«Что лучше – не иметь закона, или иметь закон, на который нет денег?»
В пятницу, 6 февраля, Российский союз ИТ-Директоров (СоДИТ), совместно с институтом современного развития (ИНСОР) и Ассоциацией защиты информации (АЗИ) провел в Москве семинар «Требования и правоприменительная практика выполнения законодательства о персональных данных».
На этом мероприятии планировалось рассмотреть как юридические «аспекты» применения закона «О персональных данных», так и «технические». К первым были отнесены рассмотрение законодательной основы для осуществления деятельности по защите персональных данных, требований, действующих нормативных актов по защите персональных данных, предъявляемые к сертификации средств защиты информации, вопросов по защите прав субъектов персональных данных и т.п. Здесь своим опытом делились сотрудники Государственной Думы РФ, Федеральной службы безопасности (ФСБ) РФ, Федеральной службы в сфере связи и массовых коммуникаций (Россвязькомнадзор), аппарата Совета Безопасности РФ и пр.
Так, ведущий советник аппарата комитета по безопасности Государственной Думы РФ Елена Волчинская отметила, что вопросы использования персональных данных, обращения с ними и т.п., регламентируют около 30 законов. Основными из них являются «Об информации, информационных технологиях и защите информации», «О лицензировании отдельных видов деятельности». Кроме того, существуют подзаконные акты и различные методические документы. Между всеми ними существуют определенные противоречия. В частности, согласно закону «О персональных данных» эти данные можно трактовать, как самостоятельный режим ограниченного пользования, на подобии, например, конфиденциальности. Соответственно возникает проблема в соотношении режимов, которая заключается в необходимости «вынесения» персональных данных из других режимов. По мнению г-жи Волчинской, такой подход неверен – персональные данные – это не режим, а информация. Еще одна отмеченная ведущим советником нестыковка имеет отношение к конфиденциальности информации. А именно, в законе «Об информации, информационных технологиях и защите информации» указывается, что персональные данные не должны передаваться без согласия субъекта, а в законе «О персональных данных» уже отмечается, что оператор персональных данных не должен допускать их распространения.
Еще одной острой «юридической» проблемой был назван вопрос лицензирования. Дело в том, что закон «О персональных данных» не предусматривает лицензирования деятельности оператора персональных данных. С другой стороны, есть закон «О лицензировании отдельных видов деятельности», согласно которому в определенных случаях, например, когда оператор обрабатывает персональные данные не только в собственных целях, защита персональных данных подлежит лицензированию. А по оценкам Россвязькомнадзора, операторами персональных данных являются около 3 млн российских компаний и организаций (ряд экспертов называет другое число – порядка 7 млн). Стоит также отметить, что операторам персональных данных будет сложно обосновать использование этих данных только для собственных нужд. То есть всем операторам придется получать соответствующие лицензии ФСБ и ФСТЭК. По крайней мере до тех пор, пор пока вопрос лицензирования не будет разъяснен в законах «О персональных данных» и «О лицензировании отдельных видов деятельности».
Помимо таких сугубо юридических проблем Елена Волчинская назвала еще несколько трудностей, с которыми придется столкнуться операторам персональных данных. Одна из них – организационно-финансовая. Так, многие компании и организации не успели включить в свой бюджет на 2009 год затраты на создание систем по защите персональных данных. Поэтому в текущем году они могут не успеть их создать. Особенно, с учетом финансового кризиса. Еще хуже обстоит ситуация с органами власти и бюджетным организациям. При разработке и утверждении закона «О персональных данных» Правительство РФ обещало, что бюджетным организациям средства на приведение своих информационных систем в соответствие с требованиями закона не потребуются. Как оказалось, это обещание не соответствует действительности – в бюджетной сфере нет условий для выполнения требований закона. Их надо создавать, что потребует определенных инвестиций, не предусмотренных бюджетом. Здесь заведующий кафедрой МГИМО, АНХ РФ Андрей Коротков (являясь заместителем министра связи и информационных технологий принимал участие в подготовке закона «О персональных данных») отметил, что да действительно, когда разрабатывался закон, приходилось писать, что денег для бюджетных организаций не потребуется. Иначе разработчикам не удалось бы согласовать проект закона с профильными комитетами. «Что лучше – не иметь закона, или иметь закон, на который нет денег?»
В свою очередь начальник управления по защите прав субъектов персональных данных Россвязькомнадзора Лариса Ваильева поделилась первым опытом правоприменительной практики по защите прав субъектов персональных данных – то есть граждан. По ее словам, под надзор должны попасть от полутора до трех миллионов компаний и организаций, являющихся операторами персональных данных. В прошлом году Россвязькомнадзор провел 76 проверок таких операторов. При этом 19 проверяемым были выписаны предписания об устранении обнаруженных нарушений, а пять административных дел были переданы в суд.
По данным Россвязькомнадзора, лидерами по нарушениям стали банки и финансовые организации. Причем, нарушения касались не технических моментов, а организационных. Речь идет о том, что, например, те же банки занимались передачей и распространением персональных данных. В частности, сообщали соответствующие сведения другим банкам о должниках по кредитам. Второе место по нарушениям заняли предприятия жилищно-коммунального хозяйства, а третье и четвертое поделили операторы связи и страховые компании.
Также на семинаре было отмечено, что органы контроля за операторами персональных данных, а к ним относятся помимо Россвязьнадзора ФСб РФ и ФСТЭК РФ, в перспективе планируют совместно или одновременно проводить проверки.
Г-жа Васильева заявила также, что ее ведомство не может эффективно контролировать деятельность операторов персональных данных. Причина в отсутствии административного ресурса, в отсутствии прав возбуждать в случае необходимости административные дела. К таким случаям были отнесены, в частности, действия операторов обработке персональных данных без согласия субъектов этих субъектов, запрету доступа субъектов к своим персональным данным и т.п.
Что касается «технической» части семинара, то здесь слово получили четыре компании: LETA IT-company, «Прософт-Системы», «СофтИнформ» и «Лаборатория Касперского». Стоит отметить, что организаторы мероприятия, и в начале и входе его проведения, просили участников представить на рассмотрение слушателей конкретные рекомендации по выполнению требований закона «О персональных данных». В «технической» части мероприятия это удалось не всем. Если, например, LETA IT-company хотя бы рассказала о пилотном проекте по созданию системы защиты персональных данных, то остальные, по сути, просто рассказывали о предлагаемых ими продуктах услугах.
По результатам семинара СоДИТ планирует в течение двух ближайших недель подготовить итоговый документ, который с одной стороны может стать сборником рекомендаций для компаний и организаций по выполнению требований закона «О персональных данных», а с другой – а с другой может послужить отправной точкой для выработки поправок к действующему законодательству в области персональных данных.
Опубликовано 09.02.2009