CIO полны тревоги. Особенно CIO государственных структур. С 1 января 2010 года все операторы, работающие с персональными данными, должны соответствовать требованиям 152 федерального закона о персональных данных и нормативных документов ФСТЭК и ФСБ. Только что прошли парламентские слушания, посвящённые этому закону. Они выявили массовую неготовность как бизнеса, так и государственных структур к полномасштабному выполнению 152-ФЗ. По мнению участников слушаний, подзаконная база сформировала чрезвычайно затратный, запутанный, противоречивый механизм, не учитывающий ни особенности обработки персональных данных в различных сферах деятельности, ни возможность оператора по обеспечению установленных требований.

В связи со сложившейся ситуацией депутаты предлагают перенести на год вступление в силу части третьей статьи 25 закона, которая касается выполнения обязательных требований по безопасности обработки персональных данных, распространяемых в том числе на государственные информационные системы.

«Сейчас идут серьёзные консультации по 152-му федеральному закону о персональных данных. На данный момент предлагается около 60 поправок, говорит Олег Подкопаев, директор департамента информационных технологий РусФинанс банка и председатель CIOBANK Сlub - клуба Делового Общения банковских IT-директоров, – К этому вопросу есть очень большой интерес. Несмотря на то, что до сентября месяца говорили, что этот вопрос не проходной, сейчас как минимум три парламентских комитета - по государственному строительству и конституционному законодательству, по безопасности, по финансовому рынку, - очень активно выступили на этих парламентских слушаниях.

В явном виде никакого переноса сроков действия 152-ФЗ не будет. Этого нельзя сделать политически, потому что существуют определенные международные обязательства, - продолжает Олег Подкопаев, - но де-факто в нормативные акты могут быть внесены поправки, которые, скажем так: несколько облегчат жизнь операторам персональных данных».

На определённые улучшения в нормативной базе надеется и Михаил Емельянников, эксперт компании «Информзащита», которая предоставляет на ИТ-рынке услуги консалтинга и аудита. Однако важно обсуждать не только документы ФСТЭК и 19 статью 152-ФЗ, чем все занимаются последнее время, но и другие правовые вопросы, связанные с реализацией этого закона.

«Принятие закона о персональных данных изначально предполагало внесение изменений в 32 федеральных закона, - говорит Михаил Емельянников, - С момента принятия 152-ФЗ прошло три года. За три года законодатель ни в один из федеральных законов изменения не внёс. Возникают юридические коллизии. Скажем, в Интернете широко распространены web-формы, которые надо заполнять на форумах, в социальных сетях, в Интернет-магазинах и т.д. Сегодня ни один оператор персональных данных, если строго следовать требованиям закона, не сможет доказать, что эти данные получены законным путем и с согласия субъекта. Потому что согласно 9 статье закона ответственность за доказательство правомерности обработки персональных данных и наличие согласия субъекта возлагается на оператора персональных данных. Это означает, что незаконной оказывается деятельность Интернет-магазинов, незаконны заявки на кредиты, поданные через Интернет, незаконны все социальные сети и так далее, т.е. требования подзаконных актов невозможно выполнить при работе с любыми сайтами, где персональные данные вводятся через weв-формы. Но нельзя же из-за несовершенства закона отменить технический прогресс!

Когда Россия ратифицировала европейскую конвенцию 1981 года о защите прав физических лиц при автоматизированной обработке персональных данных, то мало кто обратил внимание на положение о том, что требование privacy, то есть защиты персональных данных, не должно препятствовать свободному движению товаров, услуг и капиталов. А когда получается, что незаконен весь интернет-бизнес, то какое же тут свободное движение товаров и услуг?

Пока у нас нет судебной практики отстаивания примата международных соглашений над внутренним законодательством, констатирует Емельянников, - А раз нет судебной практики, то рассчитывать на то, что международная конвенция окажется сильнее внутреннего закона, увы, не приходится».

Однако, учитывая экономическую ситуацию, учитывая сроки, в которые были выпущены нормативные документы, можно рассчитывать на то, что регулятор отнесётся с пониманием к тому, что работа по реализации закона не закончена, считает Михаил Емельянников. – «Но то, что работа должна быть начата, и что должен быть абсолютно внятный план действий на какую-то разумную перспективу, и что это должно подкрепляться договорами с исполнителями, это однозначно. Просто сказать, что мы хотим все сделать, но сделаем потом, когда будут возможности, не получится. Но если есть классификация систем, есть модели угроз, есть нормодоки, есть договор с интегратором, который выполняет проектирование, но ещё не закончил, то это одна ситуация. А если нет ничего….»

Роскомнадзор, призванный контролировать выполнение закона и гарантировать защиту прав граждан, занимает взвешенную, но твёрдую позицию. Выступая на парламентских слушаниях, заместитель руководителя Роскомнадзора Роман Шередин заявил, что не считает перенос срока необходимой мерой, которая поможет решить стоящие сегодня перед операторами персональных данных проблемы. (Цитата по РИА-Новости): «Мы понимаем всю неоднозначность сложившейся ситуации, связанной, прежде всего, с организационной сложностью и финансовой обременительностью имеющейся методологии защиты персональных данных. При этом мы понимаем и всю ответственность Уполномоченного органа, призванного защищать права граждан - субъектов персональных данных. Учитывая это, мы настаиваем на нецелесообразности переноса сроков, установленных законом. И настаиваем на скорейшем принятии тех законопроектов и подзаконных актов, которые позволят в полной мере обеспечить законные интересы и права граждан, предъявляющих свои персональные данные как в государственные органы, так и в коммерческие структуры».