Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Проблемы с персональными данными отложены на полгода

Проблемы с персональными данными отложены на  полгода

Госдума в очередной раз отложила вступление в силу закона о персональных данных (№152-ФЗ). Новый срок вступления в силу закона о персональных данных 1 июля 2011 года. Впрочем,  проблемы, которые не удалось решить за последний год, вряд ли исчезнут из повестки дня через 6 месяцев. В 2009 году на то, чтобы подготовить и принять в первом чтении этот законопроект у депутатов ушел всего месяц. Расплачиваться за дыры и недоработки всем нам предстоит еще очень долго.

Что такое персональные данные? Это любая информация, позволяющая однозначно идентифицировать человека и получить о нем дополнительные сведения. К персональным данным относится сведения о ФИО, дате и месте рождения, адрес проживания, семейное и имущественное положение, образование, и т.д.   Все персональные данные делятся на 4 категории:

  • 1 категория — данные относительно национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • 2 категория — данные, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  • 3 категория — персональные данные, позволяющие идентифицировать субъекта персональных данных;
  • 4 категория — обезличенные и (или) общедоступные персональные данные.

Собственно, компания, которая хранит в электронном виде какие-либо сведения о сотрудниках, скорее всего, имеет дело с персональными данными 1 категории. Если же  мы начинаем собирать какие-либо не обезличенные сведения о клиентах, то в лучшем случае это 2 категория. Таким образом, вопрос защиты персональных данных касается практически всех. В Роскомнадзоре насчитали более 7 миллионов предприятий, являющихся «операторами персональных данных».

Какие есть проблемы с законом:
Государственные требования к средствам защиты данных. В России для защиты персональных данных можно использовать только сертифицированные государством средств. Подобное требование делает несоответствующими закону значительную часть ИТ-систем, в том числе требованиям российского законодательства оказались не соответствующими многие иностранные системы защиты и хранения данных, вне зависимости от надежности применяемых в них алгоритмов шифрования.  И прежде всего неготовыми к требованиям нового закона оказались бюджетные организации — у государства не оказалось денег на приведение ИТ-систем в соответствие с собственным законодательством. Именно для этого был необходим переходный период.   

Невозможность аутсорсинга обработки персональных данных. В настоящее время 152-ФЗ не знает такого понятия, как обработка данных. В рамках этого закона есть «операторы данных» и «третьи лица». Естественно передавать конфиденциальные данные третьим лицам — запрещено. Поэтому  коллекторские агентства, единые расчетные центры, а также ИТ-компания, оказывающие услуги обработки и хранения данных действуют с нарушением закона, если в договоре, заключаемым с физическим лицом явно не прописано разрешение на передачу данных. Собственно со вступлением в силу этого закона о хостинге SaaS-решений на территории Российской Федерации можно забыть, также, как об их применении.

Передача данных между различными ведомствами. К тому, что законодательные инициативы создают неудобства для бизнеса мы уже привыкли. Однако, авторы 152-ФЗ превзошли сами себя — закон максимально затрудняет взаимодействие различных государственных ведомств. Мы уже привыкли, что любое общение с государством — сбор множества справок. Что ж будет хуже — служба единого окна явно находится за рамками 152-ФЗ. Хотя можно найти и плюсы, например, должников должны перестать ссаживать с самолетов.

Депутаты продолжают работу над концептуальной доработкой закона 152-ФЗ. Можно надеяться, что в итоге он все же будет приближен к реальной ситуации и из него исчезнут требования, которые в настоящее время практически невозможно выполнить. Да и надо отметить, что к персональным данным многие относятся гораздо менее серьезно, чем это предусматривается государством. Стоит посмотреть на информацию, открыто размещаемую в социальных сетях и блогах — новый профиль facebook — отличный пример нарушения 152-ФЗ. К счастью, facebook не находится в зоне .ru.

Комментарии (7)

  • Аватар

    Рубинштейн Кирилл [krubinshteyn], 09 декабря 2010, 16:18

    0
    Я очень надеюсь, что этот закон никогда не примут, а если и примут, то в более-менее нормальной форме. Иначе половину сайтов (включая этот) придется закрыть.

    Кстати, вопрос.

    Вот есть два сайта. Принадлежат разным организациям. На одном написано, что "Иван Иванович Иванов, его фото и e-mail". Это однозначно идентифицирует человека, но не дает дополнительной информации (е-маил ведь не считается?). Это третья категория. Есть другой сайт. На нем написанно, что пользователь с e-mail-ом (как у Иванова Ивана Ивановича) имеет такую-то сексуальную ориентацию, супружеский долг исполняет регулярно, болен тем-то, атеист, китаец и коммунист. Это по большому счету -- никак не идентифицирует человека. Получается, это 4-я категория.

    Но если рассматривать ресурсы не отдельно, а вместе, то получается, что это 1-я категория?
    Где-то проблема (ответ: в законе).
    • Аватар

      Горошко Дмитрий [goroshko], 10 декабря 2010, 01:01

      0
      Одна большая профанация на гос. уровне. Все о модернизации заботятся. Законы принимаются в спешке, чтобы никто одуматься не успел. Данный закон требует детальной проработки с привлечением специалистов (а этого явно недостает сейчас).
    • Аватар

      Бычков Валерий [vbychkov], 10 декабря 2010, 06:05

      0
      Теоретически закон позволяет относить email к персональным данным и у депутатов есть идея приравнять email к паспортным данным:

      «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». 

      Правда подобная трактовка "другой информации" у чиновников пока не распространена. Как всегда проблема в головах. Вообще, email гораздо надежнее идентифицирует человека, чем ФИО - однофамильцы и тезки есть практически у каждого, а вот email уникален.
  • Аватар

    Севрук Владимир [sevruk.com], 13 декабря 2010, 12:24

    0
    Этот закон никогда не будет принят, потому что это бред. После принятия подобного закона, Яндекс, индексирующий страницы "ВКонтате", можно закрывать на веки вечные. Магазины ОКЕЙ, Призма, Ашан, и прочие Пятнрочки, собирающие персональные данные при выдаче своих карточек постоянного клиента, можно закрывать на веки вечные. Ну и так далее.
    • Аватар

      Рубинштейн Кирилл [krubinshteyn], 13 декабря 2010, 12:34

      0
      Владимир, так закон уже давно принят. То, о чем речь -- это откладывание часа Х, когда все созданные ранее системы должны будут сертифицированы. Все создаваемые системы -- уже должны создаваться с учетом требований закона (мы для ГОСов в проектах на этот счет уже огребаем по полной, но вроде уже принаровились).

      По сути, откладывается момент, когда уважаемые опричники из ФТСЕКа будут ходить и собирать дань.
      • Аватар

        Севрук Владимир [sevruk.com], 13 декабря 2010, 12:42

        0
        Ну значит отменят на вечно :)
        • Аватар

          Рубинштейн Кирилл [krubinshteyn], 13 декабря 2010, 12:44

          0
          Я надеюсь. Потому как этот закон идет в разрез с курсов правительства на электронный бизнес и вообще всякое, что связанно с интернетами.
          Ну и очень много вопросов остается.
          Кстати, вот думаю, может составить список вопросов, отправить экспертам и написать статью? Или вообще вебинар по ПД сделать?

Также рекомендуем

16 апреля 2013 в 11.00

Вебинар Максима Лагутина "Закон "О персональных данных": грядут перемены"

Регистрируйтесь здесь!