Основной российский закон в области защиты персональных данных – Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» – был принят достаточно давно, и практика его применения выявила ряд недостатков.
Во-первых, закон содержит ряд крайне сложных в реализации требований, что создает необоснованные барьеры в работе операторов персональных данных и толкает их на нарушения закона. В то же время для граждан избыточное регулирование закона в большей степени порождает неудобства, нежели действительно обеспечивает безопасность их персональных данных.
Во-вторых, часть положений закона в настоящее время устарели или потеряли актуальность, а некоторые появившиеся за 8 лет аспекты работы с персональными данными он не регулирует вовсе, в частности Федеральный закон № 152-ФЗ «О персональных данных» не учитывает современного уровня развития интернета и замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.
1.1. Общие недостатки Федерального закона № 152-ФЗ
Одним из основных теоретических недостатков ФЗ «О персональных данных» является то, что он не называет четких критериев отнесения тех или иных сведений к категории персональных данных, а также не определяет механизмов их соотношения с иными видами информации ограниченного доступа, вследствие чего зачастую одни и те же данные могут быть отнесены к различным видам информации ограниченного доступа. Например, в режиме коммерческой тайны могут охраняться персональные данные контрагентов; в режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная, нотариальная, адвокатская, банковская тайны и т. п.). При этом режимы охраны различных видов информации ограниченного доступа предполагают отличные друг от друга сроки сохранения конфиденциальности соответствующей информации, дополнительные гарантии прав субъекта, а также виды ответственности за их нарушение. Возможность составления закрытых перечней данных, относимых исключительно к тому или иному виду информации ограниченного доступа, является достаточно спорной. Однако минимизация разницы между степенью уязвимости прав субъекта соответствующих сведений, безусловно, остается необходимой. По нашему мнению, указанная проблема может быть решена путем реализации субъектом соответствующей информации своего права на установление режима, предусмотренного ФЗ «О персональных данных», в соответствии с которым будет установлен ограниченный доступ к ней со стороны третьих лиц, а также наложен ряд обязанностей на оператора, производящего ее обработку. Так, установление режима коммерческой тайны в отношении какой-либо информации (например, данных авторов изобретений, используемых предпринимателем для извлечения прибыли и, соответственно, представляющих для него коммерческую ценность) не исключает возможность получения правообладателем письменного разрешения указанных субъектов на обработку их персональных данных. Более того, в случае неправомерных действий в отношении персональных данных со стороны оператора (в данном случае правообладателя) они могут быть обжалованы субъектом в уполномоченный орган по защите прав субъектов персональных данных или в суд без нарушения установленного режима коммерческой тайны. Это возможно в силу ст. 6 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне», предусматривающей обязанность правообладателя предоставлять соответствующую информацию органам государственной власти, иным государственным органам, а также органам местного самоуправления по их мотивированному требованию.