Защита персональных данных и предоставление государственных и муниципальных услуг Михаил Брауде-Золотарев Директор Центра ИТ-исследований и экспертизы Российская академия народного хозяйства и государственной службы при Президенте РФ март 2013 года Регулирование в сфере защиты ПД Страновое регулирование Директива № 95/46/ЕС Европейского Парламента и совета ЕС о защите физических лиц при обработке персональных данных… от 24.10.1995 Конвенция Совета Европы о защите физических лиц в отношении автоматизированной… от 28.01.1981 март 2013 года Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Недостатки российского регулирования Понятие К персональным данным не отнесены идентификаторы гражданина персональных данных Принципы обработки Отсутствуют механизмы реализации принципов, закрепленных в Законе персональных данных о ПД, на практике принципы толкуются расширительно. Предусмотрены расширительные дозволения для обработки ПД без согласия субъекта: «для обеспечения предоставления... услуги»; «в Условия обработки соответствии с законодательством РФ об обороне, о безопасности, о персональных данных противодействии терроризму, о транспортной безопасности, о противодействии коррупции…» и т.п. Субъект персональных данных на практике не может реализовать право Право на доступ к на получение информации об обработке ПД. Не предусмотрена персональным обязанность оператора ПД раскрывать информацию об обработке ПД. данным Несмотря на наличие у Роскомнадзора широких надзорных полномочий, Осуществление уровень их реализации недостаточен, в том числе в силу расплывчатости контроля и надзора и неконкретности полномочий. Уголовная ответственность за нарушения в сфере защиты ПД не Ответственность за предусмотрена. Составы административных правонарушений и санкции нарушение не дифференцированы, штрафы малы, отсутствуют санкции к оператору законодательства о ПД по устранению нарушений. Гражданско-правовая ответственности не защите персональных применяется по причине сложности выявления субъектом ПД факта данных нарушения режима обработки ПД. март 2013 года Проблемы правоприменения Ведомства не включают в НПА и не раскрывают состав собираемых ПД. Обмен ПД осуществляется не на основании норм права, а на основании «соглашений». Содержание соглашений также не раскрывается. март 2013 года Эффективность контролирующих органов Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных… министерства связи и массовых коммуникаций Российской Федерации и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Стр. 23 «Отчета…»: «В рамках реализации мер пресекательного характера Уполномоченным органом… проведены рейды по радиорынкам г. Москвы, в ходе которых было изъято несколько сотен физических носителей информации, содержащих сведения о частной и личной жизни граждан, объединенных в 17 баз данных… : «Прописка», «ГАИ + Полисы КАСКО и ОСАГО», «Федеральная таможенная служба» и другие. В отношении федеральных органов государственной власти, к ведению которых предположительно могли относиться изъятые базы данных (ФНС России, ФТС России, ГИБДД МВД России, ФМС России), Уполномоченным органом совместно с ФСБ России и ФСТЭК России были проведены проверки на предмет выявления фактов утечек обрабатываемых персональных данных. По результатам проверок органами ФСБ России и ФСТЭК России факты утечек из информационных систем указанных органов государственной власти выявлены не были.» март 2013 года Защита ПД и государственные услуги УЭК: Обработка персональных данных осуществляется без согласия субъекта персональных данных – пример расширительного толкования положения Закона об «обеспечении предоставления услуги». При выпуске УЭК используются имеющихся в распоряжении государственных органов и внебюджетных фондов ошибочные данные – не учтён принцип точности и актуальности персональных данных. Возможность передачи персональных данных, имеющихся в распоряжении органов государственной власти и внебюджетных фондов, уполномоченным организациям для целей выпуска УЭК – нарушение принципа целевого использования персональных данных Реализация 210-ФЗ: При межведомственном взаимодействии (210-ФЗ) не осуществляется контроль целевого характера запросов ПД. Межведомственное взаимодействие осуществляется без должного правого закрепления, с отклонениями от утверждённых ТКМВ. март 2013 года Что делать – 1 Включить в Закон о персональных данных прямое указание на то, что идентификаторы человека или ПД являются персональными данными. Принять подзаконные акты, обеспечивающие реализацию закрепленных в Законе о ПД принципов обработки персональных данных. Конкретизировать положения Закона о персональных данных, разрешающих обработку ПД без согласия субъекта ПД. Обязать ведомства раскрывать сведения о фактах сбора и порядке обработки ПД. Проводить методическую и образовательную работу с государственными и муниципальными служащими. март 2013 года Что делать – 2 Конкретизировать полномочия органа по надзору в сфере защиты персональных данных, возможно – сформировать отдельный орган в данной сфере. Дифференцировать составы административных правонарушений в сфере обработки ПД, увеличить штрафы. Установить санкции, направленные на прекращение правонарушения и восстановление прав субъекта ПД. Установить уголовную ответственность за преступления в сфере защиты ПД. март 2013 года Риски введения UIN’а в России Снижение отслеживаемости нарушений Более лёгкий нецелевой доступ к сведениям Нарушение права на частную жизнь и защиту информации март 2013 года Спасибо за внимание Российская академия народного хозяйства и государственной службы при Президенте РФ Директор Центра ИТ-исследований и экспертизы Михаил Брауде-Золотарев март 2013 года