Статья

Защита персональных данных: пригодится ли нам британский опыт?

Безопасность Госрегулирование
мобильная версия

2 июля 2009 года в Британии вышла первая версия стандарта BS10012:2009 "Защита данных – Спецификация системы управления персональными данными". Этот документ стал первым в мире стандартом на систему управления персональными данными. Возможно ли использование нового стандарта в России? Поможет ли он операторам персональных данных соответствовать требованиям российского законодательства?

Стандарты важны в любой системе управления: в них определяются цели, которых необходимо достичь; устанавливаются общие методы управления внутри одной и между несколькими организациями; предъявляются требования к менеджерам, ответственным за реализацию методов управления; описываются контрольные процедуры, позволяющие проверить правильность реализации методов управления, полноту и качество их поддержки.


Госкомитет Великобритании по стандартизации разработал первый в мире стандарт на систему управления персональными данными

Несмотря на огромное количество разработанных отраслевых и международных стандартов, в том числе и в области информационной безопасности, глобальный стандарт о защите частной жизни и персональных данных, который способна реализовать любая организация в любой стране мира, отсутствует и по сей день. Такое положение дел связано с наличием у многих государств собственных законов о защите персональных данных, значительно отличающихся друг от друга, и отсутствием практической возможности выработки универсальных требований (так как придется находить компромиссы на государственном уровне).

Государственный комитет Великобритании по стандартизации (BSI Group) был основан в 1901 году. Сегодня это ведущая независимая организация по предоставлению деловых услуг, разрабатывающая стандарты и реализующая решения на их основе в 140 странах мира.

Тем не менее вопрос защиты персональных данных является весьма актуальным во всем мире. BSI Group, вместо того чтобы сводить воедино требования законодательства различных государств, в стандарте BS 10012:2009 описала систему управления персональными данными (СУПД) – ряд основных процессов инфраструктуры безопасной обработки персональных данных в соответствии с британским законом о защите данных (Data Protection Act – DPA).

Получается, что этот стандарт описывает только систему управления и федеральному закону "О персональных данных" не соответствует? Попробуем разобраться.

Data Protection Act и 152-ФЗ

Data Protection Act ("Закон о защите данных") был разработан и принят Парламентом Соединенного Королевства (UK) в 1998 году с целью реализации требований директивы Европарламента и Совета Европы "О защите прав физических лиц при обработке персональных данных и свободном обращении таких данных". Прародительницей этой директивы является конвенция Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных", изданная в 1981 году и ратифицированная Российской Федерацией в 2005 году. Именно с целью реализации международных обязательств, которые возникли в связи с ратификацией этой конвенции, в России и был принят федеральный закон №152-ФЗ "О персональных данных".

Между DPA и 152-ФЗ можно найти определенное сходство. Так, например, DPA дает следующее определение понятию "персональные данные": "Персональные данные – это данные, относящиеся к существующему физическому лицу, которое может быть идентифицировано а) посредством этих данных б) посредством этих данных и другой информации, которая находится или будет находиться в распоряжении контроллера данных". Не смотря на то, что 152-ФЗ дает несколько иное определение, не будем забывать, что согласно законодательству РФ, данные, не позволяющие идентифицировать субъекта, являются обезличенными и не подлежат защите. "Контролер персональных данных" в DPA есть ни кто иной, как "оператор персональных данных" в российском законодательстве.