Летом 2011 года был подписан Президентом РФ, опубликован и вступил в силу Закон о внесении изменений в ФЗ «О защите персональных данных». Впервые он был издан в 2006 году, и уже тогда вызывал множество споров и дискуссий, а теперь претерпел значительные поправки, которые были ориентированы на упрощение некоторых процедур, объяснение спорных моментов и снятие противоречивых положений. Однако проблемы реализации данного закона, в особенности у операторов, ограниченных материально и не обеспеченных необходимыми кадрами, остаются. В первую очередь мы говорим о среднем и малом бизнесе.
Специфика среднего и малого бизнеса
На сегодня субъекты малого и среднего бизнеса, а также критерии, по которым можно отнести экономические субъекты к этим типам предпринимательства, прописаны в ФЗ «О развитии малого и среднего предпринимательства» за № 209 от 24.07.2007, а именно в четвертой статье. В этом законе определено, что к таким субъектам относятся коммерческие организации и потребительские кооперативы, за исключением госпредприятий и муниципальных унитарных, внесенные в ЕГРЮЛ, и физические лица, внесенные в ЕГРИП, осуществляющие деятельность в качестве предпринимателей без образования юридических лиц, а также фермерские хозяйства, отвечающие некоторым критериям. К примеру, это численность персонала: от сотни до двух с половиной сотен для средних предприятий и включительно до сотни для малых предприятий. Кроме того, от малых предприятий еще отделяют так называемые микропредприятия (численность сотрудников — до пятнадцати человек).
Говоря о применяемых на таких предприятиях информационных системах, которые бы попадали под действие закона о защите персональных данных, надо отметить, что их достаточно много. Начиная от локальных систем, где все элементы заключены в одном компьютере (кадровые или бухгалтерские, что предназначаются для обработки данных только по своему персоналу) и заканчивая разветвленными системами с многоступенчатой архитектурой построения, где обрабатываются огромные объемы персональной информации о клиентах, в том числе специальные разделы, требующие режима повышенной конфиденциальности.
Понятно, что требования к таким системам, методы реализации защиты, практическое их применение, а значит, временные и финансовые расходы будут весомо отличаться. И все это реализуется на фоне таких обстоятельств, которые в той или иной мереи присущи всем представителям конкретно среднего и малого бизнеса:
— До того, как появился ФЗ «О защите персональных данных», а также предусмотренная им система надзора и контроля, представители среднего, а уж малого бизнеса тем более, вопросами обеспечения безопасности персональной информации себя не отягощали. Это означает, что они не имеют достаточного опыта работы в этой сфере и обученного персонала, кроме того, у многих организаций ограничены и финансовые возможности.
— Организации, предоставляющие консультационные услуги по защите персональных данных, которыми могут выступать только имеющие лицензию ФСТЭК России и(либо) ФСБ, смотря по задачам, ориентируются на крупных клиентов, которые более привлекательны в финансовом плане, что обусловлено более крупными задачами и трудоемкостью оказываемых услуг. Даже физически реализовать работы для всех представителей мелкого (которых насчитывается как минимум 280 тысяч) и среднего предпринимательства с имеющимися ресурсами не представляется возможным.
— Необходимость следовать требованиям закона для основной массы представителей среднего и малого бизнеса в настоящее время не очевидна. Многие рассуждают так: мы не зарегистрированы в реестре операторов, поэтому у нас минимальная возможность подвергнуться проверке регулирующими органами, кроме того, административные и финансовые последствия нарушений не столько значительны, иными словами, они не больше расходов на реализацию методов защиты.
Мы не откроем секрет, если скажем, что даже большие компании со штатной службой информационной безопасности испытывали затруднения с подготовкой систем защиты систем персональных сведений. Что же тогда говорить о субъектах среднего и, тем паче, малого бизнеса.
Практика применения права демонстрирует, что закон работает только в случае, если: 1) установленные нормы и требования исполнимы и понятны, 2) система контроля и надзора эффективна, 3) несоблюдение закона вызывает серьезные последствия и не выгодно с экономической точки зрения. Названные условия и факторы станут определяющими в развитии ситуации в ближайшее время. Хотелось бы остановиться на них более подробно.
Реализуемость норм и требований
Необходимо вновь напомнить, что закон про защиту персональных данных подвергся значительным изменениям, направленным, кроме всего прочего, на упрощение процедур и смягчение отдельных требований. Например, изменения появились в условиях обработки персональных данных, взаимодействии с субъектом персональной информации, вопросах трансграничной передачи. Произошли весомые изменения и в отношении обеспечения информационной безопасности систем персональных данных, однако здесь упрощения пока что не являются очевидными.
Старая редакция закона содержала 19 статью, посвященную проблемам обеспечения безопасности, и ее смысл был следующим:
1) Оператор обязуется принимать меры (технически и организационные) для защиты персональных данных;
2) Правительством РФ установлены требования касательно обеспечения безопасности персональных данных, а ФСТЭК и ФСБ в рамках своей компетенции производят надзор за их выполнением.
В новой редакции 19 статья была пересмотрена и дополнена:
1) Появился перечень конкретных мер, при помощи которых достигается безопасность данных. В общем, эти мероприятия назывались и раньше, и они отражались в постановлении Правительства за № 781, где по закону определялся список требований касательно обеспечения безопасности персональных данных.
2) Добавлены новые понятия «угрозы безопасности» и «уровни защищенности».
3) Поменялась схема проведения работ. На сегодня он выглядит так:
- а) обязанность принимать нужные технические и организационные меры, либо обеспечить их принятие остается на операторе;
- б) Правительство РФ, учитывая возможный ущерб субъекту персональных данных, объем и содержание обрабатываемой информации, вид деятельности, актуальность угроз безопасности, определяет:
— Уровни защищенности персональных данных, смотря по угрозам безопасности этих данных;
— Требования относительно защиты персональных данных, выполнение которых обеспечивает названные уровни защищенности.
— ФСТЭК и ФСБ определяется содержание и состав технических и организационных мер, которые нужны для выполнения требований к защите персональных сведений любого уровня защищенности. Но это касается, в отличие от старой редакции, исключительно государственных информационных систем. Проверка операторов негосударственных систем производится на основе Постановления Правительства, учитывая содержание и значимость персональных данных, обрабатываемых оператором.
Вышло ли решить все вопросы в новой версии ФЗ, полноценно ли были соблюдены интересы субъектов персональных сведений, государства и оператора, и самое главное, действительно ли стала проще процедура практической реализации закона, покажет время. Многое зависит от содержания создаваемых в ФСТЭК и ФСБ подзаконных правовых и нормативных документов. Что могло бы способствовать реализации требований?
— Создание отраслевой методической документации, где бы перечислялись особенности работы предприятий среднего и малого бизнеса касательно защиты персональных сведений, операторам были бы даны простые рекомендации и способы защиты, направленные на типизацию решений.
Подобные рекомендации дают возможность не просто оптимизировать систему защиты и снизить затраты на обеспечение безопасности, но и уменьшить риски, которые связаны с отсутствием квалифицированных знаний в этой сфере у операторов. Уже имеется опыт разработки и реализации подобных документов. На такой шаг пошли некоторые государственные структуры коммерческие организации, обладающие разветвленной структурой филиалов либо подведомственных организаций, которые выполняют типовые задачи. Например, такие документы есть у Национальной ассоциации негосударственных пенсионных фондов, Центрального банка России, отдельных операторов связи.
— Разработка организациями, оказывающими консультационные услуги, решений, дающих возможность облегчения и упрощения процедур реализации требований закона.
Такие задачи реализуемы, однако для их решения необходимы человеческие и финансовые ресурсы. Здесь, как нам кажется, велика роль госорганов, которые курируют деятельность средних и малых предприятий, а также соответствующих профессиональных союзов и ассоциаций, могущих не только проявить инициативу в решении задач, но и гарантировать их сопровождение и финансовую поддержку.
Контроль регуляторами и последствия
Результат деятельности Роскомнадзора за прошлый год демонстрирует, что в РФ формируется достаточно действенная система защиты субъектов персональных сведений, главными составляющими в которой являются надзор и контроль над выполнением требований закона, реализуемые Службой. Данные отчета уполномоченного органа говорят о том, что количество проверок с каждым годом возрастает. В частности, в прошлом году были проведены более тысячи четырехсот плановых проверок, около восьмисот внеплановых проверок, из которых 366 по обращениям граждан. Было выписано 2250 предписаний на устранение нарушений, составили около 4.9 тысяч протоколов про административные правонарушения, что в два раза больше показателей предыдущего года.
Помимо этого, уполномоченные органы в последнее время предпринимают практические действия по изменению действующего закона в отношении ужесточения ответственности за нарушения в области персональных сведений. К примеру, предлагают не просто значительно увеличить сумму штрафов, но и продлить сроки вынесения административных наказаний.
Не исключаем, что в ближайшее время у операторов будут появляться добавочные стимулы, чтобы действовать согласно нормам закона и в полной мере выполнять требования регуляторов. Не стоит представителям среднего и малого бизнеса забывать о так называемом репутационном риске, который связан с применением штрафных санкций, что затем повлечет упущенные возможности и финансовые потери.
Все вышеперечисленные факторы будут способствовать выполнению законодательных норм. Однако для этого необходима консолидация усилий всех участников процесса: профессиональных союзов и ассоциаций, которые объединяют представителей среднего и малого бизнеса, государственных представителей, и, конечно же, у оператора должно быть стремление выполнять требования закона и обеспечивать защиту персональных данных.
Теги: 152-ФЗ практика ЗПДн