Федеральный закон «О персональных данных» вступает в полную силу с нового года. За круглым столом «ДО» обсуждали, что мешает организациям, осуществляющим обработку персональных данных (операторам ПД), плыть в его русле.
Участники круглого стола:
# Андрей Алексахин начальник УФМС России по Ульяновской области
# Юлия Алексеева директор Ульяновского филиала ОАО «Росстрах»
# Иван Жалдак начальник Центра телекоммуникации и технологий Интернет Ульяновского государственного университета
# Андрей Клочков начальник группы внедрения и сопровождения электронного документооборота УлнФ ФГУП «ЦентрИнформ»
# Степан Лысанов управляющий Ульяновским филиалом НОМОС-БАНКа
# Магомед Магомедов главный врач областного кожно-венерологического диспансера
# Эдуард Сорокин директор АНО «Агентство кадровых решений»
# Александр Цыкин руководитель Роскомнадзора по Ульяновской области
«ДО»: К 1 января 2011 года операторы пд согласно закону должны подать в управление роскомнадзора уведомление для регистрации в реестре операторов. Насколько ульяновская область готова работать в рамках фз-152?
Александр Цыкин:
– Если в ноябре прошлого года Ульяновская область по количеству уведомлений операторов, внесенных в реестр, была на третьем месте снизу в ПФО, то в этом году ситуация значительно изменилась к лучшему.
Из 8600 организаций и физических лиц, которые реально осуществляют обработку персональных данных в регионе, на сегодняшний день подали уведомление и зарегистрировались как операторы ПД 2420 организаций. На сайте Роскомнадзора (73.rsoc.ru) на портале персональных данных любой оператор, направивший в наш адрес уведомление, может убедиться, что он внесен в реестр, набрав свой ИНН.
Андрей Алексахин:
– В нашей службе защита персональных данных отработана десятилетиями, поэтому мы понимаем, как серьезно должны перестроить свою работу организации, которые осуществляют обработку ПД. Это новая культура обращения с информацией, в основе которой – строгое следование требованиям закона. Например, мы вынуждены отказывать военкоматам в выдаче сведений о призывниках, которые уклоняются от призыва, поскольку военных комиссариатов нет в перечне тех организаций, кому мы можем давать информацию о персональных данных без согласия их владельцев.
Степень защиты персональных данных в нашем ведомстве очень высокая – и в организационном, и в техническом плане. Все каналы связи, которыми мы пользуемся, закрыты шифрами. Допуск в помещения, к компьютерам – все запаролировано. И все-таки какая бы ни была защита, есть еще человеческий фактор. Это главная проблема. Против человеческого фактора сложно придумать защиту, кроме той, которую предполагает законодательство.
Магомед Магомедов:
– Кожно-венерологический диспансер как специализированное лечебное учреждение располагает значительной частью персональных данных. Многие наши пациенты зарегистрированы по социально значимым, социально опасным заболеваниям. Понятно, что никто из них не согласится, чтобы мы передавали информацию о них в другие органы. Кроме того, программисты, операторы, которые работают в нашем учреждении, имеют доступ к информации о пациентах, но никакой юридической ответственности за ее распространение они не несут. Приказом они проведены просто как работники учреждения здравоохранения.
Александр Цыкин:
Ситуация распространенная: организация располагает базой персональных данных, которые по тем или иным причинам необходимо передать организации-смежнику. Согласно закону о ПД – это уже трансграничная передача персональных данных от одного оператора к другому. В этом случае необходимо, чтобы в договорных отношениях операторов (партнеров) присутствовала норма о конфиденциальности использования этих персональных данных и о запрете их распространения без согласия самого субъекта ПД.
Должно входить в практику, чтобы пациент, давая информацию о себе при заполнении медицинской карты, ставил подпись под соглашением на обработку своих персональных данных, как это происходит, например, в банковских структурах.
Иван Жалдак:
– Защите государства подлежат государственная тайна и персональные данные. Коммерческая, банковская тайна – это забота соответствующих организаций. Но на деле получается, что государство не защищает персональные данные, а контролирует их защиту.
По-другому в банковской системе. Например, Центральный банк принял стандарт, и если другие банки этот стандарт тоже принимают, то их задача значительно упрощается: у них есть перечень рекомендованных средств по защите информации, готовые модели защиты, которые они могут использовать. Государственная система образования, здравоохранения – это сферы, где используется значительная часть персональных данных. Ни у одного учреждения нет средств не только на защиту своих систем, но даже на их аудит. Было бы правильно, если бы государство пошло навстречу хотя бы здравоохранению и образованию. Я говорю даже не о субсидировании, а о готовом перечне средств по защите информации с минимальной ценой.
Андрей Клочков:
– Я в этом году прошел очередное обучение по реализации закона «О персональных данных» в Москве, где были представители Роскомнадзора. Там обсуждался вопрос защиты персональных данных, которые обрабатываются в системе здравоохранения и образования. Эту категорию называют специальной. И здесь нужны специальные меры, общие подходы. Из обсуждения этой темы можно было сделать вывод, что такие подходы будут разработаны.
«ДО»: Какова цена IT-защиты в рамках 152-фз? Потянут ли ее небольшие организации?
Александр Цыкин:
– При обработке персональных данных именно оператор обязан принимать все необходимые организационные и технические меры для защиты персональных данных.
Организационные меры – издание приказов, закрепление ответственных за сохранность информации, ограничение доступа к ней – не очень затратная составляющая для оператора.
А вот при реализации технических мер по защите информации возникает необходимость привлечения высококвалифицированного персонала для определения применяемой методологии, категории защиты, относящихся к компетенции ФСТЭК и ФСБ РФ.
С учетом индивидуальности этих мер для каждого оператора существуют предложения с разбросом цен в разы, а иногда в десятки раз.
Эдуард Сорокин:
– Исполнение закона требует привлечения узких специалистов. Организации, предоставляющие квалифицированные услуги, есть, но их мало, находятся они в других регионах, как следствие – высокая цена на их услуги.
Стоимость проекта по созданию системы защиты информационной системы персональных данных (ИСПДн) для микроорганизации (десять сотрудников) на базе одного сервера и семи персональных компьютеров составляет порядка четырехсот тысяч рублей. Это без учета командировочных расходов, допустимого увеличения стоимости проектных работ до 10%, что в конечном итоге может удвоить первоначальную сумму. Думаю, что даже средний бизнес задумается о цене решения.
Андрей Клочков:
– Наша компания провела аудит, построила модель угроз и выбрала систему комплексной защиты информации для ряда организаций. По своему опыту можем судить, что стоимость этих мероприятий сильно зависит от желания организации менять свой рабочий процесс или оставить его на том уровне, который есть. Очень многие организации работают с персональными данными небрежно. Например, сохраняют у себя копии паспортов, хотя после проведения идентификации человека они им не нужны. Или неправильно составляют документы, вынуждают давать больше персональных данных, чем это необходимо.
Стоимость аудита и построения модели угроз во многом зависит от количества помещений, оборудования. Цена колеблется от восьми тысяч рублей за один компьютер и выше. Защита дорогая. Если следовать требованиям закона, то суммы достигают сотен тысяч рублей. Возьмем для примера простое туристическое агентство, где стоит пара компьютеров. Если они отправляют данные вовне, то им нужен межсетевой защитный экран – это порядка пятидесяти тысяч рублей. Плюс шифровальные средства, электронная цифровая подпись и так далее. В итоге один компьютер может встать в 25 тысяч рублей.
Юлия Алексеева:
– У нас филиал московской страховой компании, и Москва обеспечит наши электронные информационные системы защитой от взлома. Так что с защитой персональных данных, которые на электронных носителях, все понятно. Но что делать страховым компаниям с полисом, паспортными данными, которые мы храним на бумажном носителе? Есть виды страхования, которые обязывают нас это делать.
Степан Лысанов:
– Банковская структура наиболее подготовлена к вступлению в силу этого закона. Хотя понятие «банковская» тайна – это несколько иное, чем закон о защите персональных данных.
Месяц назад на территории Ульяновской области мы самыми первыми прошли проверку ФСБ на предмет соответствия наших систем требованиям 152-го закона. В течение недели сотрудники ФСБ смотрели у нас весь технологический процесс обработки, хранения, сбора информации. Потом выдали свои рекомендации, о чем мы проинформировали головной офис. Теперь нам необходимо получить обоснованную модель угроз и в соответствии с ней – составить перечень мероприятий, обеспечивающих безопасность наших информационных систем. Поскольку наша структура, как и многие федеральные, вертикально интегрирована, мы ждем, когда будет проведен определенный конкурс, выбрана компания, которая выполнит необходимые работы. Думаю, к 1 января или с небольшим опозданием наши информационные системы будут приведены в полное соответствие с законом.
Но хотелось бы прояснить вопрос о правомерности хранения ксерокопий паспортов. 115-ФЗ «О противодействии легализации доходов, полученных преступным путем» предписывает нам производить идентификацию клиентов. Она несложная. Первое – ксерокопия паспорта.
Александр Цыкин:
– Нужно просто реорганизовать свой рабочий процесс – приказом закрепить, кто отвечает за сохранность информации, ограничить доступ к ней, сделать сейфы, раздать печати. Это не какие-нибудь особенные требования. Читайте закон, зайдите на сайт Роскомнадзора – там есть вся необходимая информация.
«ДО»: Исследования, призванные выяснить отношение россиян к 152-фз, показывают, что свыше 90% считают его необходимым. Но большая часть опрошенных убеждена, что в законе много неясностей. Вы согласны с этим?
Эдуард Сорокин
– Вижу следующие минусы: цена защиты ПД, лицензирование деятельности и платное сопровождение оператора, противоречивые (несогласованные) действия операторов рынка,«административный кнут» как торможение развития бизнеса. Есть вопросы к гарантии защиты. Кроме того, закон не учитывает жизненной действительности (специфики отраслей, организаций, бизнес-процессов). Как и в случае с повышением налогов, с первого января бремя в первую очередь ляжет на законопослушных операторов, а это отсутствие равных возможностей. Плюсы очевидны: закон нужный, каждый имеет право на защиту своих персональных данных.
Андрей Клочков:
– В законе написано, что уведомление об осуществлении обработки персональных данных в Роскомнадзор должно направлять юридическое лицо. Непонятно, должен ли филиал головной организации направлять уведомление в Роскомнадзор?
Александр Цыкин:
– Если филиал работает как полноценное юридическое лицо – с расчетным счетом, с постановкой на учет в налоговые органы, то значит, самостоятельно занимается и кадровой работой. Конечно, в этом случае он должен самостоятельно подавать уведомление об обработке персональных данных.
Андрей Клочков:
– В любом отделе кадров заполняется такой стандартный документ, как личный листок учета кадров, на него наклеивается фотография. Если фотография относится к биометрическим данным, то значит, требуется дополнительная защита? Или фотография – это обычные персональные данные?
Андрей Алексахин:
– Цифровая фотография делового формата – это один из видов биометрической информации. Ведь паспорта современного образца, которые мы сейчас изготавливаем, называются паспортами с биометрическими данными, хотя на сегодняшний день эти данные ограничиваются только фотографией. Пока идет только подготовка к тому, чтобы добавить в новые паспорта отпечатки пальцев и какие-либо еще биометрические данные.
Магомед Магомедов:
Магомед Магомедов
– Есть органы, которые осуществляют надзор за защитой персональных данных; есть компании, которые готовы заниматься этой защитой; есть крупные федеральные компании – банковские, страховые, у которых есть средства оплачивать эти услуги. В здравоохранении пока ни одной копейки не заложено на эти мероприятия. И это немыслимые для государственных медучреждений суммы. Как нам выходить из ситуации, закон ответа не дает. Это одна из самых кардинальных проблем, которые я вижу.
Эдуард Сорокин:
– Операторам нужно принять необходимость исполнения закона как конкурентное преимущество. Те организации, где будет создана система защиты персональных данных в установленные сроки, предложат безопасные условия для потребителя – субъекта ПД.
На федеральном уровне есть комиссия при Роскомнадзоре из представителей ассоциаций, способствующая «мягкому» внедрению закона. Нужно рационально подходить к внедрению закона, чтобы «административный кнут» не ранил в первую очередь законопослушных операторов. Возложенные на чиновников проверки по реализации этого закона легче внедрять совместно с отраслевыми региональными экспертами, так как кому-то нужно помочь, а с кого-то нужно спросить «по-взрослому».
На региональном уровне надо разработать программу (либо внести изменения в действующую), которая предусматривала бы проведение семинаров, консультаций специалистов, распределение целевых грантов на конкурсной основе.
Александр Цыкин:
– Вступление в силу закона «О защите персональных данных» в любом случае неизбежно. И всем операторам персональных данных необходимо принимать меры для его исполнения.
Пока многие операторы занимают в вопросе регистрации выжидательную позицию. Это прежде всего организации, осуществляющие деятельность в сфере ЖКХ, оптовой и розничной торговли, агентства недвижимости, риэлторские компании, туристические фирмы.
Действительно, в законе предусмотрены случаи, когда оператор вправе осуществлять обработку персональных данных без уведомления. И решения о том, уведомлять или не уведомлять уполномоченный орган, он принимает сам. Но при проведении плановых проверок или в случае рассмотрения обращений граждан (например, во взаимоотношениях со страховыми компаниями) выявленная обработка персональных данных без статуса оператора будет классифицироваться как грубое нарушение требований закона. А виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законом.
Более того, статья 17 разрешает гражданам подавать в суд на операторов ПД и требовать возмещения убытков и (или) компенсацию морального вреда. То есть утечка приватных сведений граждан может спровоцировать целую череду исков и судебных разбирательств, что приведет к серьезным юридическим издержкам, огласке и ухудшению деловой репутации.
Поэтому совет операторам – подать уведомление. Консультации можно получить по телефону 44-69-89.