Где иллюзия, а где реальность… — всё не то, чем кажется. Размышления над ФЗ-233 от 08.08.2024 «О внесении изменений в Федеральный закон "О персональных данных"»

Где иллюзия, а где реальность… — всё не то, чем кажется. Размышления над ФЗ-233 от 08.08.2024 «О внесении изменений в Федеральный закон "О персональных данных"»

Всё заканчивается хорошо.

Если всё закончилось плохо,

значит, это ещё не конец.

Пауло Коэльо

У нас считается, что любое изменение в области оборота персональных данных — это ужесточение требований. Поэтому с принятием Федерального закона №233-ФЗ в очередной раз возобновилось брожение в среде причастных к обработке ПД, причём зачастую с пессимистическим уклоном: «Вот, скоро вообще нельзя будет обрабатывать персональные данные! Теперь будет тотальный контроль за действиями субъектов! Нам придётся теперь платить за возможность использования персональных данных из ГИС [1]!»

Всё это ещё и усугубляется комментариями вполне официальных лиц, которые хотят выдать имеющееся за желаемое: мол, закон о том, что надо защищать данные, полученные в результате обезличивания, и, вообще, такие данные — тоже персональные данные. В общем, караул, готовьтесь, грядёт апокалипсис!

Ну а песня совсем не о том, как поссорились люди с котом

На самом деле закон не ужесточает, а определяет порядок обработки персональных данных в определённых условиях. И не всех, а только данных, полученных в результате обезличивания. И не всех данных, полученных после обезличивания, а только тех, которые используются для вполне определённой цели их обработки (раньше такого порядка не было!). Это коротко. А теперь с этого места поподробнее, попробуем перевести новеллы закона на обычный русский язык.

Прежде всего, выясним, что регулирует закон и для кого он имеет смысл. Закон определяет порядок оборота ПД, полученных в результате их обезличивания, которые используются для вполне определённых целей [2]: повышения эффективности государственного и муниципального управления, а также в целях, предусмотренных федеральными законами, определяющими случаи и особенности обработки персональных данных [3]. Как видно, список целей обработки, на которые распространяется закон, конечен и ограничен законодательством. Для остальных целей, которые в основном используются в обычных организациях, он не действует. Кстати, это подтверждается и дополнениями [4] к статье 23 ФЗ-152, которая подтверждает существующий на сегодня [5] порядок обезличивания ПД во всех остальных случаях. Соответственно, этот закон будет интересен только весьма ограниченному кругу пользователей, нуждающихся в обезличенной информации, получаемой из ГИС (количество операторов ПД в стране сопоставимо с числом юридических лиц, а вот с ГИС, по-моему, будут работать не более 5–10%).

О силе закона

Ну а теперь о том, какую силу имеет закон. Бесспорно, порядок обработки персональных данных в определённых условиях является императивной нормой. Но на самом деле закон-то — бланкетный [6]. Почему? Да потому, что для того, чтобы закон заработал, правительству необходимо:

• определить цели, предусмотренные федеральными законами, при которых этот закон действует [7];
• определить государственную информационную систему для обработки составов таких данных [8];
• установить методы и порядок обезличивания персональных данных [9];
• установить порядок взаимодействия Минцифры и операторов персональных данных [10];
• установить порядок формирования составов данных [11];
• определить порядок доступа пользователей ГИС к составам данных [12];
• определить порядок проверки соответствия пользователей ГИС установленным требованиям [13].

При этом практически все пункты Правительство должно согласовать с ФСБ России (боюсь быть пророком, но что-то мне подсказывает, что не миновать нам криптографических методов обезличивания, может быть, на основе протокола Дифи — Хеллмана).

Так что говорить о влиянии закона на бизнес пока ещё рано, надо дождаться издания перечисленных документов и тогда уж смотреть. Хотя, как мне кажется, существенных изменений для большинства операторов ПД ждать не следует.

Вопросы без ответов

А теперь о том, кому это нужно. Говоря об обезличивании персональных данных, Роскомнадзор особо отмечает, что их обезличивание должно обеспечивать возможность их обработки, то есть такие данные должны сохранять основные характеристики обезличиваемых персональных данных [14]. То есть, говоря простым языком, обезличенные данные могут быть дополнены другими данными, полученными из других источников. В результате как раз и появятся те самые «составы данных», которые предусмотрены законом. Можно предположить, что такие данные будут обогащены дополнительной информацией. Наверное, это кому-то будет нужно и действительно сможет помочь в повышении эффективности государственного и муниципального управления.

Но вопрос вот в чём. Несколько раз перечитав текст закона, я так и не нашёл анонсированные некоторыми экспертами изменения в порядок защиты ПД после процедуры обезличивания. Как раньше было, так и осталось. Разве что Роскомнадзор обязан обеспечивать конфиденциальность поступивших от операторов данных, полученных в результате их обезличивания [15]. Роскомнадзор, конечно, сможет обеспечить конфиденциальность данных в ГИС. А какова ответственность операторов персональных данных? Ведь они остаются обладателями первичной не обезличенной информации и одновременно уже обезличенной информации, то есть, можно сказать, обладателями ключевой базы, которая позволит восстановить («деобезличить») данные, переданные в ГИС.

А с учётом того, что данные в ГИС будут обогащены, то позволят получить ещё и дополнительную информацию о субъекте ПД. На мой взгляд, такую ключевую базу данных надо бы защищать особо тщательно (тем более что все яйца сложены в одну корзину «составы данных»), и, наверное, это должно быть отражено в законе или хотя бы в тех подзаконных актах, которые планируются к разработке в развитие закона. Логичнее было бы защищать не уже обезличенные данные (там, если они правильно обезличены, кроме статистики вряд ли что возьмёшь), а ключевую базу данных, которая позволит расшифровать обезличенные данные и которая находится не под контролем Роскомнадзора, а у оператора персональных данных.

[1] ГИС — государственная информационная система.

[2] Изменения к части 1 ст. 13.1. ФЗ-152.

[3] Например, закон от 08.06.2020 №168-ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации».

[4] Дополнение ст. 23 ФЗ-152 частью 12.

[5] Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных».

[6] Бланкетная норма — вид отсылочной нормы права, который содержит не само правило поведения, а отсылку к другим законам, подзаконным нормативным правовым актам, а также иным источникам (формам) права либо подразумевает такую отсылку.

[7] Изменения к части 1 ст. 13.1 ФЗ-152.

[8] Изменения к части 2 ст. 13.1 ФЗ-152.

[9] Изменения к части 3 ст. 13.1 ФЗ-152.

[10] Изменения к части 4 ст. 13.1 ФЗ-152.

[11] Изменения к части 5 ст. 13.1 ФЗ-152.

[12] Изменения к части 6 ст. 13.1 ФЗ-152.

[13] Изменения к части 8 ст. 13.1 ФЗ-152.

[14] «Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ», утверждены приказом Роскомнадзора от 05.09.2013 № 996, п. 3.

[15] Изменения к части 4 ст. 13.1 ФЗ-152.