Новая полугодовая отсрочка по 152-ФЗ – последний шанс российского бизнеса?

Вступление в силу требований к системам, используемым для обработки персональных данных, откладывается еще на полгода. Это дает малым и средним компаниям реальный шанс выполнить весь цикл операций, связанных с приведением систем в соответствие законодательным требованиям. Отсиживаться в стороне не имеет смысла: законодательство постепенно улучшается, но радикальных перемен в ближайшее время не будет.

Совет Федерации одобрил очередную отсрочку вступления в силу требований о приведении информационных систем в соответствие с требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ “О персональных данных” (далее – “Закон о ПДн”). Таким образом, законодатель косвенно признал, что российские организации в основной своей массе пока не готовы выполнять требования закона.

Однако какие возможности открывает перед российским бизнесом очередная полугодовая отсрочка? И можно ли за этот небольшой срок успеть внести требуемые изменения в информационные системы?

Прежде всего, следует напомнить, что отсрочка касается только тех информационных систем, которые были введены в эксплуатацию до 1 января 2010 года. Что же касается систем, разработанных в 2010 году, то в их отношении отсрочка не имеет никаких последствий – они изначально должны соответствовать требованиям Закона о ПДн в полной мере.

Отсидеться в стороне?

В российских компаниях достаточно широко распространена точка зрения, согласно которой регулирование в области персональных данных настолько запутанное, что наиболее правильным решением будет отсидеться в стороне и дождаться, пока ситуация устаканится. Но опрошенные CNews эксперты такое мнение не разделяют: “Не стоит ждать, что закон отменят или что проверка минует организацию”, – комментирует Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems.

С какими реальными рисками столкнутся опоздавшие? По мнению экспертов, в лучшем случае удастся отделаться легким испугом: поданные иски не всегда принимаются к рассмотрению: “Все зависит от того, попадет ли организация в план проверок и найдут ли у нее нарушения”, – считает Алексей Лукацкий. И здесь никто не застрахован: “Под проверку может попасть любая организация, вне зависимости от того, зарегистрирована она в качестве оператора или нет”, – считает Татьяна Коротаева, ассистент менеджера PricewaterhouseCoopers.

Права российских граждан в области персональных данных защищает целая система ведомств

Источник: Роскомнадзор, 2010

Дальнейшие последствия, по мнению Алексея Лукацкого, будут зависеть от характера нарушений: “Если нарушения будут выявлены, то, в зависимости от статьи КоАП РФ, по линии Роскомнадзора наказание может составить всего 5 тыс. руб. (ст. 19.7). Если Роскомнадзор привлечет прокуратуру, то по ст.13.11 наказание может составить всего 10 тыс. руб. И только в случае невыполнения предписания об устранении нарушения по результатам проверки максимальное наказание может составить до 500 тыс. рублей”. Таким образом, риски связанные с невыполнением требований законодательства о персональных данных, в настоящее время сравнительно невелики. Однако, по мнению эксперта Cisco Systems, ситуация вскоре может измениться в худшую сторону: “С 1-го января могут вступить в игру ФСТЭК и ФСБ, и они, помимо статьи 19.7, смогут применить также статью 13.12 “Нарушение правил защиты информации”, максимальное наказание по которой может заключаться в конфискации или приостановлении деятельности на срок до 90 суток”.

Что можно успеть за полгода?

При должном уровне организации, за полгода можно добиться существенных результатов в приведении корпоративных систем в соответствие с требованиями Закона о ПДн: “Отсрочка позволит если не финализировать, то, по крайней мере, разработать поэтапные планы по реализации мер, направленных на обеспечение требований законодательства, и начать их реализовывать”, – считает Татьяна Коротаева.

Самым первым шагом должно стать планирование: “Прямо сейчас стоит составить план приведения себя в соответствие, – говорит Алексей Лукацкий. – Благо, свободно скачиваемых примеров такого плана в интернете немало. А потом пройти по этому плану, выполняя его пункты шаг за шагом. В зависимости от размера компании, этот путь может занять от 80 дней и до года. Последнее, разумеется, при условии организации немаленького масштаба”, – отмечает эксперт Cisco Systems.

Показатели деятельности Роскомнадзора в области защиты персональных данных

Источник: Роскомнадзор, 2010

“Требования ФЗ-152 не являются принципиально невыполнимыми, но часто являются технически сложными, затратными в плане материальных и человеческих ресурсов”, – продолжает Татьяна Коротаева. В зависимости от масштаба и рода деятельности, разные компании сталкиваются с разными сложностями. Для крупных компаний само по себе фактическое установление всех систем персональных данных может оказаться проблематичным. “Компании, обрабатывающие большие объемы персональных данных, могут столкнуться с трудностями при получении надлежащего согласия на обработку данных и поддержания этой информации в актуальном состоянии, особенно учитывая введение с 1 января 2011 года требования об обязательной личной подписи на таком согласии”, – сообщает Татьяна Коротаева. Эксперт PricewaterhouseCoopers также отмечает, что новые требования потребуют реорганизации веб-сайтов: “Формально все онлайн-опросы скорее всего придется сделать полностью анонимными, привязывая к IP-адресам респондентов. Интернет-магазинам, по-видимому, придется организовывать подписание согласий на обработку данных при непосредственной доставке товаров”.

Не в последнюю очередь соблюдение законодательства о персональных потребует работы с людьми и службами, которые занимаются обработкой данных: “Необходимо “просвещать” персонал и учитывать операционные потребности компании”, – предупреждает Татьяна Коротаева.

Каковы перспективы?

Качество существующего законодательства в области персональных данных во многом оставляет желать лучшего. “При желании и умелом трактовании закона (или его непонимании) нарушения можно найти у многих, – сетует Алексей Лукацкий. – Именно поэтому улучшения законодательства идут постоянно, и в ФЗ-152 регулярно вносятся изменения”. В настоящее время обсуждается уже прошедший первое чтение “законопроект Резника”, который должен устранить наиболее одиозные и спорно трактуемые положения. Но некоторые эксперты считают, что никакие законопроекты не смогут радикально улучшить существующее положение дел: “Если будет принят законопроект Резника (или любой другой), то поменяются лишь детали, суть останется прежняя, – отмечает в личном блоге Евгений Царев, заместитель директора департамента развития компании “Лета”. – Суть может поменяться только в случае изменения позиции ФСТЭК и ФСБ (чего лично я и большинство участников рынка искренне желают), но этого пока не видно”.

Из всего спектра современных ИТ-систем наиболее тесно с обработкой персональных данных связаны, по-видимому, CRM-системы. В то же время, вступление в силу ФЗ-152 и появление новых требований о сертификации ПО, используемого для обработки персональных данных, не потребовало от поставщиков CRM-систем внесения в свое ПО сколь-либо существенных изменений. “Компании SAP не потребовалось дорабатывать свои продукты в связи с вступлением в силу ФЗ-152”, – говорит Александр Федоров, Директор по развитию продуктов SAP СНГ. Однако, признает Александр Федотов, внедрение сертифицированного ПО – это лишь небольшая часть всего комплекса необходимых мероприятий, которые могут успешно реализовать партнеры SAP. Аналогичный ответ был получен от пресс-службы Microsoft: “Microsoft в России сертифицировал CRM-системы без изменений и доработок и получил класс К2. Системы удовлетворяют требованиям законодательства”.

“В любом случае, бояться проверок не стоит, – резюмирует Алексей Лукацкий. – “Просто, надо знать права и обязанности – свои и проверяющих. А они четко зафиксированы в ФЗ-294 “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля”. Ну и конечно, стоит ознакомиться с самим ФЗ-152 и, как минимум, Гражданским кодексом – тогда многие вопросы, кажущиеся нерешаемыми, решаются очень легко”.