3 февраля в Москве состоялся круглый стол по проблемам правоприменения федерального закона № 152-ФЗ «О защите персональных данных» и его совершенствованию
3 февраля 2010 года в Москве состоялся круглый стол по проблемам правоприменения федерального закона № 152-ФЗ «О защите персональных данных» и его совершенствованию. 7 декабря 2009 года в ОПОРЕ РОССИИ состоялось совместное заседание Комитета по информационным технологиям и Комиссии по вопросам страхования, посвященное реализации закона о персональных данных, на котором было решено организовать круглый стол с участием представителей Госдумы и отраслевых министерств для обмена мнениями по внесению необходимых изменений в документ.
В мероприятии приняли участие Президент ОПОРЫ РОССИИ Сергей Борисов, председатель Комитета ОПОРЫ РОССИИ по информационным технологиям Игорь Боровиков, Президент Некоммерческого партнерства «Национальная страховая гильдия», руководитель Комиссии ОПОРЫ РОССИИ по вопросам страхования Ирина Алехина, вице-президент ОПОРЫ РОССИИ Наталия Ушакова, начальник управления по защите прав субъектов персональных данных Роскомнадзора Лариса Васильева, начальник Управления организации инспекционной деятельности ФСТЭК России Алексей Сорокин, ведущий советник Комитета Государственной Думы по безопасности Елена Волчинская, ведущий советник Комитета Государственной Думы по конституционному законодательству и государственному строительству Андрей Федосенко и другие эксперты.
Первым на круглом столе выступил Сергей Борисов. По его словам, несмотря на то, что закон о персональных данных действует с 2006 года и имеет важное значение для всех, предпринимательское сообщество его не заметило. С. Борисов считает, что тревоги бизнеса связаны с тем, что 152-ФЗ вводит новый затратный механизм: по экспертным оценкам, чтобы полноценно выполнять требования данного закона, на одного работника придется потратить до 50 тысяч рублей. При этом, отметил Президент ОПОРЫ, 152-ФЗ был принят на фоне активной работы государства по борьбе с административными барьерами. С. Борисов предложил участникам дискуссии «в первом приближении» оценить обоснованность требований документа: «Мы должны очень трезво посмотреть на все стороны этого закона, оценить все его плюсы и минусы, все его противоречия с тем, чтобы, если есть такая возможность, внести определенные коррективы и обезопасить бизнес».
По мнению С. Борисова, «этот закон дает возможность использовать некоторые его положения для неблаговидных целей, и этому мы тоже должны поставить заслон» и «превратить закон в инструмент реальной защиты, который будет нам всем помогать».
Ирина Алехина отметила, что озабоченность в 152-ФЗ вызывает «крайне поздняя реакция бизнес-сообщества»: еще к 1 января 2008 года все, кто занимается обработкой персональных данных, должны были направить уведомление в уполномоченный орган – Роскомнадзор – который, в свою очередь, с 2007 года осуществляет проверки операторов персональных данных. Начальник управления Роскомнадзора Лариса Васильева привела следующие данные: за 2009 год ее ведомство провело 432 проверки в отношении операторов персональных данных и выдало 557 предписаний об устранении нарушений. Нарушения, по словам Л. Васильевой, заключались в непредоставлении либо в несвоевременном предоставлении в Роскомнадзор уведомления об обработке персональных данных. Ведомство выступает с инициативой увеличить срок давности нарушений с 2 до 6 месяцев в целях повышения эффективности рассмотрения обращений граждан-субъектов персональных данных. Наибольшее количество нарушений, по статистике Роскомнадзора, допускается операторами связи, жилищно-коммунальными хозяйствами, кредитными учреждениями и страховыми компаниями.
И. Алехина подчеркнула, что, являясь в силу закона операторским сообществом, но не уведомляя о том, что мы являемся операторами, мы нарушаем закон. «Эта ситуация происходит уже в течение двух лет», – отметила И. Алехина. По данным Роскомнадзора, на сегодняшний момент количество зарегистрированных операторов мало: в реестре числятся 83 376 операторов. Между тем, общее число операторов по прогнозной оценке составляет как минимум 3 миллиона. Л. Васильева отметила, что для повышения эффективности деятельности по формированию реестра на портале персональных данных появилась возможность заполнить уведомление в электронном виде, а срок рассмотрения уведомлений сокращен с 30 до 15 дней. Представитель Роскомнадзора предостерегла предпринимателей от распространенного заблуждения: если они не зарегистрированы в реестре, это не значит, что они смогут избежать проверки.
По словам И. Алехиной, текст 152-ФЗ содержит нормы, противоречащие отраслевым законодательствам. Возникают коллизии, мешающие банковскому бизнесу и угрожающие безопасности средств клиентов: при приеме на работу банк не имеет права узнавать, были ли у соискателя судимости, а недобросовестный клиент может потребовать в трехдневный срок уничтожить свою кредитную историю. При этом, как отметила И. Алехина, сильные отраслевые регуляторы, помогающие создать стандарты для отрасли, сегодня есть только у банковского сообщества.
Другая сложная тема – трансграничная передача данных через систему перестрахования. Закон не прописывает, как можно убедиться в том, что в другом государстве действует адекватная система защиты персональных данных.
И. Алехина подчеркнула, что формально Роскомнадзор имеет право за нарушения остановить деятельность любого банка, страховой компании или туристической фирмы. По мнению И. Алехиной, необходимо найти такой вариант взаимоотношений бизнеса и контролирующих органов, чтобы, с одной стороны, не нарушался закон, а с другой – чтобы закон не уничтожал предпринимательскую деятельность.
С И. Алехиной согласна Елена Волчинская. По ее словам, в конце 2008 года Комитет Государственной Думы по безопасности «обеспокоился положением дел с реализацией этого закона», поскольку привычная профессиональная деятельность не может осуществляться в рамках 152-ФЗ. Е. Волчинская обратила внимание присутствующих на то, что основная нагрузка дается не самим законом, а подзаконными актами, что, по ее мнению, неправильно.
Она рассказала, что Правительство организовало в Министерстве связи работу по рассмотрению пакета предложений по изменению закона о персональных данных. Также она проинформировала о том, что вместе со 152-ФЗ в первом чтении был принят другой закон – о внесении изменений в законодательные акты в связи с законом о персональных данных. Рассмотрение второго документа было отложено до тех пор, пока не станет ясно, какие изменения следует внести в отраслевое законодательство. На данный момент рабочая группа приняла решение о необходимости по-разному регулировать информационные системы органов государственной и муниципальной власти и остальных операторов. Также, по словам Е. Волчинской, в Госдуме рассчитывают на активную позицию профессиональных сообществ, которые в отсутствие официальных регуляторов могли бы разрабатывать свои стандарты и рекомендации. Таким образом, резюмировала Е. Волчинская, у «простого» оператора есть следующие ориентиры для осуществления законной обработки персональных данных: требования Правительства; международные стандарты, принятые в России; российские стандарты защиты конфиденциальной информации, а также рекомендации отраслевых сообществ.
«Действительно, есть понимание того, что при принятии закона тот уровень понимания проблемы, который существовал тогда, не совсем позволял увидеть все последствия некоторых решений, которые, как показала жизнь, нуждаются в корректировке», – заявил ведущий советник Комитета Госдумы по конституционному законодательству и государственному строительству Андрей Федосенко. По его словам, необходимо пересмотреть соотношение интересов защиты неприкосновенности частной жизни и права операторов на обработку данных. А. Федосенко отметил, что цель 152-ФЗ состоит не в том, чтобы каждый, у кого есть компьютер и база данных клиентов, потратил 50 тысяч рублей; цель – упростить «наше сотрудничество с европейскими странами, являющимися странами конвенции [Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», 1981 год]», ввести существующие трансграничные потоки персональных данных в определенные правовые рамки, а также «покончить с той безобразной ситуацией, когда приватность гражданина ежедневно и ежечасно попирается огромным количеством деятелей, которые уже поставили на поток торговлю любыми его секретами».
А. Федосенко также сказал, что у Комитета и у Госдумы в целом есть недостаток обратной связи и потребность в институтах операторов – «более глобальных», чем профессиональные сообщества.
Председатель совета директоров компании Softline, член президиума ОПОРЫ РОССИИ Игорь Боровиков и руководитель центра по защите персональных данных Softline Андрей Тимошенков представили презентацию, которая должна помочь малому и среднему бизнесу сориентироваться в трудностях, которые сегодня несет им закон 152-ФЗ. В презентации наглядно показано, как предпринимателю определить класс ИСПДн (информационная система персональных данных), какие мероприятия необходимо провести для защиты обрабатываемых данных, каких затрат они требуют и др. А. Тимошенков выделил проблему виртуальных сред: малый бизнес, как правило покупает IT-сервис у провайдера, и вся информационная система компании хранится на сервере и может быть уязвима.
Представитель ФСТЭК Алексей Сорокин считает, что ни одна из компаний не работает с незащищенной корпоративной сетью или системой, поэтому, по его мнению, приведение информационных систем в соответствие с 152-ФЗ для тех, кто начинает «не с нуля», будет не таким дорогим. Также А. Сорокин выразил искреннюю признательность ОПОРЕ РОССИИ за ее активную позицию.
Представитель Банка России Андрей Курило считает, что любые меры безопасности не абсолютны и должны быть адаптированы под конкретные условия. Руководитель Центра социального аудита Елена Продовикова отметила слабую обеспеченность информацией малых предпринимателей, особенно в регионах. По ее словам, большинство клиентов, с которыми работает ее компания, ничего не знают про 152-ФЗ. «У малых предприятий нет информационных, трудовых и финансовых ресурсов, а также мотивации, чтобы анализировать правовую информацию», – считает Е. Продовикова. Решение проблемы она видит в создании пошаговых рекомендаций, написанных доступным языком, которые бы постоянно обновлялись и были доступны широкому кругу предпринимателей. Наталия Ушакова обратилась к представителям госструктур с просьбой создать комиссию по вопросам здравоохранения, чтобы совместно сформулировать отраслевые стандарты в медицинской отрасли.
В целом эксперты сходятся во мнении, что серьезной проблемой закона о персональных данных является высокая стоимость защиты и что затраты следует сделать оптимальными для каждого оператора.