ТАТЬЯНА ЗОЛОТОВА, НАТАЛИЯ ВЕДЕНЕЕВА
© ComNews
04.07.2011

На прошлой неделе, 1 июля, завершился очередной срок, предоставленный операторам персональных данных, на приведение своих информационных систем в соответствие требованиям федерального закона №152-ФЗ "О персональных данных". Между тем сам закон прошел в пятницу в Госдуме только второе чтение - депутаты уточнили условия и правила обработки персональных данных - и уже имеет положения, придающие ему обратную силу. Третье чтение закона запланировано на 5 июля.

Требование о приведении в соответствие информационных систем персональных данных (ИСПДн) и срок исполнения установлены ст. 23 ч. 3 ФЗ "О персональных данных" (редакция от 23 декабря 2010 г.). Закон затрагивает все компании, хранящие данные о сотрудниках и клиентах. "Срок приведения в соответствие требованиям, в первую очередь техническим, ранее созданных информационных систем (до января 2011 г.) продлевался дважды. Сейчас, по сути, меняются сами эти требования. Как представляется по замыслу законодателя - в сторону смягчения. Ст. 19 меняется достаточно существенно", - сказал в пятницу в разговоре с репортером ComNews Андрей Федосенко, представитель аппарата комитета Госдумы по конституционному законодательству и государственному строительству (ответственный комитет по предоставлению документа).

Напомним, что разработанные технические требования к ИСПДн должны были вступить в силу с 1 января 2010 г., однако рынок оказался к этому не готов. В декабре 2009 г. Госдума в спешном порядке приняла ФЗ №363 "О внесении изменений в ст. 19 и 25 ФЗ "О персональных данных", в соответствии с которым срок вступления в силу ИСПДн был перенесен на 1 января 2011 г. 23 декабря прошлого года закон подвергся еще одному изменению. Согласно принятым тогда поправкам к закону (№359-ФЗ) "информационные системы, созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями настоящего ФЗ не позднее 1 июля 2011 г.". И теперь это окончательный срок, указывает Андрей Федосенко. При этом принятый во втором чтении поздно в пятницу законопроект содержит положение, придающее ему обратную силу.

Ассоциация региональных операторов связи (АРОС), ознакомившись с поправками законопроекта ко второму чтению, считает, что его по-прежнему нужно доработать. В конце января эта организация уже направляла в Минкомсвязи, профильные комитеты Госдумы и Совет Федерации предложения по изменению закона. С тем, что закону необходима доработка, соглашались и участники телекоммуникационного рынка (см. новость ComNews от 2 февраля 2011 г.).

Недовольства по отношению к закону у АРОС остались. Руководитель нормативно-правовой рабочей группы АРОС Василий Левчик отмечает, что в законопроекте, предложенном ко второму чтению, с одной стороны, серьезно либерализована ключевая ст. 19, с другой - не решена проблема надлежащего определения понятия "персональные данные" (ПД), а значит, по-прежнему неясно, как доступ к ним без согласия их субъекта соотносится с ч. 1 ст. 24 Конституции. "Для базового понятия "персональные данные" в законе не установлено никакого соответствия с защищаемыми Конституцией "личной и семейной тайной" и "информацией о частной жизни", - говорит Василий Левчик. Правда, что касается определения базовых терминов "личная и семейная тайна", их соотнесение с профессиональными тайнами (банковской, налоговой, медицинской, нотариальной и пр.), а также резкого ограничения сферы действия понятия "информация о частной жизни", то готового решения у АРОС нет. "Есть понимание, что их надо определить и разграничить и что, возможно, целесообразно ввести понятие "информация о социальной жизни лица" - но это все требует честной работы многих юристов", - рассуждает собеседник ComNews. Он отмечает, что помимо этого, у АРОС нет отдельных "отраслевых" претензий к закону, но вышеперечисленные недостатки являются настолько серьезными, что замалчивать их невозможно.

Василий Левчик объясняет сложность принятия закона в том числе и тем, что непрост сам объект регулирования - информация. По его мнению, те компании на рынке телекоммуникаций, которых этот закон касается, выбрали выжидательную позицию. "Среди операторов связи та же "большая тройка" тоже не идет далеко. Они удовлетворились год назад изъятием из закона одиозной и бессмысленной нормы о тотальном шифровании, - рассказывает Василий Левчик. - Позиция АРОС - наиболее радикальная, она имеет цель максимально снять административные барьеры и добиться полной определенности правоприменения - то есть лишить чиновников кормушки. В связи с этим хоть как-то близка к нашей позиции одна из поправок в ст. 19 - о том, что государство (правительство РФ) устанавливает требования для государственных информационных систем, а для всех остальных - только некие "уровни безопасности" для разных видов деятельности. То есть появилась надежда, что подзаконно будет прописано не как этого достигать, а какие объективные, измеряемые результаты следует показать проверяющим. Но, опять же, понятие "уровень защиты" в законопроекте не определено, поэтому в него могут включить и регламентацию действий - тогда разницы никакой по сравнению с сегодняшней ситуацией".

Пресс-служба МТС, комментируя законопроект о защите персональных данных, отмечает, что основная сложность в требованиях закона состоит в том, что он предъявляет одинаково жесткие требования к системам обработки и хранения персональных данных для всех операторов ПД, не дифференцируя компании и перечни ПД (банки, страховые компании, операторы связи и пр.). "Кроме того, требуется использование средств защиты информации, прошедших в установленном порядке оценку соответствия. Это означает, что информационные системы ПД, которые уже установлены в компаниях до принятия закона и обеспечивают защиту, все равно придется менять или модифицировать в целях получения сертификата на средства защиты информации. Выполнение задачи требует значительных средств, а в некоторых случаях она не выполнима из-за того, что информационные системы иностранного производства сложно сертифицировать, и производители в этом не заинтересованы, кроме того, пользователи никаких дополнительных преимуществ не получают", - сообщает пресс-служба МТС.

Выход МТС видит в сегментировании операторов ПД - в зависимости от сферы деятельности, использования и способа получения этих данных. При этом в компании отмечают, что реализовали комплекс мер по техническому и ИТ-переоснащению оборудования для обеспечения соответствия системы охраны ПД требованиям законодательства. "Вместе с тем, в случае внесения поправок в закон, с нашей стороны потребуются определенные доработки, в том числе изменение структуры управления с учетом необходимости привлечения лица, ответственного за исполнение новых требований", - рассказывала пресс-служба МТС до принятия закона во втором чтении.

Андрей Федосенко поясняет, что к 1 июля операторы должны были привести свои информационные системы в соответствие закону. Однако вероятность масштабных проверок мала - вступил в силу ФЗ №294 "О защите прав юрлиц и индивидуальных предпринимателей при осуществлении госконтроля и муниципального контроля". "Новый закон лишает Федеральную службу безопасности и Федеральную службу по техническому и экспортному контролю проверять соблюдение правил технической защиты в негосударственных системах", - отметил Андрей Федосенко. Но кроме этих организаций с 2009 г. проверками занимается Роскомнадзор, который в соответствии с постановлением правительства от 16 марта 2009 г. (№228) был определен уполномоченным органом по защите прав субъектов персональных данных. О мерах наказания и суммах штрафов можно почитать в ФЗ №116, отмечает Андрей Федосенко.