Защита персональных данных в нотариальной деятельности

Аннотация. В статье рассматриваются следующие вопросы: происходит ли автоматизированная обработка персональных данных в нотариальной деятельности, и можно ли считать нотариуса оператором, обрабатывающим персональные данные в информационной системе персональных данных? От ответов на эти вопросы зависят необходимость применения нотариусами организационно-технических мер по защите персональных данных и обязанность нотариуса известить уполномоченный орган по защите прав субъектов персональных данных. Также затрагивается вопрос о необходимости и целесообразности аттестации или декларирования соответствия информационной системы персональных данных при обработке персональных данных клиентов нотариальной конторы.

Ключевые слова: персональные данные, защита персональных данных, обработка персональных данных, нотариальная деятельность, информационная система персональных данных, декларирование соответствия, аттестация информационной системы.

В 1981 году Совет Европы принял Конвенцию «О защите личности в связи с автоматической обработкой персональных данных». В 2005 году Государственная Дума ратифицировала данную Конвенцию1 , возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельности в области защиты прав субъектов персональных данных. Первым шагом в реализации взятых обязательств стало принятие 27 июля 2006 г. Федерального закона «О персональных данных». Законом устанавливаются общие унифицированные требования к обработке персональных данных во всех сферах, где используются эти данные, определяются права субъектов персональных данных и обязанности операторов, осуществляющих обработку данных, а также меры государственного контроля за деятельностью операторов.

Закон «О персональных данных» (далее — закон о ПДн) ставит большой круг вопросов по его применению в нотариальной деятельности.

Осуществляет ли нотариус автоматизированную обработку персональных данных в информационной системе персональных данных?

Понятие «автоматизированная обработка персональных данных» — это обработка персональных данных с помощью средств вычислительной техники (пункт 4 статьи 3 Закона о ПДн), то есть компьютера. Под обработкой в Законе о ПДн понимается максимально широкий спектр операций над персональными данными, в том числе запись, хранение и удаление. Таким образом, если нотариус пользуется компьютером в своей работе для составления нотариальных документов, то он осуществляет автоматизированную обработку персональных данных клиентов нотариальной конторы. Если не сохранять нотариальные документы в каком-либо виде на жестком диске компьютера, а удалять их сразу после распечатки на принтере, все равно происходит автоматизированная обработка персональных данных, так как персональные данные записываются в оперативную память компьютера, хранятся в ней, а потом удаляются оттуда.

Теперь рассмотрим понятие информационной системы персональных данных. В соответствии с Законом о ПДн информационная система персональных данных — это «совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств» (пункт 10 статьи 3 Закона о ПДн). Разберем составляющие этого определения. В статье 1 Федерального закона «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.08.1992 г. дано определение базы данных: «это объективная форма представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ». Также под базой данных можно понимать совокупность организованных взаимосвязанных данных на машиночитаемых носителях2. Из обоих определений следует, что обработка базы данных осуществляется с помощью компьютера (носители должны быть машиночитаемыми). Если же обработка ведется без использования компьютера и базы данных (машиночитаемых носителей), то формально информационная система отсутствует.

Информационные технологии — это процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (пункт 2 статьи 2 Федерального закона от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации»). Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (в том числе средства изготовления, тиражирования документов и другие технические средства обработки буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и тому подобное), средства защиты информации, применяемые в информационных системах («Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено Постановлением Правительства РФ 17.11.2007 г. № 781 (далее — Постановление Правительства № 781)).

Рассмотрим процесс подготовки нотариального документа на компьютере: присутствуют машиночитаемые носители и машинная память, самое очевидное — запись персональных данных в оперативную память компьютера, при этом используются такие программные средства, как операционная система и текстовый редактор, используется принтер — средство изготовления документа. Таким образом, перед нами — информационная система персональных данных. Следует добавить, что в том случае, если нотариус для составления документов пользуется специализированной программой «Экспресс», то эта программа базируется на таком программном средстве, как система управления базами данных (СУБД) — очень гибкий инструмент работы с данными в базах данных, в том числе в силу использования в СУБД унифицированного языка структурированных запросов SQL4 . СУБД является мощным и самым современным средством автоматизации обработки данных, и именно этот инструмент формирует большое количество записей о клиентах и их обработку.

Из изложенного выше следует, что при применении компьютера в нотариальной деятельности для составления нотариальных документов происходит автоматизированная обработка персональных данных в информационной системе персональных данных.

Позиция Федеральной нотариальной палаты (далее — ФНП) по поставленному вопросу была следующей. В своем письме от 04.06.2009 г. № 861/05-08 ФНП не рассматривала вопрос об осуществлении нотариусом автоматизированной обработки персональных данных. После того, как Федеральным законом от 25.07.2011 г. № 261-ФЗ были внесены изменения в Закон о ПДн, и в нем появилось определение понятия «автоматизированная обработка персональных данных», ФНП в своем письме от 23.12.2011 г. № 2515/07-17 отметила, что нотариус использует в своей деятельности средства автоматизации обработки персональных данных.

Нужно заметить, что, внеся понятие автоматизированной обработки персональных данных в Закон о ПДн, Федеральный закон № 261-ФЗ вместе с тем дал время операторам, которые осуществляли обработку персональных данных до 1.07.2011 г., представить в уполномоченный орган по защите прав субъектов персональных данных необходимые сведения не позднее 1.01.2013 г.

Распространяется ли действие Закона «О персональных данных» на нотариальную деятельность?

В своем письме от 23.12.2011 г. № 2515/0717 ФНП, опираясь на Закон о ПДн, относит нотариусов к операторам персональных данных. Мнение, что нотариус не является оператором персональных данных, основывается на двух тезисах. Первый тезис: законодательство и так требует соблюдения нотариальной тайны, следовательно, безопасность данных, в том числе персональных данных, обеспечивается статьями 5 и 16 Основ законодательства РФ о нотариате, которые предусматривают обязанность нотариуса хранить в тайне сведения, которые стали ему известны в связи с осуществлением его профессиональной деятельности, также Указ Президента от 06.03.1997 г. «Об утверждении Перечня сведений конфиденциального характера» относит сведения, связанные с профессиональной деятельностью нотариуса, к сведениям, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами.

Второй тезис: согласно пункту 2 статьи 1 Закона о ПДн действие данного закона не распространяется на отношения, возникающие при «организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации», а пунктом 4 статьи 22 Федерального закона от 22.10.2004 г. «Об архивном деле в Российской Федерации» записи нотариальных действий отнесены к документам Архивного фонда Российской Федерации до их передачи на постоянное хранение.

Проблема такого подхода заключается в том, что, во-первых, упор делается на конфиденциальность информации, иными словами, о ее неразглашении и сохранении в тайне, но Закон о ПДн, кроме того, требует принятия ряда конкретных мер, чтобы обеспечить безопасность информации, причем конкретной информации — персональных данных. Необходимо заметить, что врачебная тайна также отнесена вышеназванным указом Президента к сведениям конфиденциального характера, однако Закон о ПДн позволяет обрабатывать персональные данные при оказании медицинских услуг только лицу, «профессионально занимающемуся медицинской деятельностью и обязанному в соответствии с законодательством РФ сохранять врачебную тайну» (пункт 4 части 2 статьи 10 Закона о ПДн). То есть конфиденциальность и необходимость обеспечить защиту персональных данных не являются вещами взаимоисключающими.

Во-вторых, не попадает под определение архивных документов то, что сейчас хранится в компьютере нотариуса. С точки зрения Закона «Об архивном деле в Российской Федерации», архивный документ — это «материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства». Информация же в компьютере нотариуса не подлежит хранению и может быть удалена без каких-либо последствий, также она не имеет юридического значения и может быть недостоверной. Информация в компьютере нотариуса и сам компьютер, как сказано выше, являются информационной системой персональных данных (далее — ИСПДн), облегчающей работу нотариуса. Архив нотариальных документов может создаваться и существовать вне зависимости от существования ИСПДн, при необходимости персональные данные субъекта могут быть удалены из ИСПДн без каких-либо последствий, а из документов архива нет. Одна из основных целей создания ИСПДн определена в Основах о нотариате: составлять проекты сделок, заявлений и других документов, изготовлять копии документов и выписки из них.

Подведем итог: информация в компьютере, хотя и имеет материальный носитель, но не является архивными документами в силу определения, следовательно, обработка такой информации не попадает под исключения, на которые не распространяется Закон о ПДн. Обязанность нотариуса хранить нотариальную тайну и необходимость обеспечить защиту персональных данных не являются вещами взаимоисключающими. Закон о ПДн призван охватить максимально большое количество случаев обработки персональных данных. Учитывая вышесказанное, все же следует рассматривать нотариуса как оператора персональных данных.

В соответствии с Законом о ПДн оператор обязан уведомить уполномоченный орган об обработке персональных данных. Территориальные отделы Роскомнадзора обладают доступными и законными способами установить факт деловой активности лица (оператора): запросить необходимую информацию у оператора, провести плановую проверку, а также проверку по жалобам и обращениям физических и юридических лиц. Отсутствие уведомления от оператора Роскомнадзор вправе расценить как административное правонарушение, предусмотренное статьей 19.7 Кодекса РФ об административных правонарушениях (далее — КоАП).

Декларирование соответствия, аттестация информационной системы персональных данных

В связи с утверждением приказом ФСТЭК (Федеральной службы по техническому и экспортному контролю) России от 05.02.2010 г. № 58 «Положения о методах и способах защиты информации в информационных системах персональных данных» более не применяются ранее изданные методические документы ФСТЭК.

Таким образом, с 16.03.2010 г. методы и способы защиты информации в ИСПДн, наряду с указанным положением, устанавливаются ФСТЭК в следующих документах:

• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утв. ФСТЭК 15.02.2008 г.;
• «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утв. ФСТЭК 14.02.2008 г.

Положение о методах и способах защиты информации в информационных системах персональных данных внесло важное изменение: отменена обязательная аттестация ИСПДн вне зависимости от классов. Это важно, так как стоимость проведения таких процедур достаточно велика и измеряется сотнями тысяч рублей.

Необходимо подчеркнуть, что в соответствии со статьей 19 Закона о ПДн оператор, тем не менее, обязан применять средства защиты, прошедшие в установленном порядке процедуру оценки соответствия, то есть имеющие сертификат соответствия ФСТЭК; такое же требование содержится в Постановлении Правительства № 781. Ответственность оператора за использование несерти- фицированных средств защиты предусмотрена пунктом 2 статьи 13.12 КоАП, санкция предусматривает штраф, а для юридических лиц также предусмотрена конфискация не- сертифицированных средств защиты.

Закон не требует наличия сертификата соответствия у специального программного обеспечения, участвующего в обработке ПДн, используемого оператором при обработке персональных данных, в частности, для составления нотариальных документов. Сертификация необходима для средств защиты, и ее проводит разработчик этого средства. При выборе средств защиты следует учитывать срок действия сертификата. Перечень сертифицированных средств защиты с указанием срока действия сертификатов размещен на сайте ФСТЭК России — www.fstec.ru

Помимо дорогостоящей аттестации информационной системы персональных данных, Федеральным законом от 27.12.2002 г. «О техническом регулировании» предусмотрен другой способ оценки соответствия по требованиям безопасности информации — декларирование соответствия безопасности обработки персональных данных в ИСПДн.

Декларирование соответствия — это подтверждение соответствия характеристик информационной системы персональных данных предъявляемым к ней требованиям, установленным законодательством, руководящими и нормативно-методическими документами ФСТЭК и ФСБ. Декларирование соответствия может осуществляться на основе собственных доказательств или доказательств, полученных с участием привлеченных организаций, имеющих необходимые лицензии. В случае проведения декларирования на основе собственных доказательств оператор самостоятельно формирует комплект документов, таких как техническая документация, другие документы и результаты собственных исследований, послужившие мотивированным основанием для подтверждения соответствия информационной системы персональных данных всем необходимым требованиям.

Однако обязательность соответствия требованиям Закона «О техническом регулировании» для технических средств, в том числе программно-технических средств и средств защиты информации, предназначенных для обработки информации, установлена Законом «Об информации, информационных технологиях и о защите информации» для обработки информации, содержащейся в государственных информационных системах.

Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора (абзац 2 пункта 3 Постановления Правительства № 781). Документами, подтверждающими факт использования сертифицированных средств защиты, которые могут быть в нотариальной конторе, являются копия сертификата ФСТЭК, формуляр на сертифицированное средство защиты, промаркированный специальным защитным знаком соответствия ФСТЭК (голографи- ческая марка). По сути получение таких документов и проведение организационно- технических мер по защите персональных данных являются частью процедуры декларирования соответствия. Таким образом, декларация соответствия является формальным признаком достаточности принятых мер по обеспечению безопасности персональных данных при их обработке в ИСПДн при проведении государственного контроля и надзора, и, как видится, наличие декларации является не обязательным, но желательным.

Необходимость обеспечения безопасности персональных данных в наше время — это объективная реальность. Использование информационных технологий достигло такого уровня, что компьютерный злоумышленник может узнать нотариальную тайну, даже не заходя в нотариальную контору. Таким образом, защита информации и защита персональных данных — это требование времени, общества, бизнеса и государства, и для того, чтобы нотариат был нужен и полезен обществу в будущем, не следует отказываться от применения информационных технологий, а, наоборот, необходимо научиться использовать их эффективно и безопасно.

THE PROTECTION OF PERSONAL DATA IN NOTARIAL ACTIVITIES

K.A. Pechko

ANNOTATION. The paper discusses the questions: Is there an automated processing of personal data in the notarial activity, and — can notary be considered as an operator, who processes personal data in the information system of personal data. The necessity for notaries of applying organizational and technical measures, in order to protect personal data, and the obligation to notify the public authorized agency of protecting the rights of subjects of personal data depends on answers on the risen questions. Furthermore, in the given article we scrutinize the issue of necessity and appropriateness of certification or declaring the equivalence of the informational system of personal data when processing the Clients' personal data.

Keywords: personal data, protection of personal data, the processing of personal data, notarial activities, the information system of personal data, declaring of equivalence, certification of the information system.