Проверка связи в вопросе о персональных данных

Вопрос защиты персональных данных (ПД) меня лично интересует давно. Во-первых, с точки зрения сотрудника ИТ-компании. Ну, тут все логично – мы поставляем собственные ИТ-решения (ERP и ECM-системы) и кому, как не нам, важно знать необходимые требования по защите ПД в своих решениях. Во-вторых, с точки зрения клиентов. К кому, как не к нам, в первую очередь клиенты обратятся с вопросами "Что делать"? Ну и наконец, я, как гражданин, также слежу за тем, каковы перспективы защиты в моем государстве персональных данных лично моих и моих близких. Благо, процесс идет уже не первый год, с рядом документов мы знакомы, а о состоянии дел у клиентов знаем не понаслышке.

Интересно было в связи с этим узнать о том, что 26 августа 2009 г. в Министерстве связи и массовых коммуникаций РФ состоялось заседание секции научно-технического совета (НТС), посвященное рассмотрению вопроса «О состоянии и проблемах защиты персональных данных и исполнения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»».

На заседании были выслушаны предложения и точки зрения как представителей государственных структур, так и ряда коммерческих, в том числе Исполнительного директора Ассоциации российских банков (АРБ) В.В. Шипилова и заместителя Генерального директора ОАО «Связьинвест» С.А. Лукаша.

К слову, предложение АРБ о переносе сроков вступления в силу закона ФЗ-152, несмотря на представленные обоснования, принято не было. Но само решение, принятое на секции НТС, показалось любопытным. Далее по отдельным пунктам.

Пункт 1. Рекомендовано «Минкомсвязи России обобщить в сентябре 2009 года предложения ФСТЭК России, ФСБ России, Роскомнадзора по гармонизации нормативной правовой базы в области персональных данных на предмет соответствия действующему законодательству. Подготовить предложения по дальнейшему анализу имеющихся противоречий и принять решение о необходимости внесения изменений в действующие нормативные правовые акты, регулирующие сферу персональных данных». Уже выявили ряд противоречий, обобщаем, продолжаем выявлять, а затем решаем вопрос о необходимости внесения изменений в нормативно-правовые документы. Хорошая нормативно-законодательная подготовка процесса, не так ли? Особенно если учесть, что отдельные документы действуют уже 1,5-3 года и работа по защите ПД уже должна быть завершена к 2010 году. Странно, что заблаговременно не привлекли к анализу документов юристов и технических экспертов. Или привлекли не тех.

Пункт 2. Минкомвязи рекомендовано "принять возможные меры, направленные на ускорение рассмотрения Государственной Думой Федерального Собрания Российской Федерации во втором и третьем чтении законопроекта «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и принятием Федерального закона «О персональных данных»". Дали необязательный к исполнению совет поторопить процесс изменения законодательства, которое отличается от ратифицированной у нас Конвенции Совета Европы, имеющей, к слову, больший приоритет, чем Российское законодательство. Как в итоге изменятся требования по исполнению закона, были ли напрасны прежние затраты организаций на обеспечение текущих требований нормативно-законодательных документов РФ, не появятся ли дополнительные – также вопрос без ответа. Обиднее всего будет тем операторам ПД, которые честно пытались сделать то, что от них требовали, если их усилия окажутся направленными не туда и не так. Интересно, компенсирует ли им в этом случае напрасные затраты государство?

Пункт 4. «Рекомендовать ФСБ России и ФСТЭК России продолжить работу по разъяснению порядка реализации организационных и технических мер по защите персональных данных в части обеспечения требований безопасности персональных данных при их обработке в информационных системах персональных данных, в первую очередь в лечебных, детских и учебных учреждениях». Тут также несколько вопросов:
  1) Многим ли уже разъяснили и насколько хорошо? И спросить об этом не у ФСТЭК/ФСБ а у тех, кому разъяснили.
  2) Многим ли еще осталось разъяснить?
  3) Обнаружили много лечебных, детских и учебных учреждений, которым «не разъяснили»? А удастся ли разъяснить и успеют ли к сроку? Не смущает ли, что организации, которым поздно разъяснят, не успеют обеспечить защиту ПД до 2010?

Пункт 5. «Считать целесообразным подготовку типовых отраслевых методических рекомендаций по защите информационных систем персональных данных». С января 2010 уже должен работать закон ФЗ-152. Подготовка отраслевых рекомендаций займет минимум месяц, а то и больше, их доведение (обучение) – и того больше. НТС полагает, что некуда спешить?

Пункт 6. «Рекомендовать Минкомсвязи России направить в ФСТЭК России и в ФСБ России предложения по результатам выполнения пункта 1 настоящего решения в части совершенствования методических документов по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с дальнейшим их вынесением на открытое обсуждение». Надо, видимо, понимать так, что Минкомсвязи советуют дать предложения ФСТЭК и ФСБ о внесении необходимых изменений, поскольку без этого необходимость изменений адресатам неочевидна, несмотря на «имеющиеся противоречия».

Пункт 7. «Предложить ФСТЭК России проинформировать операторов информационных систем персональных данных о планируемых сроках утверждения общедоступных методических документов по обеспечению безопасности персональных данных». Не только не утверждены, но и неизвестны сроки утверждения общедоступных документов об обеспечении безопасности. Помогать нам в работе по защите ПД ФСТЭК не спешит. А если речь еще и о закрытых на сегодня документах ФСТЭК (4-хкнижие с грифом «ДСП»), то еще и вопрос: «Почему ФСТЭК еще в феврале 2008 намеренно усложнил операторам ПД работу по обеспечению безопасности (невозможность обобщить опыт, запрет обсуждения методических материалов и т.п.)?»

Пункты 8 и 9. «Одобрить Программу учебного курса «Организация работы с персональными данными» специалистами МТУСИ совместно с представителями ЗАО «РНТ» и ООО «ИнфоТехноПроект» и предложения МТУСИ об организации повышения квалификации специалистов, осуществляющих обработку персональных данных. … подготовить предложения по внедрению Программы … в ВУЗах и учебных центрах России». Это – отличная инициатива. Но почему программа обучения не появилась хотя бы год-полтора назад, когда уже были все нормативные документы а заинтересованные операторы ПД по всей стране задавали 1 и те же вопросы – «Что и как делать?». Сколько ресурсов в стране потратили не на то и не так? Возможно нам и не привыкать самостоятельно постигать противоречия и по своему разумению пытаться решить проблемы, но как-то обидно, что спасаться каждый вынужден самостоятельно, хотя могли бы и своевременно помочь.

В итоге, после прочтения решения заседания НТС, грустные выводы.

Законодательство несовершенно, но совершенствовать его не спешат. Госорганы проявляют странное благодушие и не бьют в колокола, хотя созданы очевидные предпосылки к неисполнению принятых законов и нормативных актов вследствие их противоречивости и неоднозначности.
Подготовка работы по защите ПД была проведена на крайне низком уровне. И организационно и методически. Но «в Багдаде все спокойно», мы констатируем и рекомендуем.

Если мои личные интересы или интересы моих близких будут нарушены в рамках процессов обработки персональных данных, я, понятно, могу обвинить в этом конкретную организацию (если смогу вообще это выяснить). Но гораздо больше претензий лично у меня будет к госструктурам, ответственным за организацию и обеспечение защиты ПД, которые не обеспечили своевременность, качество процесса, полную его методическую и организационную поддержку.

Новый вид бизнеса по защите ПД лучше вести в условиях открытости и полноты информации, когда клиент может оценивать рациональность объемов и стоимости услуг, а специалисты – делать оптимальные решения с учетом потребностей клиентов. Ведь как-никак объем этого рынка оценивается в миллиарды рублей.

Ну и последнее. Наше государство заявляет о борьбе с коррупцией. В рамках этой борьбы надо сокращать среду, обеспечивающую возможность коррупции. А несовершенство законодательства в рассматриваемом вопросе, да еще с учетом масштабов работ, совокупных затрат, масс вовлеченных в процессы организаций создает предпосылки как раз для расширения коррупционной среды.

Т.о., на сегодня еще надо скорректировать законодательство и нормативно-методические документы, обеспечить методподдержку и разработать отраслевые рекомендации, обучить в требуемом объеме специалистов, организовать работу во всех регионах и муниципалитетах с вовлечением всех организаций и масштабным контролем работ. Так как мы все затягиваем пояса (кризис, секвестирование бюджета и т.п.) - надо снизить и затраты на реализацию мероприятий за счет понятности, прозрачности, доступности всех процедур и обеспеченности необходимыми ресурсами. И все это требует реальной оценки положения каждого потенциального оператора ПД, расчета объемов и сроков, которые позволят расcчитать фактически, а не умозрительно срок для ввода в действие нового закона. Сегодня же всем очевидно, что с 1 января 2010 закон ФЗ-152 вступит в силу, но не заработает повсеместно.