Закон «О персональных данных» перепишут в очередной раз
Федеральный закон № 152, направленный на обеспечение защиты персональных данных, обрабатываемых компаниями и организациями, должен вступить в силу в полном объеме сегодня, 1 июля. Причем именно с сегодняшнего дня защита данных должна быть организована в соответствии с названным законом и подзаконными актами.
Напомним, сам ФЗ № 152 частично действует уже пять лет. Однако введение в силу всех его положений неоднократно откладывалось по ряду причин. В частности, не были своевременно подготовлены регламентирующие подзаконные акты, определяющие, как компании и организации должны выполнять требования закона. Это привело к повальной неготовности операторов ПДн к выполнению требований ФЗ № 152. А к таким компаниям относится фактически любая организация, имеющая дело с данными своих клиентов.
В конце 2009 года депутаты Госдумы перенесли вступление закона в силу — с 1 января 2010 года на 1 января 2011 года. Предполагалось, что за год будут решены технические трудности, а компании и организации озаботятся приведением своих систем защиты в соответствие требованиям законодательства.
В результате, существенных изменений за год не произошло, а компании и организации заняли выжидательную позицию — работы по построению систем защиты персональных данных провели единицы, остальные же ждали новой отсрочки. В конце прошлого года они ее получили — новый срок вступления в действие закона в полном объеме был перенесен на 1 июля.
Стоит отметить, что все это время многие игроки рынка информационной безопасности, на которых в значительной степени ложились вопросы построения систем защиты персональных данных, говорили о необходимости доработки закона. Например, Ассоциация региональных операторов связи (АРОС) предлагала разделить субъекты обработки персональных данных на государственные и негосударственные (коммерческие) структуры. Для первых, по данной концепции, требования по защите ПДн должны устанавливаться государством, а для вторых должны действовать рекомендации.
В целом, предложений было не мало. Тем не менее, закон вступает в силу в том виде, в котором он был подготовлен полгода назад.
«Думаю, что к настоящему времени определенная группа крупных компаний–операторов персональных данных, а в эту категорию попадает практически любая организация, уже разобрались с требованиями законодательства и используют средства защиты ПДн. Даже если эти компании сейчас не полностью соответствуют требованиям законодательства, то вполне готовы к тому, чтобы быстро доработать свои системы под требования закона», — пояснил BFM.ru генеральный директор компании «Онланта» Сергей Таран.
По его мнению, неготовность операторов ПДн связана с неоднократным переносом сроков проверок. «Это притупило бдительность компаний и привело к боязни ответственности. Все ждут — будут ли проверки. Если будут, то операторы ПДн быстро все сделают», — говорит Сергей Таран.
Чтобы соответствовать ФЗ № 152, необходимо реализовать комплекс организационно-технических мер по обеспечению защищенности обработки персональных данных, поясняет он. «Организационные меры включают в себя ознакомление всех сотрудников, участвующих в обработке ПДн, с тем, что теперь они несут ответственность за утечки соответствующей информации, ее разглашение и т. д. Также должен быть построен соответствующим образом документооборот, включая правила хранения бумажных копий. Технические меры предусматривают организацию защищенного по российским стандартам и с использованием российских алгоритмов криптозащиты доступа пользователей информационных систем к тем разделам, в которых хранятся и обрабатываются персональные данные».
О том, что к возможным проверкам готовы далеко не все, говорит и руководитель направления информационной безопасности компании «Крок» Михаил Большаков. «На сегодняшний день, по оценкам экспертов, порядка 5-7 млн организаций в России являются операторами персональных данных. К проверкам же готовы единицы. В условиях постоянных изменений требований даже те немногие операторы, которые привели свои информационные системы в соответствие требованиям законодательства, были вынуждены вносить корректировки в свои программы в соответствии с произошедшими изменениями», — рассказал он BFM.ru.
По его словам, для соответствия требованиям закона необходимо реализовать процесс получения согласия субъектов персональных данных на обработку и внедрить институт взаимодействия с субъектами и регулирующими органами. Кроме того, необходимо четко определить и следовать целям обработки персональных данных, обеспечивая безопасность всех проводимых с ними операций.
«Мы в своей практике помогали многим компаниям корректно выстраивать эту деятельность: проводили подготовку к проверкам органа по защите прав субъектов персональных данных и проходили эти проверки без каких-либо замечаний со стороны регулятора. Реализация подобных мероприятий включает в себя вполне определенный комплекс задач. Очень важны осведомленность и уровень осознания сотрудниками необходимости реализации корректной обработки персональных данных. Также необходимо учитывать пожелания субъекта в отношении обработки его персональных данных, и в соответствии с ними составлять договорную базу и условия взаимодействия с партнерами и различными агентами, а также внутри организации», — пояснил Михаил Большаков.
О том, что ситуация с защитой персональных данных далека от идеальной, заявляет и компания REG.ru. По ее оценкам, больше половины участников рынка доменных имен и хостинга, преимущественно средние и малые компании, на данный момент не создали системы защиты персональных данных или не смогли подтвердить их соответствие требованиям закона.
Помимо организационных и технических проблем, с которым приходится сталкиваться операторам ПДн, есть еще одна, возможно, более важная проблема — финансовая.
Как отметил Сергей Таран, просто на бумаге защиту персональных данных обеспечить нельзя. «По закону требуется реальная полноценная защита, что приводит к соответствующим затратам, — сказал он. — Надо создать нормативную базу — подготовить регламенты и процедуры, приобрести технические средства, установить их. На все про все может потребоваться до трех месяцев».
Нехватку бюджетов и недостаток времени к основным проблемам операторов ПДн относит и Михаил Большаков. Особенно, если речь идет о компаниях СМБ-сектора, которые, потратившись на защиту, могут остаться без денег на развитие. «Для крупных компаний основная проблема в том, что технические требования по обеспечению безопасности появились с существенной задержкой относительно введения в силу самого закона, — отметил представитель «Крока». — Поэтому времени осознать и своевременно подготовиться было не так много, а масштабы вложений и размах мероприятий действительно не маленькие».
У операторов ПДн есть еще одна, от них не зависящая, проблема, считает Михаил Большаков. Она связана с постоянно вносимыми в закон и подзаконные акты изменениями, которые заставляют компании непрерывно корректировать свои проекты по построению систем защиты персональных даны. А это означает все те же дополнительные затраты и время.
В то же время многие эксперты на рынке полагают, что ФЗ № 152 необходимо править и править. В частности, генеральный директор REG.ru Алексей Королюк заявил, что закон «О персональных данных» в том виде, в котором он существует сегодня, является слишком общим. «Требуется четкая сегментация для определенных рынков и сфер применения, — считает Королюк. — Мы надеемся, что благодаря четкой работе регулятора необходимые доработки будут внесены, что позволит избежать исчезновения с некоторых рынков компаний малого и среднего уровня в связи с неподъемной административной и финансовой нагрузкой, которую необходимо нести в связи с исполнением № 152-ФЗ».
Кстати, не исключено, что в скором времени эти пожелания руководителя REG.ru будут реализованы. Как сообщили BFM в департаменте информации и общественных связей Минкомсвязи, 1 июля Госдума РФ планирует рассмотреть во втором чтении законопроект о внесении изменений в закон «О персональных данных». По словам представителя ведомства, изменения существенно затрагивают почти все статьи закона, значительно приближая его к европейской модели. Кроме того, согласно поручению президента Дмитрия Медведева, в новом варианте закона устранены необоснованные обременения для операторов персональных данных. В целом, названный законопроект должен быть принят до окончания весенней сессии.
www.bfm.ru/articles/2011/07/01/zakon-o-personalnyh-dannyh-perepishut-v-ocherednoj-raz.html