|
|
Обзор подготовлен
С момента своего принятия в июле 2006 г. ФЗ-152 «О персональных данных» подвергался жесткой критике со многих сторон. Было ясно, что он недостаточно определенно описывает взаимоотношения личности, общества и государства. Эти споры не утихают и по сей день.
В нем нет баланса интересов этих участников правоотношений, реализация требует выполнения формальных требований, сформулированных не в законе, а в многочисленных подзаконных актах, которые крайне дорогостоящие в исполнении, но, тем не менее, по мнению специалистов, отнюдь не гарантируют не только соблюдения каких-то прав граждан, но и не снижают возможности утечки данных.
«Закон и подзаконные акты создают препятствия развитию современных технологий, движению капиталов, товаров и услуг. Один пример – требование о доказывании оператором согласия субъекта на обработку персональных данных фактически делает незаконным любую интернет-коммерцию, поскольку интернет построен на анонимности и допускает коммерческую деятельность именно анонимных пользователей, если они этого хотят», - уверен управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
В доказательство своих слов эксперт предлагает изучить две цитаты из пояснительных записок депутатов Государственной Думы РФ Анатолия Аксакова и Владислава Резника к их законопроектам о внесении изменений в ФЗ-152. Их текст приводится ниже.
А.Г.Аксаков: «Коммерческие организации отмечают существенное увеличение затрат на приведение информационных систем в соответствие с требованиями по безопасности персональных данных и, особенно, затрат на поддержание таких систем. Более того, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований к информационным системам персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, что неосуществимо в условиях кризиса».
В.М.Резник: «Практика реализации Федерального закона позволяет сделать вывод о недостижении цели его принятия, и создает предпосылки для уточнения его отдельных положений».
Защита ПДн, как повышение уровня ИБ в организации
Источник: ReignVox, 2011г.
Мы не удержались и спросили г-на Емельянникова: «В своем блоге Вы не раз писали, что то там, то сям виднеются "уши лоббистов"? Значит ли это, что закон оптимизирован под определенный набор отраслей экономики, а остальным реально придется туго?»
Эксперт считает: «Скорее, говорить надо о другом. Закон является результатом сложного компромисса многих сил. Поскольку реализация ФЗ-152, как я отмечал, крайне затратна и влияет на реализацию бизнес-процессов, бизнес попытался свои интересы так или иначе отстоять.
Отсюда и обращения таких профессиональных объединений (фактически – лоббистов), как АРБ, РСПП, ОПОРА, АРОС и других. Но ни под одну такую группу сегодня закон не оптимизирован. Более того, их интересы он не учитывает. За исключением, может быть, банков. ЦБ РФ получил право принимать свои нормативные правовые акты. В них определяются актуальные угрозы безопасности персональных данных при их обработке в ИС с учетом содержания персональных данных, характера и способов их обработки в зависимости от особенностей деятельности оператора».
В законе наряду с субъектом персональных данных появились такие участники правоотношений, как выгодоприобретатель и поручитель. Это несколько упрощает кредитно-финансовым учреждениям решение проблемы получения согласия на обработку, особенно, если персональные данные банк получает не от субъекта.
«А вот, например, застрахованных лиц или получателей почтовой корреспонденции и в новом законе нет. Недолоббировали», - заключает Михаил Емельянников.
«Поправки Резника» вносились в Думу с целью, как сказано в пояснительной записке, установить в зависимости от конкретного случая обработки персональных данных, соответствующую систему нормативного правового регулирования. Она бы и обеспечила баланс интересов государства, гражданина и оператора, обрабатывающего его персональные данные.
Кроме того, принятию фактически новой редакции закона предшествовало поручение Президента РФ, которое он дал по результатам встречи с представителями интернет-сообщества. В законе необходимо было устранить необоснованные обременения для операторов персональных данных.
«Собственно, именно этого все и ждали – обеспечения баланса и снятия обременений. Но в скоропалительно измененном ко второму чтению законопроекте, который и был, в конце концов, принят, нет ни того, ни другого. Зато есть косметические правки с целью улучшения фасада: увеличение сроков подготовки ответа субъекту, уничтожения персданных в системе, ограничение количества запросов субъекта к оператору и необходимость их обоснования, но нет главного – права оператора самостоятельно определять меры по выполнению закона. Красивые слова об этом есть: «Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ принятыми в соответствии с ним нормативными правовыми актами», но они полностью перечеркиваются дальнейшими положениями», - уверены в «Емельянников, Попова и партнеры».
Сначала рекомендации оператору по выполнению закона в ст.18 прим становятся обязательными: «Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных».
Какие же это самостоятельно определяемые меры, если их выполнение надо доказывать? А затем ставится окончательная точка.
С одной стороны, Правительство Российской Федерации устанавливает перечень принимаемых только для государственных или муниципальных органов мер (ч.3 ст.18прим). А с другой – определяет для всех операторов уровни защищенности персональных данных при их обработке и требования к их защите. Причем состав и содержание необходимых для выполнения установленных Правительством требований устанавливается ФСБ и ФСТЭК.
«Собственно, против такой схемы и был направлен принятый в первом чтении «законопроект Резника», нацеленный на снятие «излишних обременений» с коммерческих организаций. Кроме того, нарушается жесткая конструкция проверки только обязательных требований в рамках госконтроля и надзора (ФЗ-294), поскольку в ФЗ-152 обязательных требований фактически нет. Граница между ними и рекомендациями размыта», - констатирует Михаил Емельянников.
И, наконец, с точки зрения обеспеченности прав субъекта закон ничего не изменил. Недаром на последней пресс-конференции 8 августа 2011г. депутат Железняк пообещал вернуться на осенней сессии к вопросам ответственности за инциденты с персональными данными и подготовить новые изменения в законодательство.
В результате 6 июля 2011г. группой экспертов в области информационной безопасности было написано и отправлено Открытое письмо Президенту Российской Федерации Дмитрию Медведеву.
В частности в нем говорится: «Уважаемый Дмитрий Анатольевич! Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011г. на сайте kremlin.ru, а именно: п5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных».
Алексей Бабенко, старший аудитор департамента аудита компании «Информзащита», рассказывает: «Открытое письмо президенту подписали большое количество экспертов в области ИБ начиная от непосредственных авторов в лице Александра Бондаренко, Алексея Волкова, Алексея Лукацкого, Александра Токаренко и Евгения Царева, и заканчивая многочисленными подписями в комментариях (только в блоге Алексея Лукацкого насчитывается более сотни подписей), публикациях в блогах и социальных сетях. Говоря о причинах, сложно сказать точно, наверняка у каждого подписавшегося были свои мотивы, но основная идея заключена в том, что, несмотря на все изменения, происходящие в законе за последние годы, он по прежнему остается крайне сложным для выполнения огромному количеству компаний, попадающих под область действия 152-ФЗ».
Подписали письмо, выразив согласие с позицией авторов, действительно многие. Алексей Демин, управляющий корпоративными продажами G Data Software в России и СНГ, высказывает свою точку зрения на мотивы авторов: «А написали письмо, чтобы попытаться хоть что-то изменить. Потому что не могли смириться с очевидным — общественное мнение и мнение специалистов открыто игнорируется регуляторами, лоббирующими закон. Поручения Президента не исполняются, а согласованные законопроекты вдруг ни с того, ни с сего подменяются за два дня до решающего голосования в парламенте. А народ наш, наученный столетиями произвола чиновников, знает, что последняя надежда — челобитная на имя царя. Вот только в эпоху интернета значительно повысились шансы на то, что она дойдет до адресата. Кстати, в наши дни эта практика уже не раз доказывала свою эффективность».
В поддержку авторов письма выступили и профессиональные объединения. Например, РСПП (Российский союз промышленников и предпринимателей) и АРОС (Ассоциация региональных операторов связи). Поэтому уж точно нельзя рассматривать выраженное недовольство, как ворчание некомпетентных одиночек. Все всё прекрасно понимают, в том числе и разницу между реальной защитой данных и защитой от проверяющих. Часто можно встретить ссылки на необоснованные высокие затраты со стороны бизнеса, но и неясной остается и целесообразность драконовских мер по отношению к бюджетной сфере.
И в заключение вопрос к экспертам «На, ваш взгляд, кто и как должен дальше вести работу над модернизацией ФЗ-152?» Михаил Емельянников лаконичен: «Естественно, законодатели! Это их прямая обязанность!»
Хотелось бы вслед за и.о. руководителя управления Роскомнадзора добавить - «при участии экспертного сообщества». Но после всего того, что творилось с изменениями закона 5 лет с момента его принятия, надежд на это мало.
Вадим Ференец