Проблемы с персональными данными отложены на полгода

Госдума в очередной раз отложила вступление в силу закона о персональных данных (№152-ФЗ). Новый срок вступления в силу закона о персональных данных 1 июля 2011 года. Впрочем, проблемы, которые не удалось решить за последний год, вряд ли исчезнут из повестки дня через 6 месяцев. В 2009 году на то, чтобы подготовить и принять в первом чтении этот законопроект у депутатов ушел всего месяц. Расплачиваться за дыры и недоработки всем нам предстоит еще очень долго.

Что такое персональные данные? Это любая информация, позволяющая однозначно идентифицировать человека и получить о нем дополнительные сведения. К персональным данным относится сведения о ФИО, дате и месте рождения, адрес проживания, семейное и имущественное положение, образование, и т.д. Все персональные данные делятся на 4 категории:

1 категория — данные относительно национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
2 категория — данные, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
3 категория — персональные данные, позволяющие идентифицировать субъекта персональных данных;
4 категория — обезличенные и (или) общедоступные персональные данные.

Собственно, компания, которая хранит в электронном виде какие-либо сведения о сотрудниках, скорее всего, имеет дело с персональными данными 1 категории. Если же мы начинаем собирать какие-либо не обезличенные сведения о клиентах, то в лучшем случае это 2 категория. Таким образом, вопрос защиты персональных данных касается практически всех. В Роскомнадзоре насчитали более 7 миллионов предприятий, являющихся «операторами персональных данных».

Какие есть проблемы с законом:
Государственные требования к средствам защиты данных. В России для защиты персональных данных можно использовать только сертифицированные государством средств. Подобное требование делает несоответствующими закону значительную часть ИТ-систем, в том числе требованиям российского законодательства оказались не соответствующими многие иностранные системы защиты и хранения данных, вне зависимости от надежности применяемых в них алгоритмов шифрования. И прежде всего неготовыми к требованиям нового закона оказались бюджетные организации — у государства не оказалось денег на приведение ИТ-систем в соответствие с собственным законодательством. Именно для этого был необходим переходный период.

Невозможность аутсорсинга обработки персональных данных. В настоящее время 152-ФЗ не знает такого понятия, как обработка данных. В рамках этого закона есть «операторы данных» и «третьи лица». Естественно передавать конфиденциальные данные третьим лицам — запрещено. Поэтому коллекторские агентства, единые расчетные центры, а также ИТ-компания, оказывающие услуги обработки и хранения данных действуют с нарушением закона, если в договоре, заключаемым с физическим лицом явно не прописано разрешение на передачу данных. Собственно со вступлением в силу этого закона о хостинге SaaS-решений на территории Российской Федерации можно забыть, также, как об их применении.

Передача данных между различными ведомствами. К тому, что законодательные инициативы создают неудобства для бизнеса мы уже привыкли. Однако, авторы 152-ФЗ превзошли сами себя — закон максимально затрудняет взаимодействие различных государственных ведомств. Мы уже привыкли, что любое общение с государством — сбор множества справок. Что ж будет хуже — служба единого окна явно находится за рамками 152-ФЗ. Хотя можно найти и плюсы, например, должников должны перестать ссаживать с самолетов.

Депутаты продолжают работу над концептуальной доработкой закона 152-ФЗ. Можно надеяться, что в итоге он все же будет приближен к реальной ситуации и из него исчезнут требования, которые в настоящее время практически невозможно выполнить. Да и надо отметить, что к персональным данным многие относятся гораздо менее серьезно, чем это предусматривается государством. Стоит посмотреть на информацию, открыто размещаемую в социальных сетях и блогах — новый профиль facebook — отличный пример нарушения 152-ФЗ. К счастью, facebook не находится в зоне .ru.

152-ФЗ, государство, персональные данные

+ 0 —

Бычков Валерий [vbychkov], 09 декабря 2010, 14:53

()

Комментарии (7)

Комментировать

Рубинштейн Кирилл [krubinshteyn], 09 декабря 2010, 16:18

+ 0 —

Я очень надеюсь, что этот закон никогда не примут, а если и примут, то в более-менее нормальной форме. Иначе половину сайтов (включая этот) придется закрыть.

Кстати, вопрос.

Вот есть два сайта. Принадлежат разным организациям. На одном написано, что "Иван Иванович Иванов, его фото и e-mail". Это однозначно идентифицирует человека, но не дает дополнительной информации (е-маил ведь не считается?). Это третья категория. Есть другой сайт. На нем написанно, что пользователь с e-mail-ом (как у Иванова Ивана Ивановича) имеет такую-то сексуальную ориентацию, супружеский долг исполняет регулярно, болен тем-то, атеист, китаец и коммунист. Это по большому счету -- никак не идентифицирует человека. Получается, это 4-я категория.

Но если рассматривать ресурсы не отдельно, а вместе, то получается, что это 1-я категория?
Где-то проблема (ответ: в законе).

Свернуть Ответить
- Горошко Дмитрий [goroshko], 10 декабря 2010, 01:01
  
  + 0 —
  
  Одна большая профанация на гос. уровне. Все о модернизации заботятся. Законы принимаются в спешке, чтобы никто одуматься не успел. Данный закон требует детальной проработки с привлечением специалистов (а этого явно недостает сейчас).
  
  Ответить
- Бычков Валерий [vbychkov], 10 декабря 2010, 06:05
  
  + 0 —
  
  Теоретически закон позволяет относить email к персональным данным и у депутатов есть идея приравнять email к паспортным данным:
  
  «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
  
  Правда подобная трактовка "другой информации" у чиновников пока не распространена. Как всегда проблема в головах. Вообще, email гораздо надежнее идентифицирует человека, чем ФИО - однофамильцы и тезки есть практически у каждого, а вот email уникален.
  
  Ответить
Севрук Владимир [sevruk.com], 13 декабря 2010, 12:24

+ 0 —

Этот закон никогда не будет принят, потому что это бред. После принятия подобного закона, Яндекс, индексирующий страницы "ВКонтате", можно закрывать на веки вечные. Магазины ОКЕЙ, Призма, Ашан, и прочие Пятнрочки, собирающие персональные данные при выдаче своих карточек постоянного клиента, можно закрывать на веки вечные. Ну и так далее.

Свернуть Ответить
- Рубинштейн Кирилл [krubinshteyn], 13 декабря 2010, 12:34
  
  + 0 —
  
  Владимир, так закон уже давно принят. То, о чем речь -- это откладывание часа Х, когда все созданные ранее системы должны будут сертифицированы. Все создаваемые системы -- уже должны создаваться с учетом требований закона (мы для ГОСов в проектах на этот счет уже огребаем по полной, но вроде уже принаровились).
  
  По сути, откладывается момент, когда уважаемые опричники из ФТСЕКа будут ходить и собирать дань.
  
  Свернуть Ответить
  - Севрук Владимир [sevruk.com], 13 декабря 2010, 12:42
    
    + 0 —
    
    Ну значит отменят на вечно :)
    
    Свернуть Ответить
    - Рубинштейн Кирилл [krubinshteyn], 13 декабря 2010, 12:44
      
      + 0 —
      
      Я надеюсь. Потому как этот закон идет в разрез с курсов правительства на электронный бизнес и вообще всякое, что связанно с интернетами.
      Ну и очень много вопросов остается.
      Кстати, вот думаю, может составить список вопросов, отправить экспертам и написать статью? Или вообще вебинар по ПД сделать?
      
      Ответить