Похоже, что после всех переносов пресловутый федеральный закон N 152 “О персональных данных” (далее ЗоПД), принятый еще в июля 2006 г., вступит-таки в полную юридическую силу 1 января 2010 г. Во всяком случае, на этом жестко настаивают такие мощные регуляторы, как ФСБ, ФСТЭК и Роскомнадзор. С их точки зрения, путей к отступлению больше нет, несмотря на очевидные порожденные ЗоПД буквально для всех областей жизни общества глубокие проблемы. Чтобы двигаться вперед с обработкой персональных данных (ПД), полагают эти ведомства, нужно накопить хоть какую-то практику применения ЗоПД, необходимую в том числе и для его радикального исправления, — так заявили их представители на состоявшемся в конце августа заседании секции “Научно-техническое и стратегическое развитие отрасли” научно-технического совета Минкомсвязи России.
Той же позиции придерживается и само Минкомсвязи, от имени которого замминистра Алексей Солдатов объявил на заседании НТС: “Давайте решать проблемы, а не пересматривать сроки”, — соглашаясь, однако, при этом, что закон “не гармонизирован” (замминистра употребил именно этот термин, явно смягчая ситуацию) с остальным законодательством страны, что подзаконные акты избыточно строги в отношении операторов персональных данных (ОПД), что последние не готовы исполнять ЗоПД.
По расчетам ЦБ, затраты на выполнение ЗоПД в нынешней редакции составят около 6% от доходной части бюджета страны.
В нынешнем своем виде ЗоПД породил массу проблем как у ОПД, так и у регуляторов. На Госдуму свалилась важнейшая задача той самой “гармонизации” (www.pcweek.ru/themes/detail.php?ID=117627). Роскомнадзор жалуется на то, что противоречия в ЗоПД не позволяют этой службе в полной мере реализовать порученный ей надзор в области ПД. ФСБ и ФСТЭК подвергаются критике со стороны законодателей по поводу противоречия разработанных этими организациями методических документов по обеспечению безопасности ПД принципиальным положениям ЗоПД (см. ниже). ОПД упрекают их за задержку выпуска указанных документов, их сложность и закрытость для общего доступа (эти документы все еще имеют гриф “Для служебного пользования”).
У компетентных в области ИБ операторов ЗоПД вызывает недоумение, а у менее осведомленных — непонимание. Поэтому представители многочисленного отряда ОПД, несмотря на жесткую позицию регуляторов по данному вопросу, по-прежнему настаивают на переносе на год—полтора начала применения ЗоПД. Выигранное время они предлагают потратить на возможное нивелирование порожденных ЗоПД проблем (в том числе и упомянутых выше).
Разрабатывая этот закон, Госдума, как подчеркивают ее представители, ставила во главу угла его социальную направленность, т. е. защиту прав граждан при обработке ПД в информационных системах (ИС). Пока же, считает Роман Шередин, заместитель руководителя Роскомнадзора, ЗоПД защищает информацию, а не граждан.
Международная законодательная практика защиты ПД, как заявляют эксперты, исходит из ответственности ОПД за утечки ПД и за сокрытие утечек от субъектов персональных данных (СПД), при этом способы защиты ПД операторы вправе выбирать сами. ОПД в соответствии с нынешней редакцией российского ЗоПД будут отвечать за несоблюдение способов защиты ПД, независимо от того, допустили они утечки ПД или нет. На преодоление этой нелепости и направляют свои усилия наиболее зрелые ОПД и представители регуляторов.
Сложность ситуации с ЗоПД вынуждает представителей разных деловых областей особенно рьяно лоббировать свои цеховые интересы, при этом вполне аргументированно мотивируя свои позиции. Так, “Ассоциация российских банков” (АРБ) предложила исключить из сферы действия ЗоПД деятельность кредитных организаций, предусмотренную федеральной лицензией на осуществление банковских операций, и освободить банки от необходимости согласовывать обработку ПД с СПД. Относящиеся к госсектору ОПД радеют за исключение обязательности применения требований ФСБ и ФСТЭК к государственным ИС. “Ассоциация защиты информации” (АЗИ), выражая интересы промышленников, предлагает реализовать отраслевой подход к соответствию ЗоПД, зафиксировать понятие “персональные данные” на уровне каждой отдельной отрасли, сформировать отраслевые перечни этих данных и отраслевые модели угроз ПД, типизировать по отраслям классы систем защиты ПД (СЗПД).
Констатируя готовность АЗИ с учетом накопленной у нее практики поддержать отраслевых ОПД, с тем чтобы те выдержали срок ввода ЗоПД, представитель ассоциации тем не менее на преминул упомянуть о том, что для отдельных категорий ОПД (имея в виду в первую очередь учебные и медицинские учреждения) положения ЗоПД нужно рассмотреть дополнительно (в смысле — пересмотреть).
Однако известно, что дьявол прячется именно в деталях, поэтому оптимизм АЗИ вызывает большие сомнения. Елена Волчинская, ведущий советник аппарата Комитета по безопасности Госдумы РФ, настаивает на том, что сформировать единый реестр ПД, пусть даже в рамках отдельной отрасли, невозможно. Она обращает внимание на то, что в ЗоПД вообще не заложено выделение ПД в отдельную информационную категорию, что при работе с персональными данными нужен творческий, интеллектуальный подход, потому как в каждых конкретных правовых отношениях используются свои специфические ПД. “Попытки выделить ПД в отдельную категорию приводят к тому, что мы не можем соотнести требования к защите этих данных и прочей информации”, — отметила она.
По мнению г-жи Волчинской, предложенный ФСТЭК порядок классификации ИС для обработки ПД нужно менять как противоречащий заложенным в ЗоПД ключевым положениям (которые Госдума менять не будет), проистекающим из европейского законодательства. Она полагает, что в основном именно по этой причине закон никак не начнет работать в полную силу. Для ФСТЭК такое несоответствие не очевидно, и представители этой службы считают, что его нужно обсудить с их юристами.
Со своей стороны Андрей Курило, заместитель начальника ГУБЗИ Банка России, обратил внимание на то, что основная проблема нынешней редакции нормативных документов регуляторов — время (по его оценкам, это полтора года) и стоимость выполнения заложенных в них требований . Согласно сделанным в ЦБ расчетам, с принятием ЗоПД защита ПД для ЦБ увеличивается в 3 раза, а для бюджетных организаций в 3—5 раз. В итоге ЗоПД в нынешней редакции потребует на свое выполнение около 6% от доходной части бюджета страны.
Представители ФСБ согласны с тем, что нельзя разорять страну ради соблюдения ЗоПД. Но младенческий возраст российского гражданского общества и малый опыт рыночных отношений требуют, по мнению ФСБ, оптимизации бизнес-процессов в российских государственных и бизнес-структурах в целях нормализации обращения ПД, прекращения их утечек. Сокращение расходов на реализацию ЗоПД там видят, солидарно с АЗИ, в типизации и специализации мер и технических решений для СЗПД, подчеркивая в этом роль министерств и ведомств.
Самое важное в сложившейся ситуации, по мнению г-жи Волчинской, не дискредитировать закон невозможностью его исполнения. Это, как она считает, подстегнет коррупцию и правовой нигилизм, которые и без того прочно укоренились в нашей жизни. Исходя из этого, полагает г-жа Волчинская, нужно рассматривать в том числе и вопрос возможного переноса сроков по ЗоПД, т. е. с учетом того, успеет ли Госдума и все заинтересованные стороны за оставшиеся до конца года четыре месяца устранить противоречия во всех связанных с ПД законах и подзаконных актах, обеспечив при этом их исполняемость.
Учитывая сложившуюся ситуацию, Роскомнадзор принял решение о создании при этой госслужбе консультативного совета на общественных началах, который может стать еще одной открытой площадкой для обсуждения проблем, связанных с реализацией российского законодательства в области обращения ПД.
Обстановка вокруг ЗоПД сложилась на сегодняшний момент хотя и вполне деловая, но заметно напряженная. Как выразился г-н Солдатов (наблюдая за настольным термометром в ходе заседаний НТС), “градус” обсуждения ситуации с ЗоПД растет. Примерно через полтора месяца Минкомсвязи проведет очередной “замер температуры” по состоянию дел с ЗоПД.