ПО МНЕНИЮ Михаила Емельянникова, появились сложные цепочки юридических приемов, обеспечивающих «бумажную» безопасность и формальное соответствие законодательству |
ФЗ-152 «О персональных данных» был принят 27 июля 2006 года. Дискуссии вокруг него с тех пор не утихают. Не поставили в них точку и поправки, подписанные 26 июля президентом Дмитрием Медведевым. Поэтому 4 октября зал, где в рамках выставки «ИнфоБезопасность 2011» проходил круглый стол, посвященный правоприменительной практике этого закона, был предсказуемо полон. К сожалению, остались пустыми несколько мест в президиуме. Приглашенные организаторами представители регуляторов — ФСТЭК, ФСБ и Роскомнадзора — не смогли принять участие в обсуждении.
Ведущий, Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры», обозначил несколько основных тем для дискуссии: от практики проведения проверок и критериев выбора проверяемых организаций со стороны Роскомнадзора до практических рекомендаций операторам персональных данных по приведению в соответствие своих информационных систем.
Артем Сычев, начальник управления информационной безопасностью Россельхозбанка, поделился опытом прохождения проверок, которых банк пережил две — со стороны ФСБ и Роскомнадзора. В банковской сфере всегда уделяли большое внимание обеспечению информационной безопасности; квинтэссенцией отраслевого опыта стал стандарт Центробанка СТО БР ИББС-1.0-2010. Организации, доказавшие соответствие ему, ранее автоматически выполняли практически все остальные положения, регулирующие информационную безопасность.
ФЗ-152 в какой-то степени дезавуировал СТО БР ИББС-1.0-2010 и вступил в конфликт с некоторыми его положениями. Но тем не менее в отношении банковской сферы продолжает действовать нормативный акт, называемый «Письмом шестерых» (Банк России, Ассоциация российских банков, ФСТЭК, Роскомнадзор, ФСБ и Ассоциация региональных российских банков). Используя это обстоятельство и следуя духу стандарта ЦБ, в Россельхозбанке приравняли режим защиты персональных данных к защите коммерческой тайны. Роскомнадзор после длительных споров в итоге принял позицию банка, хотя формально некоторые положения ФЗ-152 не были выполнены.
Дополняя коллегу, Олег Казакевич, советник президента АРБ по вопросам безопасности, выразил надежду, что регуляторы, дабы исключить подобные юридические коллизии, предпримут со своей стороны максимум усилий для гармонизации существующего нормативного поля и разработки проектов подзаконных актов.
Тему юридических коллизий с ФЗ-152, уже в сфере здравоохранения, продолжил Михаил Эльянов, президент Ассоциации развития медицинских информационных технологий. Так, главным врачам больниц порой приходится решать дилемму: выполнять нормы Конституции, гарантирующей оказание медицинской помощи, или организовывать сбор подписей с «тяжелых» пациентов, как того требует закон «О персональных данных».
Кроме организационных сложностей есть у медиков и финансовые. В медицине, в отличие от банков, по словам Эльянова, практически нет финансирования статьи обеспечения информационной безопасности, хотя по объему обрабатываемых персональных данных отрасль не уступает финансовому сектору.
В ходе довольно бурных дискуссий было поставлено немало вопросов, на многие из которых сейчас не может ответить никто, включая авторов закона. Нет еще и целого ряда предусмотренных подзаконных актов, малопонятна процедура оценки ущерба от компрометации персональных данных в судах, не приживается в России и практика показа в балансах коммерческих компаний убытков от инцидентов, связанных с утечками...
Что в итоге? По мнению Емельянникова, появились сложные цепочки юридических приемов, обеспечивающих «бумажную» безопасность и формальное соответствие законодательству. Участники круглого стола согласились, что в текущей ситуации одним-единственным заявлением к регуляторам в области ФЗ-152 можно нарушить и даже парализовать работу любой организации на территории РФ. Это во-первых.
Во-вторых, выяснилось, что набирает силу практика предоставления иммунитета к закону субъектам специального права, например адвокатам. Они находятся в правовом поле других законов. А вот их клиенты так и продолжают при этом исполнять закон «О персональных данных», что создает еще большую неопределенность в данном вопросе.
В итоге дискуссии было высказано пожелание подключить к работе над совершенствованием ФЗ-152 как можно больше профессионалов, для чего необходимо наладить работу координирующей структуры для аккумуляции предложений и взаимодействия с государственными регуляторами.