В конце концов под их давлением закон урезали и идентификаторы убрали. Посмотрим же, что осталось.
Основная идея закона – обеспечить особый правовой режим для тех данных, которые позволяют идентифицировать личность человека. Кроме фамилии, имени, отчества и других «паспортных данных» в этот перечень может попасть довольно большой объем информации.
Закон выделяет несколько особых видов такой информации. В первую очередь это так называемые данные «специальных категорий»: те сведения, которые касаются расовой или национальной принадлежности человека либо его политических, религиозных или философских убеждений. Сюда же включена информация об интимной жизни и состоянии здоровья. Еще законом предусмотрена «биометрическая» информация – данные о «физиологических особенностях человека, на основании которых можно установить его личность». Учитывая современный уровень развития технологий, это могут быть практически любые сведения о человеческом теле, прежде всего это, конечно же, ДНК и отпечатки пальцев. Для таких особых категорий данных установлен специальный порядок получения, который предполагает письменное согласие их обладателя. Кроме этого, письменное согласие требуется для включения данных в общедоступные источники, например в телефонную книгу. Впрочем, организации связи уже и так это делают: такой порядок предусмотрен законом «О связи».
Еще один из интересных моментов этого закона – то, что в нем описаны ситуации, когда решение, затрагивающее права человека, может быть вынесено исключительно на основании машинной обработки информации, проще говоря, машиной, без участия оператора. Правда, сложно сказать, где, кроме научной фантастики, такое возможно, но закон это уже предусматривает.
Вообще закон в основном закрепляет тот порядок обращения с персональными данными, который уже сложился фактически. Так, хотя теоретически на действия с персональными данными человека необходимо получить его согласие, законом предусмотрен широкий перечень случаев, когда этого не требуется. Например, спрашивать никого не надо, если происходит обработка общедоступной информации, то есть такой, которая уже стала известной неограниченному кругу лиц. Если организация действует в интересах клиента и выполняет заключенный с ним договор, она тоже может обрабатывать сведения о нем без его согласия. Кроме того, не обязаны получать «добро» от «субъекта данных» журналисты, занятые своей профессиональной деятельностью, а также научные и творческие работники.
Специальной нормой упорядочено использование личной информации в целях распространения рекламы или политической агитации. Для этого также требуется согласие носителя данных, которое обязан доказать распространитель рекламы: фактически это означает, что согласие тоже должно быть письменным.
Если организация (в законе именуемая «оператором данных») желает обрабатывать личную информацию, она должна уведомить об этом уполномоченный орган, следящий за соблюдением прав в этой области. От необходимости делать это избавлен довольно большой круг организаций, например те, которые обрабатывают исключительно сведения о своих работниках или клиентах. Не должны никого уведомлять общественные и религиозные объединения, оперирующие данными о своих членах. Список таких организаций, подавших уведомление, должен быть открытым, чтобы каждый мог проверить, есть ли у оператора что-либо о нем, и внести исправления, если информация неверна. По запросу человека его личные данные могут быть вообще удалены из базы.
Единственным большим неудобством закона может стать необходимость получения лицензии на работу с конфиденциальной информацией в порядке, предусмотренном законом «О лицензировании отдельных видов деятельности». Причем формальные требования таковы, что лицензию должны будут получить буквально все частные лица и организации, которые в той или иной форме собирают имена своих клиентов. Крупные игроки, разумеется, их получат, но то же самое обязаны будут сделать буквально все организации, записывающие имена своих работников, а также владельцы сайтов с регистрацией. В принципе на сайтах проблема может быть решена чисто организационными или техническими методами. Например, можно предупреждать пользователя, что введенная им личная информация публикуется на сайте открыто и поэтому является общедоступной: в этом случае обеспечивать ее конфиденциальность и получать лицензию не требуется.
