думы наблюдалась лихорадочная активность законодателей по изменению закона "О персональных данных". На тот момент уже некоторое время обсуждался законопроект Резника, который и предполагал внести изменения в ФЗ-152 для снижения бремени. Этот законопроект долго согласовывали, но в момент принятия поправок о нём даже и нем вспомнили. В новой редакции закона "О персональных данных" появились совсем другие нормы, которые фактически закрепляли на законодательном уровня часть технических требований из подзаконных актов. Возможно, именно поэтому данные поправки и связывают с ФСБ. Новый закон очень быстро прошёл все три чтения в госдуме, слушания в Совете Федерации и был передан на подпись Президенту. Там он и был подписан 27 июля 2011 года - ровно через пять лет после выпуска первого закона и получил номер 261. Дата, кстати, говорит о спешке, в которой оба закона принимали - это срок конца весенней сессии Госдумы плюс время на подписание Президентом.

Следует отметить, что новая редакция закона всё-таки снимает часть наиболее сложных в реализации требований старого закона, например по получению согласия и обоснование обработки персональных данных. Однако в самом законе появилось требование "оценки соответствия" защиты угрозам безопасности. Сейчас не понятно что это такое, но практически все сходятся во мнении, что это старая добрая сертификация и аттестация. При этом в законе введены "уровни защищённости", которых нет ни в одном подзаконном акте, поэтому опять требования невозможно выполнить, поскольку они не сформулированы государством - закон опять не работает, но действует.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru