версия для печати
Новая полугодовая отсрочка по 152-ФЗ – последний шанс российского бизнеса?

Новая полугодовая отсрочка по 152-ФЗ – последний шанс российского бизнеса?

Вступление в силу требований к системам, используемым для обработки персональных данных, откладывается еще на полгода. Это дает малым и средним компаниям реальный шанс выполнить весь цикл операций, связанных с приведением систем в соответствие законодательным требованиям. Отсиживаться в стороне не имеет смысла: законодательство постепенно улучшается, но радикальных перемен в ближайшее время не будет.

Совет Федерации одобрил очередную отсрочку вступления в силу требований о приведении информационных систем в соответствие с требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ “О персональных данных” (далее – “Закон о ПДн”). Таким образом, законодатель косвенно признал, что российские организации в основной своей массе пока не готовы выполнять требования закона.

Однако какие возможности открывает перед российским бизнесом очередная полугодовая отсрочка? И можно ли за этот небольшой срок успеть внести требуемые изменения в информационные системы?

Прежде всего, следует напомнить, что отсрочка касается только тех информационных систем, которые были введены в эксплуатацию до 1 января 2010 года. Что же касается систем, разработанных в 2010 году, то в их отношении отсрочка не имеет никаких последствий – они изначально должны соответствовать требованиям Закона о ПДн в полной мере.

Отсидеться в стороне?

В российских компаниях достаточно широко распространена точка зрения, согласно которой регулирование в области персональных данных настолько запутанное, что наиболее правильным решением будет отсидеться в стороне и дождаться, пока ситуация устаканится. Но опрошенные CNews эксперты такое мнение не разделяют: “Не стоит ждать, что закон отменят или что проверка минует организацию”, – комментирует Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems.

С какими реальными рисками столкнутся опоздавшие? По мнению экспертов, в лучшем случае удастся отделаться легким испугом: поданные иски не всегда принимаются к рассмотрению: “Все зависит от того, попадет ли организация в план проверок и найдут ли у нее нарушения”, – считает Алексей Лукацкий. И здесь никто не застрахован: “Под проверку может попасть любая организация, вне зависимости от того, зарегистрирована она в качестве оператора или нет”, – считает Татьяна Коротаева, ассистент менеджера PricewaterhouseCoopers.

Права российских граждан в области персональных данных защищает целая система ведомств

Источник: Роскомнадзор, 2010

Дальнейшие последствия, по мнению Алексея Лукацкого, будут зависеть от характера нарушений: “Если нарушения будут выявлены, то, в зависимости от статьи КоАП РФ, по линии Роскомнадзора наказание может составить всего 5 тыс. руб. (ст. 19.7). Если Роскомнадзор привлечет прокуратуру, то по ст.13.11 наказание может составить всего 10 тыс. руб. И только в случае невыполнения предписания об устранении нарушения по результатам проверки максимальное наказание может составить до 500 тыс. рублей”. Таким образом, риски связанные с невыполнением требований законодательства о персональных данных, в настоящее время сравнительно невелики. Однако, по мнению эксперта Cisco Systems, ситуация вскоре может измениться в худшую сторону: “С 1-го января могут вступить в игру ФСТЭК и ФСБ, и они, помимо статьи 19.7, смогут применить также статью 13.12 “Нарушение правил защиты информации”, максимальное наказание по которой может заключаться в конфискации или приостановлении деятельности на срок до 90 суток”.

Что можно успеть за полгода?

При должном уровне организации, за полгода можно добиться существенных результатов в приведении корпоративных систем в соответствие с требованиями Закона о ПДн: “Отсрочка позволит если не финализировать, то, по крайней мере, разработать поэтапные планы по реализации мер, направленных на обеспечение требований законодательства, и начать их реализовывать”, – считает Татьяна Коротаева.

Самым первым шагом должно стать планирование: “Прямо сейчас стоит составить план приведения себя в соответствие, – говорит Алексей Лукацкий. – Благо, свободно скачиваемых примеров такого плана в интернете немало. А потом пройти по этому плану, выполняя его пункты шаг за шагом. В зависимости от размера компании, этот путь может занять от 80 дней и до года. Последнее, разумеется, при условии организации немаленького масштаба”, – отмечает эксперт Cisco Systems.

Показатели деятельности Роскомнадзора в области защиты персональных данных

Количество зарегистрированных операторов персональных данных (по состоянию на 15 октября 2010 года) 138 тыс
 
Количество проверок, осуществленных за время выполнения Роскомнадзором своих функций по защите персональных данных, в том числе: 1327
  плановых: 886
  внеплановых: 441
Количество обращений в 2010 году, в том числе: 1296
  справочного характера: 360 (28%)
  жалоб: 936 (72%)
    в том числе, направлено в прокуратуру: 338
Количество предупреждений, вынесенных СМИ за распространение персональных данных граждан без их согласия (за 2009-2010 годы): 32
Количество исковых заявлений, направленных в суды в защиту  прав неограниченного круга  субъектов персональных данных (за 2009-2010 годы): 16

Источник: Роскомнадзор, 2010

“Требования ФЗ-152 не являются принципиально невыполнимыми, но часто являются технически сложными, затратными в плане материальных и человеческих ресурсов”, – продолжает Татьяна Коротаева. В зависимости от масштаба и рода деятельности, разные компании сталкиваются с разными сложностями. Для крупных компаний само по себе фактическое установление всех систем персональных данных может оказаться проблематичным. “Компании, обрабатывающие большие объемы персональных данных, могут столкнуться с трудностями при получении надлежащего согласия на обработку данных и поддержания этой информации в актуальном состоянии, особенно учитывая введение с 1 января 2011 года требования об обязательной личной подписи на таком согласии”, – сообщает Татьяна Коротаева. Эксперт PricewaterhouseCoopers также отмечает, что новые требования потребуют реорганизации веб-сайтов: “Формально все онлайн-опросы скорее всего придется сделать полностью анонимными, привязывая к IP-адресам респондентов. Интернет-магазинам, по-видимому, придется организовывать подписание согласий на обработку данных при непосредственной доставке товаров”.

Не в последнюю очередь соблюдение законодательства о персональных потребует работы с людьми и службами, которые занимаются обработкой данных: “Необходимо “просвещать” персонал и учитывать операционные потребности компании”, – предупреждает Татьяна Коротаева.

Каковы перспективы?

Качество существующего законодательства в области персональных данных во многом оставляет желать лучшего. “При желании и умелом трактовании закона (или его непонимании) нарушения можно найти у многих, – сетует Алексей Лукацкий. – Именно поэтому улучшения законодательства идут постоянно, и в ФЗ-152 регулярно вносятся изменения”. В настоящее время обсуждается уже прошедший первое чтение “законопроект Резника”, который должен устранить наиболее одиозные и спорно трактуемые положения. Но некоторые эксперты считают, что никакие законопроекты не смогут радикально улучшить существующее положение дел: “Если будет принят законопроект Резника (или любой другой), то поменяются лишь детали, суть останется прежняя, – отмечает в личном блоге Евгений Царев, заместитель директора департамента развития компании “Лета”. – Суть может поменяться только в случае изменения позиции ФСТЭК и ФСБ (чего лично я и большинство участников рынка искренне желают), но этого пока не видно”.

Из всего спектра современных ИТ-систем наиболее тесно с обработкой персональных данных связаны, по-видимому, CRM-системы. В то же время, вступление в силу ФЗ-152 и появление новых требований о сертификации ПО, используемого для обработки персональных данных, не потребовало от поставщиков CRM-систем внесения в свое ПО сколь-либо существенных изменений. “Компании SAP не потребовалось дорабатывать свои продукты в связи с вступлением в силу ФЗ-152”, – говорит Александр Федоров, Директор по развитию продуктов SAP СНГ. Однако, признает Александр Федотов, внедрение сертифицированного ПО – это лишь небольшая часть всего комплекса необходимых мероприятий, которые могут успешно реализовать партнеры SAP. Аналогичный ответ был получен от пресс-службы Microsoft: “Microsoft в России сертифицировал CRM-системы без изменений и доработок и получил класс К2. Системы удовлетворяют требованиям законодательства”.

“В любом случае, бояться проверок не стоит, – резюмирует Алексей Лукацкий. – “Просто, надо знать права и обязанности – свои и проверяющих. А они четко зафиксированы в ФЗ-294 “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля”. Ну и конечно, стоит ознакомиться с самим ФЗ-152 и, как минимум, Гражданским кодексом – тогда многие вопросы, кажущиеся нерешаемыми, решаются очень легко”.

Егор Гребнев / CNews Analytics

Toolbar | КПК-версия | Подписка на новости  | RSS