Европейское законодательство в данной сфере (Директива Евросоюза 95/46/EC 1995 г.) в этом отношении более четкое:
Статья 2 "Определения": "системой хранения персональных данных ("системой хранения") является любой структурированный набор персональных данных, доступ к которым может осуществляться в соответствии с определенными критериями, - вне зависимости от способа организации набора данных, будь то централизованный, децентрализованный или распределенный на функциональной или географической основе…".
Статья 3 "Область применения": "1. Настоящая Директива относится к обработке персональных данных при помощи автоматических средств (полностью или частично), а также к обработке средствами, отличными от автоматических, персональных данных, составляющих или предназначенных составлять часть систем хранения".
В современной компьютерной терминологии под "структурированными данными" понимаются, в первую очередь, базы данных. В бумажном делопроизводстве к ним можно отнести картотеки и архивы персональных дел. Таким образом, европейские требования относятся к автоматической обработке персональных данных и к использованию (неважно, в автоматическом или ином режиме) содержащих персональные данные бумажных и электронных баз данных, картотек и т.п., имеющих механизм поиска, позволяющий легко выделить сведения о конкретном человеке.
Почему это нельзя было написать русским языком и в нашем законе, остается непонятным?
Следует обратить внимание и на различие в терминологии: "автоматическая обработка" - это одно, а обработка "с использованием средств автоматизации" - совсем другое понятие, гораздо более широкое и расплывчатое.
Ст.1 п.2, предусматривает четыре исключения на отношения, действие закона на которые не распространяются. Два из этих пунктов, по моему мнению, требуют более детального уточнения:
"…2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования, содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя…".
Напомню два определения, закрепленные Федеральным Законом "Об архивном деле в Российской Федерации" №125-ФЗ от 22.10.2004 г.:
-архивный документ - материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства;
-документ Архивного фонда Российской Федерации - архивный документ, прошедший экспертизу ценности документов, поставленный на государственный учет и подлежащий постоянному хранению.
Получается, что если документу или базе данных установлен постоянный срок хранения и они включены в состав Архивного фонда Российской Федерации, то на них действие данного закона не распространяется. Эта брешь позволяет государственным органам, ведущим хоть сколько-нибудь серьезные базы данных, избежать исполнения нового закона о персональных данных.
Вот пример того, как это можно сделать. Согласно Федеральному закону "Об архивном деле в Российской Федерации" (часть 2 статьи 18) Правительством РФ утверждается перечень федеральных органов исполнительной власти и организаций, осуществляющих депозитарное хранение документов Архивного фонда РФ, находящихся в федеральной собственности. Новый перечень этих ведомств и организаций был утвержден в конце 2006 года. Одновременно этим организациям было предписано заключить с Росархивом договор об условиях хранения документов. Если при заключении договора особо оговорить, что все документы, кроме оперативных, считаются документами, переданными на депозитарное хранение, то можно основную массу документов подвести под данное исключение.
Для других государственных организаций одним из вариантов может стать оперативное согласование описей дел с государственными архивами, что фактически и будет означать включение документов в состав Архивного Фонда РФ и опять-таки уход из "зоны действия" закона о персональных данных.
Директивы Евросоюза подобного исключения не содержат.
Непонятно также, почему из многочисленных государственных баз данных нашим законом исключение было сделано именно для Единого государственного реестра индивидуальных предпринимателей (ЕГРИП). Было бы логично тогда распространить исключение и на другие государственные реестры, также содержащие персональные данные (например, ЕГРЮЛ включает сведения об учредителях и первых лицах всех юридических лиц страны).
В гл.3 ст.16 п.1 говорится о том, что "запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы…". Данная норма является необходимой и своевременной. Но наши законодатели, формулируя ее, спутали два разных понятия: "автоматический" (т.е. идущий без участия человека) и "автоматизированный" (т.е. идущий с участием человека). В результате данная статья вместо того, чтобы устанавливать дополнительные ограничения в тех и только тех случаях, когда информационная система принимает какие-либо решения без участия человека (например, о начислении штрафа, о запрете выезда за пределы страны и т.д.).
Следующий нормативно-правовой акт, имеющий колоссальное значение в сфере делопроизводственной службы – Федеральный Закон "О коммерческой тайне" от 29 июля 2004 г. №98- ФЗ (Приложение 4).
Его появление ожидали почти шесть лет. Краткая история принятия закона позволит проследить формирование его основных целей и сфер действия, связанных с охраной коммерческой тайны, и соответственно с организацией и документационным обеспечением ее защиты.
Первый вариант закона был принят Госдумой 22 января 1999 года и Советом Федерации направлен Президенту Российской Федерации без рассмотрения на пленарном заседании. Однако Президент Российской Федерации 23 февраля отклонил Федеральный закон "О коммерческой тайне", наложив вето на введение его в действие, высказав ряд замечаний и возражений по тексту и концепции закона, отмечая, что вопросы, связанные с защитой информации, имеющей ограниченный доступ, в том числе коммерческой тайны, в достаточной степени урегулированы Гражданским кодексом ГК РФ (ст. 139, 727, 771 и 772) и другими законодательными актами Российской Федерации, ст. 139 ГК РФ устанавливает, что законодательно могут быть решены только вопросы определения перечня информации, которая не может составлять коммерческую тайну, а также вопросы защиты коммерческой тайны, в связи, с чем подход в рассматриваемом законе неправомерен.
Принятый 29 июля 2004 года Федеральный закон № 98-ФЗ "О коммерческой тайне" определяет:
Коммерческая тайна-конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Одной из основных целей действия Федерального закона является охрана конфиденциальности информации, составляющей коммерческую тайну, для решения двух основных задач общества:
-обеспечение баланса интересов обладателей данной информации и других участников, в том числе и государства, регулируемых законом отношений, на рынке товаров, работ, услуг;
-предупреждения недобросовестной конкуренции на указанном рынке.
Охрана конфиденциальности информации определена законом в трех видах в зависимости от характера отношений между обладателем информации, составляющей коммерческую тайну, и другими участниками:
-в рамках трудовых отношений (ст.11);
-в рамках гражданско-правовых отношений (ст.12);
-при предоставлении информации государству ( в рамках данного закона) (ст.13).
Комплекс мер в соответствии с Федеральным законом "О коммерческой тайне" (ст.10) включает в себя:
1) Определение перечня документированной информации, составляющей коммерческую тайну.
В данный перечень включается информация:
- научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, определенная данным законом;
- определяемая самим обладателем коммерческой информации, которая имеет действительную или коммерческую ценность в силу неизвестности ее третьим лицам.
При составлении данного перечня необходимо исходить из трех основных принципов: законности, обоснованности и своевременности придания коммерческой информации конфиденциальности, т.е. отнесения ее к коммерческой тайне. Принцип законности заключается в соблюдении мер по охране конфиденциальности информации, составляющей коммерческую тайну, в соответствии со ст.10 Федерального закона "Охрана конфиденциальности информации" и не отнесения информации к коммерческой тайне в соответствии со ст. 5 Федерального закона "Сведения которые не могут составлять коммерческую тайну"
Принцип обоснованности устанавливается путем экспертной оценки целесообразности придания конфиденциальности конкретной информации, исходя из вероятных последствий ( экономических, финансовых, кризисных) этого акта и баланса экономической выгоды и безопасности организации (включая информационную безопасность).