7 июля 2011 г.

Предприниматели боятся переложить на профессионалов заботы по соблюдению введенного с 1 июля в действие закона о персональных данных. Ничем, кроме как очередной фобией IT-рынка, объяснить это нельзя.

С 1 июля 2011 года в соответствии с Федеральным законом Российской Федерации от 27.06.2006 г. № 152-ФЗ "О персональных данных", все компании, в информационных системах которых хранятся и обрабатываются персональные данные граждан, должны привести свои информационные системы в соответствие с требованиями данного закона.

А требования, в частности, таковы: "В случае выявления неправомерных действий с персональными данными, оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений, оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также в указанный орган".

В переводе с юридического на русский это означает: все организации (от банка до химчистки), имеющие дело с персональными данными граждан, обязаны обеспечить их защиту под страхом, в лучшем случае, уничтожения данных о клиентах.

Требования, предъявляемые к организациям, работающим с данными граждан, вполне понятны. Они определены международными соглашениями. В Европе с защитой персональных данных очень строго, и Россия присоединилась к международным соглашениям вместе со странами Евросоюза.

Что это значит на практике? Все очень просто. Если в гостинице у вас попросили паспорт, ввели данные в компьютер, не имеющий соответствующей защиты, - штраф. Если попросили данные в автосалоне - то же самое.

Штрафы немаленькие. Они зависят от количества обрабатываемых субъектов персональных данных - по-моему, около 5 тысяч рублей на одного субъекта. Для среднего бизнеса это более чем серьезный риск.

О банках и страховых компаниях я уже и не говорю (тьфу-тьфу-тьфу). Впрочем, они-то рисковать не могут, и потому давно озаботились проблемой, защитили данные и тем обезопасили себя от будущих проверок.

Главный удар - по другим. Тем, кто работает с населением, но требования закона пока не учел. Кто это? Да мы все. Начиная от лично нас, организующих автоматизированные рабочие места, и заканчивая - в прямом смысле слова - поставщиками плюшек на завтрак, если эти завтраки выдаются сотрудникам поименно.

Небольшие компании можно понять: внедрение сертифицированных программных продуктов для них весьма дорого, иногда - неприемлемо дорого. А передача защиты персональных данных клиентов стороннему подрядчику воспринимается как большой риск.

Результат модельного расчета: сравнительная стоимость покупки интеграционного решения для защиты ПД в условной компании и получения этой услуги путем аутсорсинга
Результат модельного расчета: сравнительная стоимость покупки интеграционного решения для защиты ПД в условной компании и получения этой услуги путем аутсорсинга

Но так ли это на самом деле? Давайте подумаем вместе.

Начнем с того, что люди боятся отдавать хранение персональных данных "на сторону", потому что боятся утечек информации. Забывая одну простую вещь: 90% утечек информации происходит по внутренним причинам, и лишь 10% - по внешним. Соответственно, чем меньше в организации людей имеют возможность доступа к обработке и хранению персональных данных, тем лучше.

Если же говорить о стоимости, картина еще более печальная. Мы произвели модельный расчет. Если компания покупает готовое интеграционное решение по защите персональных данных, она сразу платит; если отдает услугу на аутсорсинг - это платеж в рассрочку, причем деньги обычно - даже меньшие. Вот подготовленный нашими маркетологами модельный расчет стоимости интеграционного проекта и услуг по аутсорсингу защиты персональных данных на три года, а также сроки реализации обоих вариантов.

Экономия, обеспечиваемая аутсорсингом
Экономия, обеспечиваемая аутсорсингом

Очевидно, что основный выигрыш заказчик получает в первый год - в силу отсутствия крупных затрат на закупку техники и внедрение системы. Далее выигрыш не столь существен, однако экономия остается.

Мне кажется, что для среднего бизнеса экономический эффект очевиден. Почему же предприниматели не призывают для решения данных задач внешних исполнителей, предпочитая решать их силами своих специалистов не самой высокой квалификации - подчас студентов?

Очевидно, это очередная фобия IT-рынка. Люди просто боятся думать, что закон может заработать, и им не удастся по-прежнему жить вне правового поля. И боятся признаться самим себе, что все их страхи по поводу приглашения внешних подрядчиков для решения вопросов информационной безопасности попросту надуманы.