Проблемы с персональными данными отложены на полгода

Госдума в очередной раз отложила вступление в силу закона о персональных данных (№152-ФЗ). Новый срок вступления в силу закона о персональных данных 1 июля 2011 года. Впрочем, проблемы, которые не удалось решить за последний год, вряд ли исчезнут из повестки дня через 6 месяцев. В 2009 году на то, чтобы подготовить и принять в первом чтении этот законопроект у депутатов ушел всего месяц. Расплачиваться за дыры и недоработки всем нам предстоит еще очень долго.
Что такое персональные данные? Это любая информация, позволяющая однозначно идентифицировать человека и получить о нем дополнительные сведения. К персональным данным относится сведения о ФИО, дате и месте рождения, адрес проживания, семейное и имущественное положение, образование, и т.д. Все персональные данные делятся на 4 категории:
- 1 категория — данные относительно национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- 2 категория — данные, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
- 3 категория — персональные данные, позволяющие идентифицировать субъекта персональных данных;
- 4 категория — обезличенные и (или) общедоступные персональные данные.
Собственно, компания, которая хранит в электронном виде какие-либо сведения о сотрудниках, скорее всего, имеет дело с персональными данными 1 категории. Если же мы начинаем собирать какие-либо не обезличенные сведения о клиентах, то в лучшем случае это 2 категория. Таким образом, вопрос защиты персональных данных касается практически всех. В Роскомнадзоре насчитали более 7 миллионов предприятий, являющихся «операторами персональных данных».
Какие есть проблемы с законом:
Государственные требования к средствам защиты данных. В России для защиты персональных данных можно использовать только сертифицированные государством средств. Подобное требование делает несоответствующими закону значительную часть ИТ-систем, в том числе требованиям российского законодательства оказались не соответствующими многие иностранные системы защиты и хранения данных, вне зависимости от надежности применяемых в них алгоритмов шифрования. И прежде всего неготовыми к требованиям нового закона оказались бюджетные организации — у государства не оказалось денег на приведение ИТ-систем в соответствие с собственным законодательством. Именно для этого был необходим переходный период.
Невозможность аутсорсинга обработки персональных данных. В настоящее время 152-ФЗ не знает такого понятия, как обработка данных. В рамках этого закона есть «операторы данных» и «третьи лица». Естественно передавать конфиденциальные данные третьим лицам — запрещено. Поэтому коллекторские агентства, единые расчетные центры, а также ИТ-компания, оказывающие услуги обработки и хранения данных действуют с нарушением закона, если в договоре, заключаемым с физическим лицом явно не прописано разрешение на передачу данных. Собственно со вступлением в силу этого закона о хостинге SaaS-решений на территории Российской Федерации можно забыть, также, как об их применении.
Передача данных между различными ведомствами. К тому, что законодательные инициативы создают неудобства для бизнеса мы уже привыкли. Однако, авторы 152-ФЗ превзошли сами себя — закон максимально затрудняет взаимодействие различных государственных ведомств. Мы уже привыкли, что любое общение с государством — сбор множества справок. Что ж будет хуже — служба единого окна явно находится за рамками 152-ФЗ. Хотя можно найти и плюсы, например, должников должны перестать ссаживать с самолетов.
Депутаты продолжают работу над концептуальной доработкой закона 152-ФЗ. Можно надеяться, что в итоге он все же будет приближен к реальной ситуации и из него исчезнут требования, которые в настоящее время практически невозможно выполнить. Да и надо отметить, что к персональным данным многие относятся гораздо менее серьезно, чем это предусматривается государством. Стоит посмотреть на информацию, открыто размещаемую в социальных сетях и блогах — новый профиль facebook — отличный пример нарушения 152-ФЗ. К счастью, facebook не находится в зоне .ru.
Также рекомендуем
16 апреля 2013 в 11.00
Вебинар Максима Лагутина "Закон "О персональных данных": грядут перемены"
Комментарии (7)
КомментироватьРубинштейн Кирилл [krubinshteyn], 09 декабря 2010, 16:18
Кстати, вопрос.
Вот есть два сайта. Принадлежат разным организациям. На одном написано, что "Иван Иванович Иванов, его фото и e-mail". Это однозначно идентифицирует человека, но не дает дополнительной информации (е-маил ведь не считается?). Это третья категория. Есть другой сайт. На нем написанно, что пользователь с e-mail-ом (как у Иванова Ивана Ивановича) имеет такую-то сексуальную ориентацию, супружеский долг исполняет регулярно, болен тем-то, атеист, китаец и коммунист. Это по большому счету -- никак не идентифицирует человека. Получается, это 4-я категория.
Но если рассматривать ресурсы не отдельно, а вместе, то получается, что это 1-я категория?
Где-то проблема (ответ: в законе).
Горошко Дмитрий [goroshko], 10 декабря 2010, 01:01
Бычков Валерий [vbychkov], 10 декабря 2010, 06:05
«любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Правда подобная трактовка "другой информации" у чиновников пока не распространена. Как всегда проблема в головах. Вообще, email гораздо надежнее идентифицирует человека, чем ФИО - однофамильцы и тезки есть практически у каждого, а вот email уникален.
Севрук Владимир [sevruk.com], 13 декабря 2010, 12:24
Рубинштейн Кирилл [krubinshteyn], 13 декабря 2010, 12:34
По сути, откладывается момент, когда уважаемые опричники из ФТСЕКа будут ходить и собирать дань.
Севрук Владимир [sevruk.com], 13 декабря 2010, 12:42
Рубинштейн Кирилл [krubinshteyn], 13 декабря 2010, 12:44
Ну и очень много вопросов остается.
Кстати, вот думаю, может составить список вопросов, отправить экспертам и написать статью? Или вообще вебинар по ПД сделать?