Адрес: https://polit.ru/news/2009/10/20/pd/


20 октября 2009, 17:02

Обеспечить защиту персональных данных в России невозможно, по крайней мере, еще год

«Защищать персональные данные все равно придется», — заявил зампред думского комитета по безопасности Михаил Гришанков в своем докладе на парламентских слушаниях посвященных данной теме во вторник в Малом зале Госдумы, передает наш корреспондент Лев Файнберг. Докладчик предупредил, что закон вступает в силу в полном объеме с 1 января 2010 года Россия столкнется с массовым неисполнением закона, которое потребует резкого увеличения расходов из бюджетов всех уровней. В комментарии нашему корреспонденту Михаил Гришанков пояснил, что предложения от банковского сообщества состоят в переносе на два года срока вступления в силу статьи 19 закона о персональных данных, но оптимально наверно перенести на год и при этом необходимо реализовать на уровне правительства работу по реализации закона, т. е. необходима четкая координация всех органов власти по реализации этого закона. Самым дорогостоящим в числе предусмотренных ст. 19 мер защиты информации является разработка программного обеспечения, использование шифрованных средств обработки информации. По словам Гришакова, потенциал для разработки программ в России есть, но для Минздрава средства шифрования обойдутся почти в 15 млрд руб., для банковского сообщества суммы исчисляются полутора миллиардами долларов — примерно 50 млрд руб. «То есть суммы достаточно большие и это тоже нужно учитывать», — сказал депутат. Он подчеркнул, что ряд технологий уже предлагается, но к 1 января 2010 года не успевают. В итоговом документе слушаний отмечено, что в настоящее время функции уполномоченного органа по защите прав субъектов персональных данных возложены на ФС массовых коммуникаций (Роскомнадзор), однако в Постановлении правительства о его деятельности нашли отражение не все предусмотренные законом полномочия. Значимой остается задача приведение статуса уполномоченного органа в соответствие с требованиями Дополнительного протокола к Конвенции Совета Европы от 8 ноября 2001 о защите физических лиц при автоматизированной обработке персональных данных.

Во исполнение Постановления правительства по техническому и экспортному контролю (ФСТЭК) утвержден пакет методических документов по определению угроз персональным данным, они имеют гриф ДСП и в настоящее время перерабатываются. Требования ФСТЭК включают такие механизмы государственного регулирования, для реализации которых у большинства операторов нет достаточных материальных и трудовых ресурсов. Одновременно ФСБ утверждены требования по криптографическим средствам, они имеются в публичном доступе в сети Интернет. Участники рынка услуг защиты персональных данных не могут предоставить услуги всем заинтересованных операторам, которых в по экспертным оценкам в России более двух миллионов. В ряде отраслей установление указанных требований потребует радикальных изменений бизнес-процессов, поскольку большинство коммерческих структур используют зарубежные программные продукты и переход на отечественные невозможен из-за отсутствия аналогов.

Председатель думского комитета по финансовому рынку Владислав Резник в своем выступлении на слушаниях предположил, что большинство сталкивались с нарушениями своих прав как субъектов персональных данных — неавторизованные письма, спам, письма рекламного характера, рекламные звонки, SMS, утечка баз страховых компаний, утечка информации о клиентах банков — номера банковских карт. Величина затрат на защиту персональных данных достигает 4-6% ВВП и по мнению Резника, эта сумма настолько велика, что никогда не будет потрачена. Глава комитета указал на необходимость соблюдения баланса интересов субъектов персональных данных и операторов. «Законодатель всегда будет отставать от многообразия человеческих отношений, но это не должно служить препятствием бизнесу», — сказал Резник. Он считает, что защита персональных данных должна быть аргументом в конкурентной борьбе, предостерегая коллег от ужесточения санкций.

От комитета по госстроительству выступил старший советник комитета Андрей Федосенко, который признал, что закон вряд ли мог быть совершенным и избежать ошибок не удалось. Баланс интересов субъекта персональных данных, операторов, третьих лиц и общества в целом излишне смещен в пользу операторов. Потребуется приведение самого закона о персональных данных в соответствие с той реальностью, в которой мы живем, заявил Федосенко.

Отмечено, что в рекомендациях слушаний приведена позиция операторов, согласно которой баланс смещен в сторону интересов субъектов персональных данных.

Депутат фракции «Справедливая Россия», президент Ассоциации региональных банков Анатолий Аксаков в своем выступлении отметил, что можно в короткие сроки принять закон по ответственности тех, кто уже нарушает закон, продает персональные данные на Горбушке. Проблема возникла с бюро кредитных историй, после обращения человека за получением кредита банк может установить недостоверность сведений, но по закону он может потребовать уничтожения персональных данных и добиться получения кредита в другом месте. По словам Аксакова, в законе говорится о правах субъектов персональных данных, но нет об обязанностях, и об обязанностях операторов, но не о правах. К информации крупных банков с большой филиальной сетью имеют доступ многие и всегда можно привести сто бабушек, чтобы создать банку проблемы.