Защита персональных данных: к чему привела модернизация 152-ФЗ?
Многие операторы персональных данных (ПДн) уже успели порядком устать от постоянных изменений в законодательстве и многочисленных разъяснений его положений, которые, как показывает практика, часто можно трактовать в противоположных смыслах. Простые и понятные ответы на многие злободневные вопросы практики получили на конференции CNews Conferences и CNews Analytics"Защита персональных данных: модернизация 152-ФЗ".
Закон 152-ФЗ "О персональных данных" от 27 июля 2006 г. появился вследствие подписания Россией конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. После внесения в него существенных изменений федеральным законом № 261-ФЗ от 25.07.2011, где, в частности, были проработаны вопросы трансграничной передачи и автоматизированной обработки ПДн, практики стали называть модернизированный закон "второй редакцией" 152-ФЗ. Несмотря на то, что до первой годовщины обновленного 152-ФЗ осталось около квартала, его все еще воспринимают как новый закон. Одна из причин - отсутствие вокруг него завершенной системы нормативных актов.
Впрочем, необходимые акты готовятся и постепенно принимаются. В марте вступает в силу новый регламент проверок, разработанный Минкомсвязи. ФСБ готовит к маю проекты переработанных постановлений, касающиеся определения уровня требований к защите ИС. "Роскомнадзор" рассчитывает на утверждение правительством РФ документов, расширяющих полномочия его сотрудников и устанавливающих перечень мер и требований к органам государственной власти, которые, в частности, должны будут в обязательном порядке проводить обезличивание ПДн в своих ИС.
"Российский закон в максимальной степени соответствует тем требованиям, которые выдвигают общеевропейские документы в области персональных данных", – считает заместитель начальника управления по защите прав субъектов ПДн "Роскомнадзора"Юрий Контемиров. – "Можно сделать вывод, что на сегодняшний момент новая редакция 152-ФЗ уже практически в полном объеме вобрала в себя те положения, которые инициируются европейскими партнерами, а наше действующее законодательство, в общем, практически полностью соответствует установленным требованиям международного права".
Ослабление или усиление?
Обновленный 152-ФЗ существенно расширил круг обязанностей операторов ПДн, которые, помимо технической защиты информации, должны сегодня обеспечить целый комплекс организационно-правовых мероприятий для обеспечения защиты прав субъектов.
"В статье 18.1 сформулированы требования к оператору по обработке ПДн, а не только по их защите. Также в новой редакции закона закреплена обязанность оператора принимать меры, необходимые и достаточные для обеспечения обязанностей, предусмотренных законом. Евросоюз идет по пути ослабления регулирования, мы тоже", – сделала интересный, но несколько неожиданный вывод по поводу внесенных в 152-ФЗ изменений член Консультативного совета при уполномоченном органе по защите прав субъектов ПДн, гендиректор "ИнфоТехноПроект"Елена Голованова. "Принимайте какие хотите меры, в том числе те, которые указаны в ст.18.1. Главное, чтобы они были необходимыми и достаточными для защиты прав субъектов, но при этом не забывайте, что вы как оператор будете нести ответственность за эти меры и за то, чтобы права субъектов, данные которых вы обрабатываете, были бы достаточно защищены".
Забыть о своей ответственности многие операторы уже не смогут. "Текущая судебная практика показывает, что по каждому правонарушению в качестве компенсации за причинение имущественного и морального вреда, понесенных убытков с оператора обычно взыскивают от 20 до 100 тыс. руб.. Умножьте приведенную выше усредненную сумму на число субъектов и на число требований закона - и вы оцените возможную итоговую сумму искового требования" – предложила операторам сделать самостоятельный расчет г-жа Голованова.
"Многие операторы считают, что судебное рассмотрение можно оттянуть, ведь истечет срок исковой давности и правонарушение будет забыто. Однако закон о ПДн - не единственный закон, который регулирует институт защиты прав. В настоящее время набирает обороты судебная практика по ФЗ-68 о компенсации за нарушение права на судопроизводство в разумный срок, в котором есть прямая ссылка - не на нормативную базу, а именно на практику европейского суда по правам человека. Это предусматривает размеры компенсаций совсем не такие, как в РФ", – добавила она в этой связи.
Медики защищаются
Заместитель директора Медицинского информационно-аналитического центра (МИАЦ) РАМНАндрей Столбовсделал обзор законодательства и привел примеры постепенного заполнения "белых пятен" в системе нормативно-правовых актов, регламентирующих обработку ПДн в медицине. "Если внимательно читать постановление правительства № 79 "О лицензировании деятельности по технической защите конфиденциальной информации" и интерпретировать его в свою пользу, то можно сделать вывод о том, что наличие лицензии на техзащиту информации не требуется в случае, если мы не оказываем услуг на стороне, а обрабатываем информацию в своих внутренних целях", - привел он пример такого рода. Грамотный юрист всегда найдет в нашем нормативном поле какой-то закон и скажет: "по нему мы законно обрабатываем ПДн", - поделился наблюдениями спикер, оценивший в то же время модернизированный 152-ФЗ в целом как еще один шаг на пути вперед.
"Система ОМС выполняет функцию государства - не только обрабатывает ПДн всего населения, но и организует оказание ему медпомощи. У меня возникает вопрос: почему бы не создать специальную госструктуру, которая бы отвечала за защиту этого государственного информационного ресурса? Причем не только в области медицины. Государство выдвигает все новые требования, часто забывая о том, что оно же и должно обеспечивать эту защиту", – поставил вопрос начальник отдела ИБ Федерального фонда обязательного медицинского страхованияВладимир Поихало.
Оценку состояния защиты ПДн в частной медицинской компании дал специалист по ИБ "Независимой лаборатории ИНВИТРО" Дмитрий Нечаев: "При служебном обмене информацией между нашими многочисленными филиалами используется VPN, но часть данных о результатах проводимых анализов приходится передавать по публичным каналам связи. Подписывая договор, наши клиенты соглашаются сделать свои данные публичными, другого выхода для частной медкомпании мы пока не нашли. Лаборанты, проводящие более 1000 видов анализов, имеют дело только с обезличенными путем штрих-кодирования данными, сопоставление же результатов анализов с пациентом происходит внутри защищенной АИС".
"Финансовые затраты будут значительными, если мы станем проводить аттестацию и защищать каждую ИС в каждом органе исполнительной власти, каждом ведомстве" – прокомментировала ситуацию начальник отдела ИБ Центра ИТ Республики ТатарстанЭльмира Гатиятуллина. На местах не хватает квалифицированных специалистов, что создает сложности уже на этапе сбора информации об имеющихся ИС. Общий счет ключевых ИСПДн с вероятным классом не ниже 2-го идет в Татарстане на десятки, а АРМ – на десятки тысяч. Часть из них созданы достаточно давно и вопросами защиты данных в этих ИС никто никогда должным образом не занимался.
"Мы недавно оценили стоимость защиты одной такой системы: даже если не включать в расчет затраты на аттестацию, то, по самым скромным подсчетам, нам придется потратить около 30 млн. руб." – привела оценку г-жа Гатиятуллина.
Большой опыт маленького оператора
Бизнес-процессы по защите ПДн представляют ценность в том случае, если они учитывают отраслевую специфику, максимально задействуют и дают стимул развивать имеющуюся инфраструктуру, служат логичным продолжением уже ведущейся в компании, учреждении или целом регионе систематической работы по повышению общего уровня ИБ. Такой подход, в частности, позволяет максимально сблизить интересы государства, стремящегося привести свою законодательную базу в вид, пригодный для вступления в ВТО, и коммерческие интересы конкретной компании.
Конкретный алгоритм преодоления "последней мили", позволяющий внедрить высокие законодательные принципы в конкретные бизнес-процессы компании, был описан в докладе начальника отдела защищенного электронного документооборота (ЗЭДО) "Смолтелекома"Надежды Ковалевой. "Смолтелеком" - относительно небольшая (с численностью сотрудников 90 чел.) компания. Еще в 2003 г. при открытии направления ЗЭДО в "Смолтелекоме" было создана служба защиты информации из 2 человек. После выхода первой редакции 152-ФЗ были назначены ответственные за обработку ПДн (коммерческий, финансовый директор и др.), проведено обследование, разработан пакет соответствующих документов и прочее. В процессе этой работы был ограничен круг лиц, имеющих доступ к ПДн, сокращено число требующих специальной защиты информационных систем персональных данных (ИСПДн) путем обезличивания обрабатываемых данных и проведены другие мероприятия. "Недавно в "Смолтелекоме" прошла плановая проверка "Роскомнадзора" по ПДн, которую, скажу без ложной скромности, мы выдержали достойно", - сообщила докладчица. - "Сейчас у нас заканчивается внутренний аудит приведения деятельности в соответствие с изменившимися требованиями второй редакции 152-ФЗ и другими законами и нормативными актами.
"Большой" телеком хочет конвергенции
Тема практической необходимости конвергенции ИБ и защиты ПДн отчетливо прозвучала и в докладах крупных компаний высокотехнологичной телеком-телекоммуникационной отрасли, где сегодня этот тренд видно, пожалуй, лучше всего. Однако акценты ведущие игроки этого рынка расставляют по-своему. Им интересны не конкретные алгоритмы и детальные инструкции, а конвергенция на уровне концептуального понимания и сближения практик, совместной разработки законов, стандартизации.
"Хотя мы сегодня и пытаемся доработать закон о ПДн под Европейскую конвенцию, его требования в области ИБ не согласованы с международными стандартами. Помимо прочего, в Европе снижают конкретику, а у нас она усиливается, там - рекомендации, а у нас - требования", – считает член консультативного совета при уполномоченном органе по защите прав субъектов ПДн, аналитик МТСПавел Сундеев. - "Практически невозможно полноценно учесть отраслевые требования к средствам защиты информации, закон дает возможность разрабатывать лишь дополнительные модели угроз. Намечается усиление ответственности операторов до 500 тыс. руб. за каждое нарушение, увеличение срока давности, передача функций по возбуждению административных дел "Роскомнадзором". Европа тоже, в принципе, идет по этому пути, но непонятно, почему у нас не снижают общеобязательные требования по обеспечению безопасности?" – недоумевает докладчик.
"Вполне возможно, что в результате у нас будет практиковаться перевод баз данных коммерческими организациями за рубеж, в т.н. информационные оффшоры. Правильно, что акцент в РФ постепенно переносится с технических на организационные вопросы, но дополнительно к этому, необходимо унифицировать и сократить состав ПДн на госуровне, перейти к отраслевому саморегулированиию, провести дальнейшую гармонизацию с международными стандартами и прочее", – поделился своим мнением г-н Сундеев и привел длинный список вопросов, на которые многие компании пока не знают четкого ответа: "Остается ли оператор, сдавший документы в архив, по-прежнему оператором, должен ли он выполнять требования 152-ФЗ к оператору ПДн во всем объеме? Являются ли резервные копии БД архивными или нет? В каком порядке уведомлять субъекта о передаче ПДн третьим лицам, в случае, если их число велико и, вдобавок, изменяется с течением времени? Как на практике провести четкую границу между ИСПДн и, например, абонентским устройством? Как быть в случае сложных схем оказания услуг с участием нескольких операторов? Нужно ли шифровать в каналах связи те ПДн, которые, - согласно Закону о связи, - специальным образом предназначены для передачи в открытом виде? Таких вопросов можно задать много, ответов же на них пока нет, причем наиболее актуальны они - для крупных операторов. Часто приходится фантазировать и изобретать самим. Что скажет на это проверяющий - заранее неизвестно", - считает г-н Сундеев.
"Вымпелком" сократил число защищаемых систем с 50 до 5, задействовав возможности ИСПДн-ЦОД," – сообщил менеджер по управлению операционными рисками "Вымпелкома"Александр Асмоловский. "Мы заключили договор с компанией–лицензиатом ФСТЭК и ФСБ, сопровождающей нас при проверках регуляторов. Был проделан длинный путь по всем нашим ИСПДн - от оценки рисков до разработки профилей защиты, получения заключений о соответствии, прошли более 100 проверок" – поделился г-н Асмоловский опытом крупного телеком-оператора.
"Мы не хотим, чтобы на свет рождались законодательные документы, строгость которых, компенсируется необязательностью их исполнения, над которыми все будут смеяться и которые нельзя выполнить" – постулировал спикер, подчеркнув, что выработка требований явно нуждается в согласовании со стороны всех задействованных в деле защиты ПДн органов (таких как ФСБ, ФСТЭК, РКН), а также экспертов из ключевых отраслей экономики.
Сработает ли закон?
"Если сравнивать 152-ФЗ с законодательными актами, которые приняты в ЕС и США, то сразу видно различие в подходах. Там во главе угла стоит принцип сбалансированности интересов субъекта, бизнеса и государства, видно стремление создать максимальный уровень безопасности при минимальных затратах, а законодательные акты носят скорее рекомендательный характер, чем характер жесткого описания того, что должен делать оператор. У нас же законодательно жестко прописана обработка ПДн и ответственность за соблюдение формальных требований. В связи с этим, 152-ФЗ в его нынешнем виде не сработает в полной мере на территории РФ, по крайней мере, в ближайшие 5 лет" – считает начальник отдела ИБ "Проминвестбанка"Кирилл Сенчугов.
Сомнений в необходимости участия ИТ-специалистов в разработке законодательства по ПДн, пожалуй, не осталось после доклада старшего вице-президента компании KraftwayРината Юсупова. "От средств разработки и модификации BIOS не помогает смена ОС, а в ряде случаев даже смена самой BIOS. Большинство современных BIOS строятся по одной и той же, стандартной схеме, сервисы, запущенные BIOS, остаются работать в ОС. Это и многое другое упрощает жизнь вирусописателям. Производители, в свою очередь, могут вносить такие изменения в код BIOS, после которых машина становится практически беззащитной, а исследование даже двух мегабайт двоичного кода BIOS занимает около четырех месяцев. Действенные способы защиты от угроз нового поколения можно найти в доверенной технологической фазе производства, а также во встраивании ПО, - в качестве оболочки безопасности, - на уровне BIOS. Мы уже начали такую работу, но не хотим быть единственными на этом рынке. Если за нами пойдут другие разработчики, то сложившаяся сегодня на нем ситуация поменяется" – сообщил г-н Юсупов.
Елена Голованова: Операторы персональных данных будут отвечать за невыполнение 152-ФЗ в суде
На вопросы CNews ответила Елена Голованова, генеральный директор «ИнфоТехноПроект», член Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных.
CNews: Какие новации появились в новом законе о персональных данных?
Елена Голованова:В новой редакции закона круг обязанностей оператора расширен. Сформулированы требования к оператору по обработке персональных данных, а не только по их защите (статья 18.1.).
Таким образом, можно констатировать, что получило законодательное закрепление организационно-правовое направление деятельности оператора – принятие мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом. Обязанности есть, направление деятельности есть.
CNews: Что вы, как представитель компании-интегратора, можете порекомендовать операторам ПД?
Елена Голованова:Операторам нужно внимательно отнестись к своим расширенным обязанностям и попытаться отразить это в своей деятельности. И сделать это путем закрепления деятельности по обработке персональных данных, включая их защиту, в качестве одного из бизнес-процессов компании. То есть сделать процессом, которым можно и нужно управлять.
Ведь законодательство о персональных данных направлено в первую очередь на защиту прав субъектов. В чем это выражается? Например, в расширении ответственности лиц, виновных в нарушении прав субъектов. Теперь субъект имеет право на возмещение имущественного и морального вреда и понесенных убытков. Фактически тройная компенсация за нарушение права. Институты возмещения имущественного и морального вреда для России не новы. Практика отлажена: виновен – плати.
Как это ни странно звучит, но обычно оператор не задумывается, а кто будет платить. Очень слабо понимание ответственности за нарушение права граждан за разглашение персональных данных. А если и задумается, то подход простой: до судебного решения далеко. Суд можно затянуть. Истечет срок исковой давности. И все.
CNews: Существует ли уже судебная практика, защищающая права граждан, чьи персональные данные были разглашены?
Елена Голованова:Да, судебная практика по Федеральному закону от 30.04.2010 № 68-ФЗ «О компенсации за нарушение права на судопроизводство в разумный срок или права на исполнение судебного акта в разумный срок» набирает обороты. Лица, полагающие, что их права на судопроизводство в разумный срок нарушены, могут обратиться в суд с заявлением о присуждении компенсации за такое нарушение. Размер компенсации определяется судом исходя из требований заявителя, обстоятельств дела, продолжительности нарушения и значимости его последствий для заявителя, и, что особенно важно, с учетом практики Европейского суда по правам человека. Это очевидное нововведение. Законодатель напрямую указывает на необходимость учитывать международную практику. А размеры компенсации за нарушение прав физических лиц Европейский суд использует совсем иные, чем предусмотрены нашим законодательством.
Таким образом, что имеет оператор. Если не управлять процессом обработки персональных данных, то такое бездействие может вылиться в долгую судебную тяжбу, в результате которой платить все равно придется, но возможно гораздо больше, чем размер штрафа за административное правонарушение. Кроме денег, тяжба – это еще и оторванное от основного вида деятельности время и значительные трудозатраты сотрудников компании, а возможно и привлеченных юристов, которым тоже, кстати, надо платить.
CNews: Какие новации появились в новом законе о персональных данных?
Елена Голованова:В новой редакции закона круг обязанностей оператора расширен. Сформулированы требования к оператору по обработке персональных данных, а не только по их защите (статья 18.1.).
http://www.cnews.ru/reviews/index.shtml?2012/03/16/481847_4