Проверка связи в вопросе о персональных данных
Проверка связи в вопросе о персональных данных
Вопрос защиты персональных данных (ПД) меня лично интересует давно. Во-первых, с точки зрения сотрудника ИТ-компании. Ну, тут все логично – мы поставляем собственные ИТ-решения (ERP и ECM-системы) и кому, как не нам, важно знать необходимые требования по защите ПД в своих решениях. Во-вторых, с точки зрения клиентов. К кому, как не к нам, в первую очередь клиенты обратятся с вопросами "Что делать"? Ну и наконец, я, как гражданин, также слежу за тем, каковы перспективы защиты в моем государстве персональных данных лично моих и моих близких. Благо, процесс идет уже не первый год, с рядом документов мы знакомы, а о состоянии дел у клиентов знаем не понаслышке.
Интересно было в связи с этим узнать о том, что 26 августа 2009 г. в Министерстве связи и массовых коммуникаций РФ состоялось заседание секции научно-технического совета (НТС), посвященное рассмотрению вопроса «О состоянии и проблемах защиты персональных данных и исполнения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»».
На заседании были выслушаны предложения и точки зрения как представителей государственных структур, так и ряда коммерческих, в том числе Исполнительного директора Ассоциации российских банков (АРБ) В.В. Шипилова и заместителя Генерального директора ОАО «Связьинвест» С.А. Лукаша.
К слову, предложение АРБ о переносе сроков вступления в силу закона ФЗ-152, несмотря на представленные обоснования, принято не было. Но само решение, принятое на секции НТС, показалось любопытным. Далее по отдельным пунктам.
Пункт 1. Рекомендовано «Минкомсвязи России обобщить в сентябре 2009 года предложения ФСТЭК России, ФСБ России, Роскомнадзора по гармонизации нормативной правовой базы в области персональных данных на предмет соответствия действующему законодательству. Подготовить предложения по дальнейшему анализу имеющихся противоречий и принять решение о необходимости внесения изменений в действующие нормативные правовые акты, регулирующие сферу персональных данных». Уже выявили ряд противоречий, обобщаем, продолжаем выявлять, а затем решаем вопрос о необходимости внесения изменений в нормативно-правовые документы. Хорошая нормативно-законодательная подготовка процесса, не так ли? Особенно если учесть, что отдельные документы действуют уже 1,5-3 года и работа по защите ПД уже должна быть завершена к 2010 году. Странно, что заблаговременно не привлекли к анализу документов юристов и технических экспертов. Или привлекли не тех.
Пункт 2. Минкомвязи рекомендовано "принять возможные меры, направленные на ускорение рассмотрения Государственной Думой Федерального Собрания Российской Федерации во втором и третьем чтении законопроекта «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и принятием Федерального закона «О персональных данных»". Дали необязательный к исполнению совет поторопить процесс изменения законодательства, которое отличается от ратифицированной у нас Конвенции Совета Европы, имеющей, к слову, больший приоритет, чем Российское законодательство. Как в итоге изменятся требования по исполнению закона, были ли напрасны прежние затраты организаций на обеспечение текущих требований нормативно-законодательных документов РФ, не появятся ли дополнительные – также вопрос без ответа. Обиднее всего будет тем операторам ПД, которые честно пытались сделать то, что от них требовали, если их усилия окажутся направленными не туда и не так. Интересно, компенсирует ли им в этом случае напрасные затраты государство?
Пункт 4. «Рекомендовать ФСБ России и ФСТЭК России продолжить работу по разъяснению порядка реализации организационных и технических мер по защите персональных данных в части обеспечения требований безопасности персональных данных при их обработке в информационных системах персональных данных, в первую очередь в лечебных, детских и учебных учреждениях». Тут также несколько вопросов:
1) Многим ли уже разъяснили и насколько хорошо? И спросить об этом не у ФСТЭК/ФСБ а у тех, кому разъяснили.
2) Многим ли еще осталось разъяснить?
3) Обнаружили много лечебных, детских и учебных учреждений, которым «не разъяснили»? А удастся ли разъяснить и успеют ли к сроку? Не смущает ли, что организации, которым поздно разъяснят, не успеют обеспечить защиту ПД до 2010?
Пункт 5. «Считать целесообразным подготовку типовых отраслевых методических рекомендаций по защите информационных систем персональных данных». С января 2010 уже должен работать закон ФЗ-152. Подготовка отраслевых рекомендаций займет минимум месяц, а то и больше, их доведение (обучение) – и того больше. НТС полагает, что некуда спешить?
Пункт 6. «Рекомендовать Минкомсвязи России направить в ФСТЭК России и в ФСБ России предложения по результатам выполнения пункта 1 настоящего решения в части совершенствования методических документов по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с дальнейшим их вынесением на открытое обсуждение». Надо, видимо, понимать так, что Минкомсвязи советуют дать предложения ФСТЭК и ФСБ о внесении необходимых изменений, поскольку без этого необходимость изменений адресатам неочевидна, несмотря на «имеющиеся противоречия».
Пункт 7. «Предложить ФСТЭК России проинформировать операторов информационных систем персональных данных о планируемых сроках утверждения общедоступных методических документов по обеспечению безопасности персональных данных». Не только не утверждены, но и неизвестны сроки утверждения общедоступных документов об обеспечении безопасности. Помогать нам в работе по защите ПД ФСТЭК не спешит. А если речь еще и о закрытых на сегодня документах ФСТЭК (4-хкнижие с грифом «ДСП»), то еще и вопрос: «Почему ФСТЭК еще в феврале 2008 намеренно усложнил операторам ПД работу по обеспечению безопасности (невозможность обобщить опыт, запрет обсуждения методических материалов и т.п.)?»
Пункты 8 и 9. «Одобрить Программу учебного курса «Организация работы с персональными данными» специалистами МТУСИ совместно с представителями ЗАО «РНТ» и ООО «ИнфоТехноПроект» и предложения МТУСИ об организации повышения квалификации специалистов, осуществляющих обработку персональных данных. … подготовить предложения по внедрению Программы … в ВУЗах и учебных центрах России». Это – отличная инициатива. Но почему программа обучения не появилась хотя бы год-полтора назад, когда уже были все нормативные документы а заинтересованные операторы ПД по всей стране задавали 1 и те же вопросы – «Что и как делать?». Сколько ресурсов в стране потратили не на то и не так? Возможно нам и не привыкать самостоятельно постигать противоречия и по своему разумению пытаться решить проблемы, но как-то обидно, что спасаться каждый вынужден самостоятельно, хотя могли бы и своевременно помочь.
В итоге, после прочтения решения заседания НТС, грустные выводы.
Законодательство несовершенно, но совершенствовать его не спешат. Госорганы проявляют странное благодушие и не бьют в колокола, хотя созданы очевидные предпосылки к неисполнению принятых законов и нормативных актов вследствие их противоречивости и неоднозначности.
Подготовка работы по защите ПД была проведена на крайне низком уровне. И организационно и методически. Но «в Багдаде все спокойно», мы констатируем и рекомендуем.
Если мои личные интересы или интересы моих близких будут нарушены в рамках процессов обработки персональных данных, я, понятно, могу обвинить в этом конкретную организацию (если смогу вообще это выяснить). Но гораздо больше претензий лично у меня будет к госструктурам, ответственным за организацию и обеспечение защиты ПД, которые не обеспечили своевременность, качество процесса, полную его методическую и организационную поддержку.
Новый вид бизнеса по защите ПД лучше вести в условиях открытости и полноты информации, когда клиент может оценивать рациональность объемов и стоимости услуг, а специалисты – делать оптимальные решения с учетом потребностей клиентов. Ведь как-никак объем этого рынка оценивается в миллиарды рублей.
Ну и последнее. Наше государство заявляет о борьбе с коррупцией. В рамках этой борьбы надо сокращать среду, обеспечивающую возможность коррупции. А несовершенство законодательства в рассматриваемом вопросе, да еще с учетом масштабов работ, совокупных затрат, масс вовлеченных в процессы организаций создает предпосылки как раз для расширения коррупционной среды.
Т.о., на сегодня еще надо скорректировать законодательство и нормативно-методические документы, обеспечить методподдержку и разработать отраслевые рекомендации, обучить в требуемом объеме специалистов, организовать работу во всех регионах и муниципалитетах с вовлечением всех организаций и масштабным контролем работ. Так как мы все затягиваем пояса (кризис, секвестирование бюджета и т.п.) - надо снизить и затраты на реализацию мероприятий за счет понятности, прозрачности, доступности всех процедур и обеспеченности необходимыми ресурсами. И все это требует реальной оценки положения каждого потенциального оператора ПД, расчета объемов и сроков, которые позволят расcчитать фактически, а не умозрительно срок для ввода в действие нового закона. Сегодня же всем очевидно, что с 1 января 2010 закон ФЗ-152 вступит в силу, но не заработает повсеместно.
Комментарии 2
Налицо профанация идеи защиты наших персональных данных. Это констатируют государственные органы, это признают коммерческие структуры, об этом говорит и масса экспертов. И только те, кто непосредственно связаны с этим бизнесом, упорно убеждают нас в том, что нам срочно, немедленно надо вести работы по защите ПДн. И покупать услуги экспертов, так как самим "операторам" персональных данных постичь в полной мере требования все-равно не удастся.
Собственно, выходов только 2 - либо проводить защиту ПДн с неопределенным результатом, т.к. полной уверенности в том, что будет сделано все необходимое, не будет (если, конечно, нет нескольких лишних миллионов, которые поможет освоить суперкавлифицированный эксперт), либо не делать ничего, уповая на авось. Большинство организаций, тем более бюджетники, именно так и делают, отчитываясь в вышестоящие структуры о том, что "выполнено", "реализовано", "обеспечено" и т.п. А администрации, управления и комитеты, взявшие на себя ответственность за организацию и контроль, делают вид, что поверили в исполнение своих распоряжений.
Если же "грянет гром", каждая из сторон сможет отмазаться: либо сказать "мы не поняли, что надо было делать (не научили, не разъяснили вовремя лечебным, образовательным, дестким учреждения )", либо заявить, что "мы поверили, что требования выполнены, а нас ввели в заблуждение". И так - в большинстве орагнизаций, тем более - бюджетных. И никто не заинтересован в том, чтобы вскрыть всю глубину и масштаб проблемы, иначе будут неприятные вопросы ко всем. А так, может пронесет, рассосется, решится как-нибудь ...
Так что защита персональных данных и контроль за их неразглашением немало будут зависеть от нас самих. Да только кому из нас до этого дело? Вот, например, в той же Германии уже в который раз граждане лично, персонально выступают за защиту своих данных. Мы же, российские граждане, в этом отношении пассивны и благодушны, наравне с нашим правительством и владельцами наших персональных данных ...