Операторов персональных данных могут разделить на две части

Ассоциация региональных операторов связи выступила с инициативой разделить операторов ПДн на государственных и коммерческих. И каждой группе прописать свои правила защиты данных

Может так получиться, что персональные данные будут защищать по-разному — в госструктурах получше, а в коммерческих организациях, возможно, похуже. Это может произойти в том случае, если законодательная инициатива Ассоциации региональных операторов связи (АРОС).

По сообщению АРОС, ею подготовлены предложения о внесении существенных изменений в федеральный закон № 152 «О персональных данных». Как отмечает ассоциация, «с целью установления в нем реально выполнимых норм, а также, в целом — приведения данного акта в соответствие с духом европейского регулирования в сфере персональных данных». Свои предложения организация направила на рассмотрение в Министерство связи и массовых коммуникаций, а также в профильные комитеты Госдумы.

Напомним, закон частично действует уже пять лет. Однако введение в силу всех его положений неоднократно откладывалось. Впервые это произошло в конце 2009 года. Тогда депутаты Госдумы согласились с тем, что операторы персональных данных еще не готовы к вступлению закона в полную силу. Кроме того, существовали технические трудности с реализацией некоторых положений законопроекта. В результате вступление ФЗ № 152 в силу было перенесено с 1 января 2010 года на 1 января 2011 года. Предполагалось, что за год будут решены технические трудности, а компании и организации озаботятся приведением своих систем защиты в соответствие требованиям законодательства.

Однако в прошлом году ситуация существенно не изменилась. Более того, компании и организации заняли выжидательную позицию и фактически не вели каких-либо работ по построению систем для защиты персональных данных — ждали новой отсрочки. И они ее получили в конце декабря. То есть действие закона в полном объеме вновь перенесли — на 1 июля текущего года.

В числе причин неготовности операторов персональных данных называются жесткие требования закона и подзаконных актов, а также избыточное администрирование отношений в этой сфере. По этому поводу АРОС и задумала несколько поправить ситуацию. В частности, специалисты ассоциации предложили прежде всего разделить субъектов обработки персональных данных на государственные и негосударственные (коммерческие структуры). Для первых требования по защите ПДн должны устанавливаться государством. «Но когда потребитель вступает в отношения с коммерческими организациями, действующими в условиях рынка, он самостоятельно делает выбор и принимает решение о достаточной или недостаточной степени защиты ими его персональных данных, о соответствии цены услуги желаемой им самим и предлагаемой степени защиты, — говорится в сообщении АРОС. — Соответственно, полная регламентация действий оператора персональных данных по их защите здесь избыточна».

Еще одно предложение ассоциации касается самого понятия «персональные данные». Так, в АРОС считают, что оно «чрезмерно расширительно толкуется законом» и приводит к противоречию ряда норм закона с ч. 1 ст. 24 Конституции РФ, безальтернативно запрещающей обработку информации о частной жизни лица без его согласия.

Как отметил президент АРОС Юрий Домбровский, этот закон в его нынешнем виде практически не работает — «разбился» об административные барьеры, им же самим установленные. «Изначально его идея заключалась в том, чтобы упорядочить и повысить эффективность работы всего множества участников системы обработки персональных данных, и тем самым защитить права каждого гражданина в этой сфере, — говорит Домбровский. — Однако в результате излишняя регламентация и администрирование создали ситуацию, при которой для запуска закона необходимо регламентировать такие сферы и виды деятельности, которые никогда и никем не были регламентированы».

На рынке инициативу АРОС оценили неоднозначно. Так, например, директор департамента информационной безопасности компании Oberon Андрей Волков посчитал инициативу ассоциации нецелесообразной:

— Большинство участников рынка при обсуждении темы ФЗ-152 почему-то забывают, что этот закон ориентирован прежде всего на защиту интересов субъектов персональных данных, то есть граждан. Если допустить на минуту, что разные операторы защищают ПДн по-разному — кто-то лучше, кто-то хуже, — о каком равенстве перед законом может идти речь? Ведь получится, что государство уже не сможет гарантировать гражданам одинаковый уровень защиты их данных. Известно также, что любое усложнение законодательных требований, изменение правил по ходу игры порождает целый ворох возможностей для злоупотреблений. Чем сложнее система, тем выше коррупционная емкость. Предложения АРОС мне целесообразными не кажутся еще и поэтому.

С другой стороны, доля операторов, приведших свои системы обработки персональных данных в соответствие требованиям законодательства, пока небольшая, но процесс в этом направлении идет. Есть подвижки и со стороны законодателей — государство не меньше операторов заинтересовано в том, чтобы закон был выполнимым. Неплохие результаты дает отраслевая стандартизация — разработка стандартов для банковской сферы, для медучреждений. Иными словами, приблизить требования закона к жизненным реалиям можно, но прибегать при этом к искусственному делению операторов на коммерческих и государственных, по моему мнению, неверно.

В свою очередь, в компании LETA IT-company мнения специалистов разделились. Заместитель директора административно-производственного департамента компании Николай Конопкин считает, что субъекту персональных данных не важно, в коммерческой или в государственной организации обрабатываются его данные — уровень их защиты и в тех, и в других должен быть одинаково высок. «Удивительно, как можно допустить, что персональные данные, жестко защищаемые в одной системе, будут бесконтрольно обращаться в другой?» — заметил Конопкин.

Заместитель директора департамента продуктов и услуг той же LETA Евгений Царев полагает, что требования к государственным организациям в области защиты ПДн должны быть другие. В то же время он опасается, что разделение требований к коммерческим и государственным структурам может привести к очередному скачку коррупции.

В свою очередь, эксперт в области непрерывности бизнеса и информационной безопасности компании «АйТи» Сергей Петренко называет детализацию и уточнение требований закона обычной практикой. В то же время деление операторов ПДн на государственных и коммерческих он считает нецелесообразным. «Закон един для всех, — заметил Петренко. — Понятно, что если у коммерческих организаций больше статья расхода, то и средства защиты будут более серьезными. Зато в государственных структурах более действенны соответствующие организационные меры. Поэтому при желании разумного баланса всегда можно достигнуть».

Названные эксперты, в общем, считают, что над улучшением закона, точнее некоторых его норм или технических документов с требованиями по защите ПДн, работать надо. Тем более что организаций, которые провели работы по защите персональных данных, не так много и большинство из них до сих пор занимает выжидательную позицию.

Впрочем, понятие «не так много» в данном случае сильно различается в оценках экспертов. Так, Евгений Царев считает, что подавляющее большинство российских компаний не выполняет требований закона о персональных данных. По его оценке, в коммерческих структурах какие-то работы провели не более 10% операторов ПДн, а в госструктурах — не более 1–2% организаций. По мнению же Николая Конопкина из компании LETA, как раз в госструктурах требования закона выполнены намного добросовестнее, поскольку они занимаются информационной безопасностью, что называется, «из-под палки». «Косвенно об этом свидетельствует и наш предыдущий опыт, — говорит Конопкин. — Так, наиболее крупные продажи сертифицированных средств антивирусной защиты мы проводили именно для госструктур».

Оценка эксперта компании «АйТи» еще более оптимистичная. «По нашим расчетам, операторы ПДн готовы к выполнению требований закона процентов на 35–50. Остальные еще думают, — привел свои данные Сергей Петренко. — Но закон должен начинать действовать. Пусть это и будет несколько болезненно, но зато мы перейдем от рассуждений на тему защиты ПДн к живой практике проверок, доработок и совершенствованию систем защиты персональных данных».