Актуальность вопроса защиты персональных данных ни у кого не вызывает сомнений. В первую очередь это обусловлено сроком, определенным для приведения информационных систем персональных данных (ИСПД) в соответствие с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Срок этот неумолимо приближается, и одновременно очевидная сложность выполнения требований руководящих документов регуляторов провоцирует массу споров и неоднозначных трактовок. В то же время закрытость некоторых руководящих документов, их неопределенный правовой статус, как и целый ряд других вопросов, не способствуют решению проблемы. Все это создает ситуацию, когда нормативная база не окончательно определена, а выполнять требования законодательства необходимо уже сейчас. О том, что можно и необходимо делать уже сегодня, рассказывает Евгений Царев, заместитель директора департамента развития LETA IT-company.
Выполнение требований закона для банковского сообщества является вовсе не тривиальной задачей. Здесь есть как организационные, так и технические сложности. Особые проблемы возникают при реализации требований ФСТЭК России. При проведении полномасштабных проектов зачастую возникают неразрешимые ситуации, когда выполнение требований регуляторов равносильно остановке бизнеса. Назрела необходимость выработки компромиссного решения, которое будет учитывать как требования регуляторов (особенно ФСТЭК), так и жизненно важные требования бизнеса операторов персональных данных банковской сферы.
Еще одним очень серьезным аргументом в пользу поиска компромисса с регуляторами можно назвать кадровую проблему. Для банков, как и для других операторов персональных данных, сложилась ситуация, когда отсутствие квалифицированных специалистов становится естественным ограничением при решении задачи создания системы защиты персональных данных. Учитывая, что проблематика защиты персональных данных находится на стыке многих областей знания (право, инженерия, менеджмент и т. д.), найти подготовленных людей по этому направлению практически невозможно. Специалистов нужно учить, а это время и инвестиции. Очевидно, что те 7 млн операторов персональных данных, деятельность которых подпадает под область действия Закона, просто неспособны выполнить тот колоссальный объем работ, который необходимо провести в соответствии с руководящими документами.
Очень активно к поиску путей выхода из сложившейся ситуации для банковского сообщества подключился Банк России в сотрудничестве с Ассоциацией российских банков.
22 мая 2009 г. прошло первое заседание рабочей группы по проблематике персональных данных в АРБ. На мероприятии в ходе открытого обсуждения были вполне четко обозначены проблемные области, волнующие банковское сообщество. В основном они касались именно технической защиты персональных данных и будущего взаимодействия между кредитно-финансовыми учреждениями и ФСТЭК. Представители Банка России озвучили в своем выступлении наработки в части организации исполнения закона «О персональных данных». Принципиально новыми и важными можно назвать попытки Банка России найти компромисс с регуляторами по части формулирования технических требований для банковского сообщества. Особо хочется отметить активность ЦБ РФ в работе с ФСТЭК России. Учитывая всю огромную массу сложностей при выполнении требований руководящих документов ФСТЭК, Банк России принял решение по подготовке собственных документов (проектов документов), которые на сегодняшний день согласуются с ФСТЭК. Можно предположить, что высока вероятность появления нового отраслевого стандарта для кредитно-финансовых учреждений по персональным данным. Сразу скажу, что предлагаемые ЦБ документы коренным образом отличаются от существующего «Четверокнижия» ФСТЭК.
Резонный вопрос: что же теперь делать операторам персональных данных? Ведь проверки уполномоченного органа по защите прав субъектов персональных данных уже сейчас идут в массовом порядке, и в плане на 2009 г. стоит более 300 плановых проверок, а есть еще и внеплановые (в 2008 г. количество внеплановых проверок составило 60% от общего числа).
В этой обстановке каждый оператор должен выбрать свой путь: будет ли это комплексный проект, разбиваемый на этапы, либо отдельные «лоскутные» меры и решения.
Если компания выберет второй путь, то сейчас можно сосредоточиться на выполнении требований Роскомнадзора и проведении необходимой аналитической работы, которая не теряет актуальность при возможном изменении требований по технической защите, — в частности, можно сделать следующее:
Если компания выберет комплексный проект с привлечением сторонних консультантов, то необходимо внимательно подойти к выбору поставщика услуги, так как далеко не все предлагаемые пакеты услуг позволяют учитывать возможные изменения в нормативной базе, и оптимизировать затраты заказчика. Необходимо, чтобы консультант предложил такой комплекс решений, чтобы не сложилась ситуация, когда вновь созданную систему пришлось бы полностью переделывать под изменившиеся условия через несколько месяцев.
Одним словом, необходимо максимально выполнить требования федерального законодательства и подзаконных актов с учетом возможных перемен.
К сожалению, даже специалисты забывают о сути и духе закона. Мы слишком часто сосредотачиваемся на требованиях ФСТЭК и ФСБ России, при этом забывая, что цель закона: «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».
Закон призван защищать права субъектов персональных данных, и защита информации (по аналогии с законодательством других стран) носит второстепенный характер. Поэтому для любого оператора актуально в первую очередь устранять ситуации, когда нарушаются права субъектов персональных данных. Для этого необходимо:
1) наладить работу с обработкой обращений субъектов персональных данных на доступ к своим персональным данным, так как даже несвоевременный ответ на запрос субъекта является основанием для подачи жалобы в уполномоченный орган по защите прав субъектов персональных данных с последующей внеплановой проверкой;
2) наладить работу по удалению/изменению/дополнению персональных данных.
…
Иными словами, необходимо создать систему организационных мер, для адекватного взаимодействия с субъектами персональных данных.
Ни для кого не секрет, что за последние полгода ситуация на рынке труда очень сильно изменилась. Одновременно с волной увольнений идет волна исковых заявлений в судах. Федеральный закон «О персональных данных» служит одним из инструментов воздействия на работодателя. Уже есть прецеденты, когда иски в суды несут не с претензиями на «неправильное» увольнение, а с претензиями по обработке персональных данных. Учитывая достаточно жесткие условия и формулировки Закона, сегодня можно выиграть дело практически против любого оператора персональных данных. И опасны здесь не столько материальные потери в виде штрафов, сколько сумма косвенных издержек. Проверка регулятором может занять 4—6 недель, и на это время масса ресурсов компании переключится на обслуживание проверки. Добавьте негативный пример для других сотрудников, повышенное внимание других регуляторов и репутационные риски. В результате получается очень большая сумма издержек, которая может многократно превзойти затраты на построение адекватной системы защиты персональных данных.
