РФ не готова к исполнению закона о персональных данных с 2010 года

21.10.2009

Вернуться к списку новостей Целью закона, принятого Госдумой в 2006 году, является обеспечение защиты прав и свобод граждан при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Требование к операторам информационных систем персональных данных со стороны регуляторов, включающие такие механизмы госконтроля, как лицензирование деятельности по технической защите информации, сертификация средств защиты информации, требует достаточных материальных и трудовых ресурсов, которых у большинства операторов нет, заявил на парламентских слушаниях во вторник, посвященных правоприменительной практике при исполнении закона, первый зампред комитета по безопасности Михаил Гришанков.
"Особенно это касается бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса", - отметил депутат.
Участники рынка услуг по защите персональных данных также не в силах предоставить услуги всем заинтересованным операторам, которых, по экспертным оценкам, более 2 миллионов, добавил он.
Кроме того, подзаконная база сформировала чрезвычайно затратный, запутанный, противоречивый механизм, не учитывающий ни особенности обработки персональных данных в различных сферах деятельности, ни возможность оператора по обеспечению установленных требований, полагает парламентарий.
В ряде отраслей реализация данных требований, по мнению депутатов, потребует радикальных изменений бизнес-процессов, например, в банковской сфере и в сфере предоставления услуг связи, поскольку большинство коммерческих структур использует зарубежные программные продукты, и переход на отечественные продукты либо невозможен из-за отсутствия аналогов, либо несет огромные временные и материальные затраты, которые могут привести к остановке деятельности компании.
Значительные трудности вызывает на сегодняшний день трансграничная передача персональных данных. Во многом это обусловлено тем, что не определены критерии оценки адекватности защиты персональных данных в стране-получателе.
В рекомендациях к парламентским слушаниям отмечается, что финансовые проблемы реализации закона прогнозировались депутатами еще при обсуждении базового закона, поскольку затраты на его реализацию из средств федерального бюджета не предусматривались.
Выполнение органами госвласти, органами местного самоуправления, бюджетными организациями требований основных регуляторов по обеспечению безопасности обработки данных потребует резкого увеличения расходов из бюджетов всех уровней, "которые не планировались и неосуществимы в условиях кризиса", говорится в документе.
"Следствием указанных проблем стала массовая неготовность к исполнению федерального закона", - констатируют парламентарии, отмечая, что ситуация не может принципиально измениться за оставшиеся 2,5 месяца.
В связи со сложившейся ситуацией депутаты предлагают перенести на год вступление в силу статьи 19 закона, которая касается выполнения обязательных требований по безопасности обработки персональных данных, распространяемых на государственные информационные системы.
Кроме того, депутаты считают, что оператор вправе определять сроки хранения и уничтожения персональных данных в соответствии с условиями договора. Необходимо уточнить в законе случаи, когда согласие субъекта на обработку его персональных данных не требуется, отмечают они.
В законе следует уточнить и перечень сведений о лицах, которые имеют доступ к персональным данным субъекта, полагают парламентарии. Предлагается также исключить требования по обязательному использованию средств криптозащиты для обеспечения безопасности обработки персональных данных.
В то же время оператор обязан информировать уполномоченный орган по защите прав субъектов персональных данных, информировать о мерах, принимаемых по обеспечению безопасности данных при их обработке.
В свою очередь глава комитета по финансовому рынку Владислав Резник предложил ограничить роль государства обязанностью определения общеобязательных и минимальных требований к обеспечению безопасности персональных данных при их обработке, реализация которых не зависит от применения конкретного технического решения.
Еще один депутат Госдумы, руководитель Ассоциации региональных банков России Анатолий Аксаков полагает, что Банк России должен иметь возможность издавать свои нормативные акты, которые будут определять критерии работы кредитных организаций в данной сфере. Эти нормативные акты, по его мнению, должны быть согласованы с ФСБ России.
В аналитической информации 8-го центра ФСБ России также отмечается, что, в соответствии с проведенным опросом сотрудников, ответственных за информационное обеспечение ряда медицинских, социальных и образовательных организаций, значительная часть операторов не обладает достаточно квалифицированным персоналом и может испытывать трудности при формировании модели угроз и нарушителей, а также определении требуемого уровня защиты информации.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними