Итак, на сайте МКС появился раздел с разъяснениям по многократно обсуждавшемуся за последний год (так и хочется добавить "скандальному") 242-ФЗ, обязывающего операторов персональных данных хранить эти данные на территории России.
Сразу отмечу, что речь там идет не о поправках в закон, а о разъяснениях (толкованиях) закона министерство. И раздел, по замыслу его авторов, представляет собой некоторый постоянно действующий ресурс, где все желающие могут задать вопрос и ожидать появление там ответа. Кроме того, есть ответы МКС на "часто задаваемые вопросы".
[spoiler]
Из анализа текущего содержимого раздела возникает целый ряд вопросов и выводов.
1. На этом примере видна давняя слабость нашего законодательства: его двусмысленность и отсутствие конкретности, изначальная ориентация на необходимость использования подзаконных актов, которые легко могут обойтись с законом, как в известной русской поговорке: "Закон – что дышло, куда повернешь, туда и вышло". Об этом говорилось и на этапе обсуждения законопроекта и после его принятия. Собственно, почти весь год после его принятия (летом прошлого года) все разговоры были именно о том – как именно нужно понимать его положения, к чему готовиться.
2. Но если уже у нас система законодательства не может обходиться без подзаконных актов, то почему ответственное за это дело министерство дает давно необходимые (и давно требуемый общественностью!) пояснения с задержкой в год, за месяц до вступления закона в силу? Чтобы все оказались "вне закона", и с ними можно было делась все, что захочет ведомство по собственному вкусу?
3. Как известно, данный закон принимался с официально декларируемой целью защиты ПД россиян от зарубежных врагов. Но уже тогда эксперты говорили, что закон не повышает уровня защищенности данных, в том числе и от иностранных происков.
Разъяснения МКС сейчас наглядно подтверждают эти тогдашние выводы. Выясняется, что копии российский баз данных вполне могут храниться за границей. Из этого можно сделать вывод, что "компетентные органы" отнюдь не озабочены защитой данных от кого-то, им нужно лишь то, чтобы такие данные находится с пределах достигаемости с "нашей" стороны.
4. В весьма пространных разъяснениях МКС обходится один из главных вопросов по 242-ФЗ: как именно нужно трактовать понятие ПК и на какие конкретно категории ПД он распространяется. Вопрос этот обсуждался не раз, но ответа на него до сих пор нет. Проблема в том, что наше законодательство трактует этот вопрос так широко и расплывчато, что под ПД при желании могут попасть чуть ли не любые данные вообще. В то же время в законодательствах других стран обычно четко отделяются "публичные ПД" и "непубличные ПД". К первым, например, относится имя и фамилия, идентификационные государственные номера (номер паспорта, номер социального страхования), по желанию человека – адреса его электронной почты и телефона. Т.е. это данные, по которым нельзя идентифицировать человека, без использования информации, находящейся в ведении государства.
В целом же надо сказать: разъяснения МКС, если и вносят какую-то ясность в закон, но явно недостаточную. Как водится у нас, то, что на самом деле означает 242-ФЗ, как он будет реально применять, какие именно случаи попадают под его действие, мы увидим только после вступления его в силу. Да и то не сразу.