И что удалось сделать за это время операторам персональных данных?
В целом за прошедший год у операторов персональных данных сохранилось непонимание относительно того, что и как надо делать, чтобы обеспечить соблюдение требований закона № 152-ФЗ. У них не было уверенности в том, что инициативы по приведению информационных систем в соответствие этому закону, которые потребовали финансовых затрат и времени, были не напрасными, поэтому некоторые предпочли воспользоваться помощью консультантов, которые смогли убедить заказчиков в своей близости к регуляторам или уполномоченным ими проверяющим структурам. Вероятнее всего, операторы персональных данных рассчитывали на то, что благодаря консультантам, которые находятся «на короткой ноге» с регуляторами, будет проще пройти сертификацию.
Алексей Затопляев, директор по ИТ компании «Бауцентр Рус» и президент Калининградского CIO-клуба, как примечательный факт отмечает появление в течение последнего года сертифицированных решений в области защиты персональных данных — по крайней мере, стало понятно, какое оборудование или программное обеспечение заведомо отвечает требованиям закона № 152-ФЗ. На основе этих решений можно строить свою инфраструктуру. Правда, у операторов персональных данных все равно остается определенная доля сомнений, так как не понятно, как системы, выстроенные на базе сертифицированных решений, будут восприниматься проверяющими органами.
Евгений Модин, руководитель направления консалтинга компании «Аладдин Р.Д.», отмечает, что за последний год значительно возросла нормотворческая активность. В частности, в закон № 152-ФЗ были внесены изменения (в связи с выходом закона № 210-ФЗ) в части признания равнозначности письменного согласия субъекта персональных данных и согласия в форме электронного документа. Кроме того, издан приказ ФСТЭК России № 58 от 05.02.2010 «Положение о методах и способах защиты информации в ИСПДн», который внес значительную ясность в деятельность по защите персональных данных, а также появились отраслевые стандарты организаций, определяющие защиту конфиденциальных данных (не только персональных) в информационных системах. Ярким примером внедрения таких стандартов является принятие и развитие отраслевых документов банковской системы России в целях выполнения требований законодательства в области персональных данных. «Проделанная работа позволяет операторам, обрабатывающим персональные данные, выполнить возложенные на них обязательства по их защите», — подчеркивает Модин.
Тем не менее операторы персональных данных продолжают пребывать в состоянии неопределенности и готовы предъявлять регуляторам любые аргументы, чтобы подтвердить свою деятельность на пути приведения собственных инфраструктур в соответствие требованиям закона № 152-ФЗ. Рекомендации же консультантов, приближенных к разработчикам закона, сводятся к тому, что главное — начать процесс и продемонстрировать, что работа идет — например, подготовлено положение о работе с персональными данными, на основе которого намечен план действий для приведения систем в соответствие требованиям закона. По их мнению, подобного плана для первой проверки будет достаточно.
Алексей Лукацкий, менеджер по развитию бизнеса компании Cisco, более категоричен в своих оценках истекающей отсрочки. Будучи членом рабочей группы ЦБ РФ и АРБ по разработке Комплекса стандартов Банка России, а также членом оргкомитета общественных слушаний по совершенствованию законодательства в области персональных данных, он считает, что, по сути, минувший год отсрочки не дал ничего.
«Как раз это и послужило причиной для внесения депутатом Госдумы Анатолием Аксаковым законопроекта об очередном переносе сроков технического приведения информационных систем в соответствие требованиям регуляторов, — считает Лукацкий. — Мотивация Аксакова проста: опять ничего не успели, и слишком уж дорого выполнять избыточные, а местами и невыполнимые требования ФСТЭК и ФСБ».
Влияние на закон
Почему год отсрочки не принес существенных сдвигов? Прежде всего не стоит забывать о последствиях экономического кризиса. Большинству компаний было не до персональных данных. Многие и до вступления в силу закона не нарушали прав своих клиентов и сотрудников как субъектов персональных данных, зато те, кто нарушали (в первую очередь госорганы), так и не начали ничего делать.
По словам Затопляева, члены Калининградского CIO-клуба с завидной регулярностью напоминали своим бизнес-руководителям о требованиях и сроках вступления в силу закона № 152-ФЗ, на что те отвечали примерно следующее: это делать надо, но денег на это нет. «Самое досадное в том, что когда я общаюсь с государственными структурами, где объем персональных данных на порядки больше, чем у коммерческих структур, а вероятность их утечки много выше, то вижу, что там вообще ничего не делается», — сетует Затопляев.
Это позицию разделяет Лукацкий: «Есть просто вопиющие примеры, когда Минздравсоцразвития в своих нормативных документах прописывает отказ от исполнения части требования регуляторов, и последние с этим соглашаются. Мотивация министерства простая — нет денег. Но тогда почему одни могут не выполнять требования регуляторов, а другие обязаны это делать? Кроме того, мало кто понимает, почему для защиты персональных данных надо прилагать усилия, отличные от защиты других видов тайн на предприятии. В первой версии требований регуляторов требования по защите персональных данных были даже серьезнее, чем защита гостайны. Но даже сейчас требования ФСТЭК и ФСБ существенно завышены, и затраты на приведение информационных систем компаний в соответствие начинаются от 2–3 млн руб. Многие ли (особенно в малом бизнесе) готовы выбрасывать такие деньги практически на ветер? На одной чаше весов у нас находится стоимость «приведения себя в соответствие», а это несколько миллионов, на другой — максимальная сумма наказания за невыполнение закона № 152-ФЗ, а это всего 10 тыс. руб. по статье 13.12 КоАП и 5 тыс. руб. по статье 19.7 КоАП. И какой, скажите, сделает выбор руководитель, умеющий считать деньги?»
Год назад сами регуляторы не смогли подтвердить свою готовность к вступлению в полную силу закона № 152-ФЗ. Это проявлялось, например, в невнятных ответах на актуальные вопросы о том, кого и как начнут проверять. По мнению Лукацкого, в этом состоянии они пребывают и по сей день, так как готовность подразумевает как минимум следующие аспекты: наличие людских ресурсов («А их как не было, так и нет. Я удивлюсь, если на всех трех регуляторов по всей России наберется человек 100, и это на 7 млн операторов персональных данных!»); адекватная оплата труда (средняя зарплата чиновника органа-регулятора всего около 10–12 тыс. руб. в месяц); согласование плана проверок с прокуратурой («Согласно закону № 294-ФЗ о защите прав юридических лиц, при осуществлении государственного контроля все проверки должны согласовываться с прокуратурой. В прошлом году это успел сделать только Роскомнадзор. Посмотрим, успеют ли ФСТЭК и ФСБ подать план проверок на 2011-й год».); квалификация проверяющих («Это, пожалуй, самое главное препятствие. Сотрудники регуляторов попросту не знают законодательства, выполнение которого они должны проверять. Например, один из сотрудников Роскомнадзора на конференции заявил, что инвалидность — это не состояние здоровья… А сотрудник ФСТЭК как-то сказал, что обновление антивируса требует наличия лицензии на деятельность в области технической защиты информации!»).
Внесение изменений в Федеральный закон
На момент подготовки этой статьи внесенный на рассмотрение законопроект № 282499-5 «О внесении изменений в Федеральный закон “О персональных данных”» депутата Госдумы Владислава Резника прошел только первое чтение, поэтому, по мнению Модина, говорить о внесенных на рассмотрение поправках, наверное, преждевременно. «Кроме того, в текущем году рассмотрение поправок в закон № 152-ФЗ во втором чтении в Госдуме не планируется, — продолжает Модин. — Поправки, внесенные Правительством РФ к законопроекту № 282499-5, наталкивают на мысли о том, что все останется без изменений».
Лукацкий считает, что изменения, принятые в первом чтении, сейчас готовятся ко второму. По его данным, планируется, что к концу года они все-таки пройдут все три чтения в Думе, Совет Федерации и будут утверждены Президентом РФ. Ключевых изменений в них немало. Вот только некоторые из них:
- Новые условия обработки ПДн без согласия, если при этом не нарушаются права субъекта ПДн. «Надо заметить, что и сейчас есть такая возможность, закрепленная в ГК РФ, — поясняет Лукацкий. — Учитывая, что регуляторы не очень хорошо знают законодательство, отличное от закона №152-ФЗ, такая вставка вполне закономерна».
- Определение трансграничной передачи.
- Конклюдентная и устная формы согласия. «Сегодня регуляторы, нарушая букву и дух Европейской конвенции по защите персональных данных и не соблюдая отечественные правовые нормы, считают, что согласие субъекта ПДн может быть дано только в письменной форме и никакой иной. Чтобы регуляторы смогли вернуться в лоно Конвенции, и включена эта норма», — считает Лукацкий.
- Оферта неограниченному кругу лиц. «Что делать оператору мобильной связи, банку или управляющей компании в сфере ЖКХ, чтобы уведомить сотню тысяч клиентов о том, что их персональные данные обрабатываются? Тратить по 29 рублей на отправку каждому их них заказного письма? Но ведь это бессмысленная трата денег, поэтому в законопроекте Резника предлагается оптимизировать данную задачу за счет оферты на сайте», — комментирует Лукацкий.
- Дифференциация требований по ИБ. «В Европе требования по ИБ не являются обязательными, — отмечает Лукацкий. — Если они и есть, то носят характер рекомендаций, и оператор ПДн самостоятельно принимает решение о способах и методах защиты. В законопроекте предлагается поступить по-другому: госорганам оставят требования ФСТЭК и ФСБ, а для всех остальных будет разработан обязательный минимум, который может быть расширен уже по желанию оператора персональных данных».
- Устранение избыточных уведомлений субъектов.
- Уточнение полномочий надзорных органов. «Курс, начатый после того, как президент велел “не кошмарить бизнес”, продолжило Правительство России, предложив осуществлять обязательный контроль и надзор только в отношении государственных органов, снизив бремя проверок на хозяйствующие субъекты», — поясняет Лукацкий.
Как принятие этого перечня изменений в закон № 152-ФЗ повлияет на проведенные работы по подготовке инфраструктур операторов персональных данных к требованиям закона? Судя по всему, если пройдет одно из ключевых изменений, касающееся дифференциации требований по защите, то тем, кто еще ничего не делал, будет гораздо проще, чем тем, кто уже защитил свою инфраструктуру.
Скорее всего, вышеперечисленными дополнениями дело не ограничится. По прогнозам экспертов, ключевым направлением развития станет принятие все большего числа отраслевых стандартов по обеспечению безопасности информационных систем персональных данных. Первым такой стандарт принял Банк России, распространив его на все отечественные банки. Свой пакет рекомендаций для медицинских учреждений подготовило Минздравсоцразвития. Операторы связи получили в свое распоряжение 18 документов, разработанных в рамках НИР «Тритон». На подходе рекомендации НАУФОР для участников фондового рынка, рекомендации для страховщиков и ряда других отраслей экономики.
Изначально закон № 152-ФЗ был предназначен для защиты прав субъектов персональных данных от нанесения им ущерба. Однако на практике субъект не в состоянии доказать нанесение ему ущерба, да и регуляторы не занимаются защитой прав, подменяя ее проверкой буквы закона и подзаконных актов. Как, например, на права субъекта влияет отсутствие уведомления Роскомнадзора? А это сейчас, по версии регулятора, одно из ключевых нарушений.
Как бы то ни было, все участники рынка признают, что в течение года отсрочки им удалось наладить довольно продуктивный диалог с авторами закона и регуляторами. Следовательно, у них есть хороший шанс прийти к балансу интересов всех сторон. Этот шанс нельзя упускать!