Закон “О пресональных данных” продолжает вызывать много вопросов, в том числе, “а возможно ли в принципе выполнить одно из основных его требований о регистрации операторов персональных данных?”
Продолжаем тему о персональных данных.
В отношении ФЗ-152 раздается много критики со всех сторон. Но ведь наши законодатели не сами же додумались до такого закона. В основном сейчас все заимствуется из европейского и американского законодательства, которое ушло в своем развитии более чем на 20 лет вперед. Та же самая ситуация наблюдается и с “разработкой” ГОСТов и отраслевых стандартов.
UK Data Protection Act был принят в 1984 году и обновлен в 1998 году после выхода директивы Европейского Союза о Защите Данных (EU Directive on Data Protection). ФЗ-152 принципиально мало чем отличается от европейских законодательных актов, фактически, это русскоязычная версия тех же самых законов, которым следуют все европейские страны.
Европейское законодательство точно также предусматривает обязательную регистрацию операторов персональных данных, сталкиваясь при этом с теми же самыми проблемами. Исследование, проведенное Personnel Policy Research Unit в 1998 году (через 14 лет после принятия британского закона “о защите данных”) показало, что из 1,100 опрошенных ИТ менеджеров 19% вообще не имеют понятия о требовании по регистрации в качестве оператора ПД, в небольших компаниях таких ИТ менеджеров 48%. Кроме этого, 48% в крупных компаниях и 66% в малом бизнесе затруднились ответить на вопрос об обязанностях оператора в отношении обеспечения безопасности ПД. Только 1% опрошенных вспомнили о том, что ПД должны собираться должным образом и 2% вспомнили, что ПД не должны храниться дольше, чем требуется. Британский Реестр Персональных Данных (Data Protection Register) в 1998 году содержал более 200,000 записей об операторах и каждую неделю там регистрировалось еще 500 операторов. Пятая часть компаний к этому времени еще не выполнили требования о регистрации.
Европейская директива 1998 года предоставила операторам ПД еще до 12 лет отсрочки в отношении выполнения ряда требований, т.е. наша четырех-летняя отсрочка закончится в 2010 году, одновременно с их отсрочкой. Как видим наши операторы ПД поставлены в значительно более жесткие условия, нежели европейские, обладающие форой в более чем 20 лет.
К сожалению, я не располагаю временем для постатейного сравнения ФЗ-152 с UK Data Protection Act, однако разница в определении понятия “персональные данные” уже позволяет сделать вывод о том, что аутентичного перевода опять не получилось и опять это не пошло на пользу отечественному аналогу.
Согласно ФЗ-152: “персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.”
Согласно UK Data Protection Act: “personal data” means data which relate to a living individual who can be identified— (a) from those data, or (b) from those data and other information which is in the possession of, or is likely to come into the possession of, the data controller, and includes any expression of opinion about the individual and any indication of the intentions of the data controller or any other person in respect of the individual.”
Жирным шрифтом я выделил ту часть определений, которая различается. Из нашего определения исчезла та существенная часть, в которой говориться, что ПД – это данные, которые, в том числе, “включают в себя любое выражение мнения об инцивидууме и любые признаки намерения оператора данных или любого другого лица в отношении индивидуума.”
Другими словами европейское определение ПД звучит следующим образом: “персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) и включающая в себя любое выражение мнения об инцивидууме и любые признаки намерения оператора данных или любого другого лица в отношении индивидуума,” а вовсе не имя, фамилия, отчество, адрес и т.п., как в нашем определении. Как вам такое “малосущественное” различие?
Мы видим, что европейские законодатели считают персональными данными не тоже самое, что российские. Европейские ПД – это подмножество “наших” ПД. И хотя понятия “выражение мнения” и “признаки намерения” явно нуждаются в дальнейшем разъяснении, очевидно что к ПД в данном случае вряд ли можно отнести, например, рабочие контакты, хранящиеся в наших мобильниках (ФИО, номер телефона, адрес и название компании, где человек работает).
У меня возникает по этому поводу только один вопрос: “когда мы банально научимся правильно переводить с английского языка на русский, хотя бы не утрачивая при этом основной смысл написанного?”