Как отмечено в «Предложениях по внесению изменений в закон о защите персональных данных», разработанных экспертами АРОС, ключевой проблемой закона является избыточное администрирование отношений в этой сфере. В частности, согласно закону, Правительство РФ должно разработать требования к абсолютно всем информационным системам, обрабатывающим персональные данные (п.2, ст.19 ФЗ), включая как государственные, так и коммерческие системы. При этом введенное законом определение «оператор персональных данных» (пп.2, п.3 ФЗ) распространяет его на сотни тысяч учреждений социальной сферы, транспорта, образования, а также на государственные и частные, коммерческие и некоммерческие предприятия, общественные организации. Для каждого вида деятельности государство должно установить требования, исходя из его специфики, а затем контролировать их выполнение – задача практически невыполнимая, учитывая сложность предмета регулирования.

Предложения, разработанные АРОС, предусматривают внесение в закон существенных поправок и изменений. Так, АРОС предлагает прежде всего разделить субъектов обработки персональных данных – на государственные и негосударственные (коммерческие структуры).

В первом случае – для государственных информационных систем - вполне логичным представляется установление компетентными государственными органами требований для обработки персональных данных. Гражданин, даже давая свое согласие на обработку персональных данных госструктурами, действует безальтернативно, и поэтому представляется обоснованным, чтобы для государственных органов или иных организаций, оказывающих населению госуслуги, требования к защите доверенных им персональных данных устанавливались государством. Такой подход соответствует и европейскому пониманию защиты интересов граждан в этой сфере, и, прежде всего - как их защиты от возможных злоупотреблений со стороны государства, особенно в случаях, когда они вынуждены предоставлять свои персональные данные в обязательном порядке в рамках установленных административных процедур.

Но когда потребитель вступает в отношения с коммерческими организациями, действующими в условиях рынка, он самостоятельно делает выбор и принимает решение о достаточной или недостаточной степени защиты ими его персональных данных, о соответствии цены услуги желаемой им самим и предлагаемой степени защиты. Соответственно, полная регламентация действий оператора персональных данных по их защите здесь избыточна (и, как показывает анализ - она все равно не охватывает всего разнообразия двусторонних и многосторонних ситуаций, включая агентирование).

Кроме того, АРОС предлагает провести серьезную работу по уточнению самого понятия «персональные данные», чрезмерно расширительно толкуемое законом. Такое определение, по мнению АРОС, приводит к противоречию ряда норм закона с ч.1 ст.24 Конституции РФ, безальтернативно запрещающей обработку информации о частной жизни лица без его согласия.

Требует переработки и устанавливаемый законом запрет на обработку биометрических персональных данных граждан без их согласия (п.1 ст.11), при том, что к таким данным вполне могут быть отнесены их фото- или видеоизображения, как индивидуальные, так и в толпе. Безусловно, такое категоричное регулирование нельзя признать удовлетворительным, поскольку оно не учитывает права и законные интересы других лиц, включая конституционное право на получение информации, в том числе препятствуя деятельности СМИ.

На данный момент предложения АРОС по корректировке Закона направлены в Министерство информационных технологий и связи РФ, а также в профильные комитеты Государственной Думы.

Президент Ассоциации региональных операторов связи Юрий Домбровский:

«Закон о персональных данных в его нынешнем виде практически не работает, по сути он «разбился» об административные барьеры, им же самим установленные. Изначально, его идея была в том, чтобы упорядочить и повысить эффективность работы всего множества участников системы обработки персональных данных, и тем самым - защитить права каждого гражданина в этой сфере. Однако в результате излишняя регламентация и администрирование создали ситуацию, при которой для «запуска» закона необходимо регламентировать такие сферы и виды деятельности, которые никогда и никем не были регламентированы. Под действие закона, к примеру, подпадает работа кондуктора в поезде, сортирующего билеты c ФИО пассажиров, не говоря уже о множестве коммерческих и некоммерческих структур, в той или иной степени имеющих дело с персональными данными своих клиентов.

Мы разработали целый пакет предложений, реализация которых, на наш взгляд, позволит «разблокировать» закон. Мы готовы активно включиться в доработку положений закона на уровне Минкомсвязи, а также профильных комитетов Государственной Думы».