Что мешает соблюдать Закон

В то же время есть основания полагать, что многие требования, предъявляемые Законом о персональных данных, являются избыточными и сложно реализуемыми на практике.

В первую очередь это касается требований об использовании только сертифицированных средств защиты и о необходимости получения потенциальными операторами лицензии на техническую защиту конфиденциальной информации во всех случаях обработки персональных данных. Для многих компаний данные требования связаны с чрезвычайными расходами - на сертификацию и лицензирование, и при этом получается, что с точки зрения законодательства во главу угла ставится не сама безопасность, а формальное соответствие мер по защите персональных данных тому, как они определены в Законе <1>.

--------------------------------

<1> По данным сайта www.bankir.ru, стоимость среднестатистического типового проекта по созданию системы защиты персональных данных для банковской структуры составляет порядка 1,5 млн руб. (при расчете данной суммы учитывался ряд принципов, следование которым позволяет сократить бюджет на создание системы защиты персональных данных).

Вызывает сложности и условие о наличии обязательного письменного согласия субъекта персональных данных на обработку его персональных данных. По общему правилу организация не имеет права предоставлять персональные данные своих работников или контрагентов без их письменного согласия <2>. Между тем на практике получение согласия в такой форме может быть затруднительным. В этой части решить проблему смогла бы легализация согласия на обработку персональных данных действием, например когда субъект персональных данных регистрируется на сайте компании или пользуется магазином, в котором висит плакат о ведущейся видеосъемке. Однако формально в настоящее время такая форма согласия не позволяет операторам обрабатывать персональные данные <3>.

--------------------------------

<2> Законом установлены случаи, когда данные могут предоставляться без письменного согласия, например: в целях исполнения договора, одной из сторон которого является субъект персональных данных; для статистических или иных научных целей при условии обязательного обезличивания персональных данных; для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно, и др.

<3> Федеральным законом от 27.07.2010 N 227-ФЗ предусмотрено, что равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи.

Кроме того, у кредитных организаций возникает вопрос: что делать с видеокамерами, контролирующими использование банкоматов, как согласовать их использование с требованиями Закона. Ведь отказ от них может повлечь значительное увеличение рисков как для банков, так и для их клиентов. И даже законодательное закрепление "согласия действием" в данном случае не поможет, так как во многих случаях человек попадает в поле видеокамеры прежде, чем знакомится с предупреждением о ведущейся видеосъемке. Получается, это должен быть специально оговоренный случай, не требующий получения согласия на обработку персональных данных.

Примечание. Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных.

Банкиры также выступают против:

- запрета на хранение персональных данных;

- необходимости исключительно автоматизированной обработки запросов субъектов персональных данных;

- права субъектов персональных данных отзывать согласие на обработку их персональных данных.

Все эти требования Закона входят в противоречие со сложившейся банковской практикой. Так, скоринговые модели, использование отчетов бюро кредитных историй или рейтингование заемщиков сегодня в той или иной мере связаны с бумажной работой. Не всегда возможно полное удаление персональных данных по достижении целей их обработки.

Неоднозначно решается вопрос о том, что считать достижением цели обработки персональных данных, какие данные подлежат хранению. Также банкиры жалуются на то, что использование предписанного Законом регламента под грифом "Для служебного пользования" серьезно затруднит доступ большинства банковских специалистов к информации, необходимой им в их повседневной работе.

В целом можно сказать, что нормально работать банки смогут лишь в случае соразмерности мер по обеспечению безопасности персональных данных возможному размеру ущерба субъекту персональных данных и возможности возникновения такого ущерба.