Сенаторам понравились персональные данные
ТАТЬЯНА ЗОЛОТОВА
© ComNews
14.07.2011
Вопреки протесту участников рынка, вчера Совет Федерации все же одобрил поправки в закон №152 "О персональных данных". Теперь документ отправится на подписание к президенту РФ Дмитрию Медведеву. В случае его одобрения операторам персональных данных предстоят многомиллионные затраты на приведение своих информационных систем в соответствие с требованиями нового закона.
Закон конкретизирует определения таких понятий, как "персональные данные" (ПД), "оператор", "обработка персональных данных" и т.д. Также расширяется перечень случаев, когда допускается обработка ПД. Согласно документу, средства защиты информации должны перед их внедрением пройти в установленном порядке процедуру оценки соответствия. Вводимый перечень мер безопасности помимо прочего содержит требование об обнаружении фактов несанкционированного доступа к данным и принятии соответствующих мер. Также компаниям предстоит восстанавливать данные в случае их модификации или уничтожения из-за несанкционированного доступа.
На протяжении всех чтений законопроекта в Госдуме участники рынка негативно высказывались об изменениях, которые в него вносились. Так, представители ведущих компаний на рынке информационной безопасности направили Дмитрию Медведеву письмо с претензиями к новому закону. По словам экспертов, документ создает предпосылки для вывода информационных систем за пределы России, в страны Евросоюза, где требования к защите ПД учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта (см. новость ComNews от 13 июля 2011 г.).
Недавно к возмущенным присоединилась и комиссия Российского союза промышленников и предпринимателей (РСПП) по телекоммуникациям и ИТ. Выполнение новых норм потребует огромных неоправданных затрат со стороны бизнеса и предприятий бюджетного сектора экономики, настаивает РСПП. "Требования к информационным системам безопасности в принятом законопроекте не учитывают особенности и условия обработки ПД в различных отраслях экономики и социальном секторе", - сообщала пресс-служба РСПП после третьего чтения документа в Госдуме.
Активнее всех на протяжении рассмотрения законопроекта Госдумой (с ноября 2009 г., см. новость ComNews от 4 июля 2011 г.) возмущалась Ассоциация региональных операторов связи (АРОС). По мнению ее представителей, нынешняя редакция сделала ситуацию еще хуже: она создает новые проблемы при обработке ПД, устанавливает новые административные барьеры, усложняет госконтроль за этой сферой.
"В проекте, конечно, исправлены многие недочеты, которые были в старом законе, в основном те нормы, которые невозможно было исполнять. Но все ожидали либерализации прежде всего ст. 19 - и она была предусмотрена в поправках ко второму чтению в Госдуме. На самом деле новый закон оказался таким же жестким по администрированию, как и предыдущий. В нем прописано, кто, каким образом будет нас (всех имеющих дело с ПД - например, все юрлица страны) регламентировать. Правительство РФ устанавливает требования высокого уровня, компетентные органы (Федеральная служба безопасности и Федеральная служба по техническому экспертному контролю, Роскомнадзор) устанавливают в соответствии с этими требованиями перечень мероприятий и способов их выполнения, а профильные федеральные органы власти и различные заинтересованные организации устанавливают те виды угроз, которые в нашей деятельности могут возникнуть. Районный отдел народного образования будет определять угрозы для детских садиков и т.п.", - рассказал в беседе с репортером ComNews руководитель нормативно-правовой рабочей группы АРОС Василий Левчик.
Нерешенным остается и вопрос бюджетных расходов при реализации всех указанных в законе норм, отмечает представитель АРОС. "Перед рассмотрением закона сенаторами документ изучил и комитет Совета Федерации по бюджету (в пояснительной записке к документу говорилось, что потерь для бюджета нет). На заседании комитета выяснилось, что потери для бюджета есть по нескольким направлениям. Так, многие крупные операторы ПД уже имеют свои системы их защиты. Новые требования потребуют их изменения, что повлечет за собой многомиллионные затраты, - предупреждает Василий Левчик. - Бюджетные организации возместят их из бюджета, предприниматели совершенно законно уменьшат на эти суммы налогооблагаемую прибыль - бюджет недосчитается налогов. Также в стране фактически вводится ранее не задействованный новый вид надзорной деятельности, причем тотальной. Во сколько обойдется проверка выполнения новых требований всеми юрлицами или хотя бы одними госорганами - федеральными с их филиалами и муниципальными? А ведь надзорная деятельность финансируется исключительно из бюджета. И тем не менее бюджетный комитет согласовал принятие этого закона". А между тем, отмечает собеседник ComNews, в России, по разной информации, насчитывается более 7 млн организаций, работающих с данными граждан.
Новый закон потребует и издания ряда подзаконных актов, в которых должны быть определены уровни защищенности данных при их обработке в информсистемах в зависимости от угроз безопасности, а также требования к материальным носителям биометрических данных и технологиям их хранения вне систем. Напомним, что в случае утверждения закона в силу он вступит со дня официального опубликования. При этом действие всех положений закона "О персональных данных" распространяется на правоотношения, возникшие с 1 июля 2011 г.
Опрошенные ComNews участники рынка информационной безопасности вчера прокомментировать принятые сенаторами изменения в закон не смогли.