В конце июля президентом был утвержден Федеральный закон N261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных"". Что несут эти изменения бизнесу и гражданам, обсуждали в июне на круглом столе, организованном издательским домом "Коммерсантъ" юристы, эксперты информационной отрасли и представители бизнеса.
Обновленный закон не стал либеральнее. Во-первых, из определения персональных данных исчезли конкретные квалифицирующие признаки (ФИО, дата рождения, адрес), теперь под персональными данными понимается "любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу", а под обработкой — любые действия с ними. Во-вторых, под 261-ФЗ подпадает широчайший круг лиц — крупные игроки вроде банков и операторов сотовой связи, средний и малый бизнес — турагентства, фермерские хозяйства, индивидуальные предприниматели, муниципальные учреждения — больницы, школы и т. д. Словом, любое юридическое или физическое лицо, обрабатывающее персональные данные.
Партнер "Дювернуа Лигал" Игорь Гущев отмечает, что в законе уточняются основные принципы и условия обработки данных. Изменения касаются, в частности, обязанностей оператора, прав субъекта персональных данных на доступ к ним, трансграничной передачи данных. Также установлены обязанности оператора по уточнению, блокированию и уничтожению персональных данных и по устранению нарушений законодательства, допущенных при их обработке.
Один из пунктов, вызывающий наибольшее количество вопросов, это положение о том, что операторы отныне обязаны соблюдать установленные правительством технические требования по защите информации (в зависимости от ее класса) и использовать для этого только сертифицированные средства защиты информации, прошедшие оценку соответствия по системе сертификации государственных регуляторов — Федеральной службой безопасности (ФСБ), Федеральной службой по техническому и экспортному контролю (ФСТЭК). По некоторым оценкам, только на внедрение соответствующих технических средств предприятию может потребоваться в среднем 0,5-1 млн руб. Однако Вадим Кропотов, эксперт по информационной безопасности, не соглашается с этими цифрами, подчеркивая, что в каждом случае все решается индивидуально на основе проведения инвентаризации информационных систем персональных данных, составления модели актуальных угроз и разработки проектов системы защиты. Кстати, сами эти процедуры также требуют определенных затрат.
Между тем Сергей Лачугин, начальник отдела информационной безопасности "Ростелеком — Северо-Запад", отмечает, что техническая процедура защиты персональных данных — это дорогое удовольствие для любой, даже большой компании.
"Речь идет о специальных местах хранения и так далее, это все очень дорого. Во-вторых, очень трудно найти сертифицированную комплексную систему по защите персональных данных, а любые дополнительные системы достаточно дорогостоящие", — объясняет господин Лачугин. Он советует изначально использовать в работе сертифицированные системы защиты данных, например, антивирусы, а также избавляться от старых систем хранения данных, добавляя, что в "Ростелеком — Северо-Запад" выбрали пять систем, которые сертифицированы и надежны, а от остальных отказались.
Александр Кузьмин, генеральный директор "Альтирикс Системс", соглашается с тем, что сложности начинаются на этапе закупок и внедрения средств защиты. Он говорит, что если серьезных проблем в плане разработки всей организационно-распорядительной составляющей нет, то техническое внедрение защиты достаточно обременительно и внушительно бьет по финансам компаний.
Виктор Сущев, директор по консалтингу компании "ДоксВижн", подтверждает, что для каждого отдельного мелкого бизнеса подготовиться для соблюдения требований закона — проблема. Чтобы облегчить решение задачи, он предлагает компаниям, которые взаимодействуют друг с другом в рамках ассоциаций или СРО, объединить усилия и разработать для себя общий стандарт, который участники будут выполнять. В качестве примера он привел одну крупную компанию, имеющую много франчайзи, которая на свои средства приобрела общий необходимый пакет документов по сертификации, франчайзи же фактически никаких денег на это не потратили.
Юрист "Пепеляев Групп" Александр Коркин согласен с тем, что сэкономить можно, объединив усилия. Он напоминает, что когда приняли Закон о торговле, "многие тоже задавались вопросом, как соблюдать, что делать". Тогда одна из ассоциаций производителей продуктов питания обратилась к юристам за помощью в разработке регламента и подготовке необходимых документов. "Эти компании "скинулись", но получили решение своей проблемы", — говорит господин Коркин.
Он также обращает внимание на то, что даже если у компании нет бюджета для обеспечения технических средств защиты, необходимо провести ряд организационно-правовых мероприятий. Например, очень важно утвердить на уровне компании типовые документы, поскольку, судя по практике проверок Роскомнадзора, основные нарушения связаны с несоблюдением формы письменного согласия. "После того, как все организационные мероприятия соблюдены, проверки можно проходить гораздо успешнее — говорит господин Коркин — Как показывает опыт, даже если в компании не было должного внимания уделено технической стороне вопроса, им помогали пройти проверку утвержденные необходимые документы, собранные в соответствии с законом. Кстати, на это ориентирует и руководство Роскомнадзора. Недавно руководитель заявил, что прекрасно они понимают обременительность технических мер и смотрят на формальную сторону". Павел Савицкий, старший юрист "Маннхеймер Свартлинг", добавляет, что закон также нужно рассматривать не только с точки зрения взаимодействия компании с проверяющими органами, но и с собственными сотрудниками, до которых необходимо донести суть новых правил и обеспечить их выполнение, ведь именно на работников ложится груз соблюдения закона, и, кроме того, сами работники часто жалуются на работодателей из-за нарушений закона о персональных данных.
Критики закона отметили, что он нужен очень ограниченному числу представителей бизнеса. Так, Михаил Бойцов, управляющий партнер Rightmark group, считает, что прежде всего это банки, рекрутинговые компании. "Остальным этот закон просто не нужен. Так, проблема защиты персональных данных у строителей вообще не стоит, потому что строителям особо защищать нечего", — отметил эксперт. "Новая редакция документа не безупречна, требует доработки. Необходимо отметить достаточно слабую подготовку документа — он получился оторванным от реальной жизни", — добавляет он.
В ответ Александр Кузьмин заметил: "Если говорить о законе в целом, то он был создан не для бизнеса, а для защиты субъекта персональных данных. Поэтому некорректно ставить вопрос, нужен ли закон бизнесу. Это закон. Так же, как Уголовный кодекс — какому-то бизнесу он не нужен, но его нужно выполнять".