Новый федеральный закон № 152-ФЗ "О персональных данных", вступивший в силу в январе 2007 года, предполагает существенную реконструкцию существующих ИСПДн, ужесточает контроль и ответственность за неправомерное использование данных. Различных ИСПДн по данным Роскомнадзора в стране более 46 000. Время от времени часть баз данных компрометируется, в продаже на рынках появляются базы данных, содержащие сведения о клиентах и номерах телефонов сотовых операторов, данные о государственных номерных знаках, владельцах автомашин и другие. Закон был призван ликвидировать эти и другие утечки. Сроки на приведение ИСПДн в соответствие с требованиями закона № 152-ФЗ были даны явно не малые, однако, руководящие и направляющие, а, главное, разъясняющие участникам рынка суть происходящего подзаконные материалы, появились только в феврале 2008 года, они были выпущены ФСТЭК. До сих пор эти четыре документа не вызывают однозначного толкования со стороны профессионалов.
Некоторые нормы самого закона № 152-ФЗ противоречат действующему законодательству. К примеру, кредитная организация в соответствии со статьей 7 ныне действующего закона № 115-ФЗ от 7 августа 2001 года «О противодействии легализации (отмыванию) доходов, полученных преступным путем» обязана хранить документы, подтверждающие сведения, указанные в настоящей статье, а также необходимые для идентификации личности, не менее пяти лет. С другой стороны, согласно ст. 5 часть 2 № 152-ФЗ эта же кредитная организация, одновременно обязана уничтожить ПД по достижении целей обработки. При этом лицо, давшее письменное согласие на обработку своих данных, может даже отозвать свое согласие. По сути, федеральный закон в его сегодняшней редакции лишает банки возможности бороться с мошенниками и обмениваться о них информацией, указывает А.Аксаков.
Если говорить о кредитных организациях, то банки будут вынуждены не только существенно увеличить производительность компьютерных систем, но и провести в ближайшее время серьезный набор мероприятий по защите персональных данных от несанкционированного доступа и иных неправомерных действий. Коммерческие структуры, кредитные организации не готовы перестроиться, им не хватает сегодня для этого ресурсов, считает Анатолий Аксаков. Однако желающих контролировать ситуацию, обследовать и проводить аудит (разумеется, не бескорыстно) как всегда, достаточно. При этом вся масштабная работа по приведению ИСПДн в соответствие с требованиями № 152-ФЗ попала на период кризиса, когда ресурсы хозяйствующих субъектов истощены, а люди работают в предельно жестких, напряженных условиях, отмечает депутат Госдумы.
Анатолий Аксаков считает целесообразным продолжить необходимую работу по совершенствованию законодательной базы в области защиты прав субъектов персональных данных, доработать закон № 152-ФЗ и связанные с ним подзаконные акты. Работу надо проводить планово и системно, с учетом взаимной увязки усилий, направлений активности и их финансированием, необходимо проведение и разъяснительной работы, указывает А.Аксаков. Депутат Госдумы уверен, что следует перенести сроки приведения ИСПДн в соответствие с требованиями закона на 2 года.
Комментарии:
Елена Волчинская, ведущий советник аппарата Комитета Государственной Думы по безопасности:
Подзаконные акты Правительства и ведомств появились с опозданием, это создало проблемы реализации закона, и это стало очевидным именно сейчас. Складывающаяся практика применения Федерального закона «О персональных данных» выявила многочисленные правовые, организационные и финансовые проблемы. Так, последние связаны с тем, что при внесении Правительством РФ в Государственную Думу проекта федерального закона «О персональных данных» затраты на реализацию Закона из средств федерального бюджета не предусматривались.
Что касается разъясняющих документов, то после появления в середине 2008 года «Методических документов ФСТЭК России», имеющих гриф «для служебного пользования» (ДСП), появились методические документы ФСБ. Замечу, что для ограничительного грифа ДСП, по нашему мнению, нет юридических оснований. Это положение необходимо исправлять. Методические документы ФСБ подобного грифа не имеют, они размещены на сайте Роскомнадзора.
Оценивая закон в целом, скажу, что организационно-технические средства защиты информационных систем персональных данных всегда играют вспомогательную роль при обеспечении прав субъектов персональных данных, однако, предлагаемая ведомствами система технической защиты информационных систем персональных данных оказалась громоздкой и дорогой. В нашей реальности эти средства «перетянули одеяло на себя».
Дмитрий Назипов, старший вице-президент ОАО Банк ВТБ :
Требования по обработке данных, с одной стороны, не достаточно конкретны, и, в то же время, довольно сложны для реализации, времени на проведение мероприятий практически нет. Что важно? Не прописана методика оценки качества выполненных работ, их результатов – это, очевидно, оставляет простор для трактовки. Необходимо тщательнее отработать нормативную базу, с тем, чтобы важный закон поняли и смогли выполнить абсолютно все добросовестные владельцы информационных систем персональных данных – из ДЭЗов, школ, больниц.
25 апреля 2024 года
25 апреля 2024 года
