СФ принял закон «О персональных данных»

13 июля Совет Федерации ФС РФ принял закон «О внесении изменений в Федеральный закон «О персональных данных», несмотря на критику экспертов и участников рынка, среди которых была Ассоциация региональных операторов связи.
Как известно закон «О персональных данных» вступил в силу в январе 2007 года, однако из-за трудновыполнимости была заблокирована его 19 статья, которая предусматривала жесткие меры для организаций, имеющих отношение к персональным данным («любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»).
В процессе усовершенствования 19 статью в конечном итоге появилась новая версия поправок ко всему закону, которая с поразительной скорость прошла ГД и была принята Советом Федерации. Нововведения, по мнению членов экспертного сообщества, носят бескомпромиссный характер и разработаны в интересах спецслужб, которые, как предполагается, принимали непосредственное участие в их подготовке.
По новому законодательству за обработку ПД должен отвечать специально выделенный для этого сотрудник, должно быть приобретено соответствующее программное и аппаратное обеспечение, которое произведенное компанией — лицензиатом ФСТЭК и ФСБ, при этом сертифицированию подлежит не программа в принципе, а каждый ее экземпляр (на каждом компьютере). Эти же структуры будут проводить оценку мер безопасности. В отличие от первоначальной версии закона, где ФСТЭК и ФСБ имели право осуществлять контроль только госорганов, теперь эти структуры решением правительства могут быть наделены полномочиями по контролю и надзору над негосударственными информационными системами. При этом законом не определен субъект, который должен определять процедуры оценки средств защиты информации, а также не указаны критерии оценки эффективности принимаемых мер по обеспечению безопасности персональных данных.
Соответствие новому закону потребует от бизнеса значительных инвестиций. Прежде всего, на установку системы обработки персональных данных. По некоторым оценкам размер необходимой суммы может достигать 200% от годового оборота – на установку системы, и прядка 10-15% от стоимости системы – на ее ежегодное обеспечение. Например для компании масштаба МТС необходимая сумма инвестиций может составить порядка $40 млрд плюс ежегодно от $2-5 млн на поддержание системы. Не исключено, что используемые на сегодняшний день сотовыми операторами системы будут признаны несоответствующими новому законодательству.
Ряд экспертов в области информационной безопасности обратились с открытым письмом к Президенту России, в котором обращают внимание на неэффективность предлагаемых мер в деле защиты прав субъектов персональных данных, обеспечение которых потребует суммы равной 6% ВВП страны, которая с наибольшей степенью вероятности ляжет на плечи конечных потребителей, что спровоцирует рост инфляции.
Эксперты отмечают, что суть новой версии закона «О персональных данных» фактически сведена к тому, что на защиту персональных данных должно тратиться больше средств, в первую очередь на приобретение новых технических средств, соответствующего программного обеспечения и постоянное поддержание системы в должном виде. Аналитики уверены в том, что в конечном итоге, оплачивать госинициативу, потенциальная эффективность которой находится под большим вопросом, будет конечный потребитель (абонент). Для операторов связи принятие 152-ФЗ означает необходимость масштабных инвестиций, а соответственно и повышение цен на свои услуги. По усредненным оценкам, вопрос цены информационной безопасности для них составит порядка 10% от годового оборота компании плюс 10-15% от этой суммы ежегодно. Профессионалы прогнозируют, что одним из пагубных последствий нового закона может стать изменение тенденции снижения цен на услуги сотовых компаний, имевшей развитие на протяжении нескольких лет.
Аналитики, соглашаясь с самим фактом необходимости повышения уровня безопасности процесса обращения с персональными данными, солидарны в том, что меры 152-ФЗ вряд ли смогут решить существующие проблемы, при этом с высокой степенью вероятности могут значительно осложнить жизнь как компаниям, имеющим дело с персональными данными (закон касается 7 млн организаций), так и конечным потребителям, которые будут вынуждены спонсировать малоэффективные попытки государства защитить их ПД, а кроме всего прочего создать очередную возможность для вымогательств на государственном уровне.
 

«Закон, о котором идет речь, прошел практически все ключевые этапы согласований довольно быстро, что невольно наталкивает на мысль о том, что лобби было весьма сильным. Не исключено, что поддержку законопроекту оказывали представители силовых структур. Суть предлагаемых авторами законопроекта нововведений сводится к тому, что на защиту персональных данных должно расходоваться больше средств, причем на техническое переоснащение компаний и предприятий пойдет их значительная часть. Например, операторы связи должны будут закупить весьма дорогостоящее оборудование (стоимость которого составляет десятки миллионов долларов), а также оснастить его соответствующим программным обеспечением. Выиграют от дополнительных заказов, как можно предположить, фирмы, аффилированные с теми же самыми силовыми структурами. Результатом всего этого для компаний станут дополнительные накладные расходы, которые наверняка будут переложены на конечных потребителей. Причем сами потребители кроме роста цен на услуги вряд ли что-либо получат, поскольку в подавляющем большинстве случаев персональные данные становятся достоянием широкой общественности не в результате краж, а в результате подкупа ответственных за ее хранение лиц. Очевидно, что операторы сотовой связи в новом законе ничего иного кроме дополнительных расходов не видят. Для них он, вероятно, станет очередной головной болью, причиненной властями. Логично предположить, что в подобных условиях, чтобы сохранить эффективность бизнеса на прежнем уровне, они будут вынуждены поднимать цены на свои услуги. Очевидно, что представленный прогноз развития событий не сулит ничего хорошего и самим абонентам. Цены на услуги связи будут только расти, идя вразрез с долгосрочной тенденцией, наблюдаемой на рынке вот уже на протяжении ряда последних лет. О размерах инвестиций, необходимых для выполнения требований закона, судить весьма сложно, поскольку каждый случай представляется нам уникальным (компании обладают различными системами защиты информации и их «доведение до ума» требует, следовательно, различное количество средств). Тем не менее, мы позволим себе согласиться с рядом экспертов, которые говорят о возможности единовременных затрат в размере свыше 10% от годового оборота компании плюс 10-15% от этой суммы ежегодно. Думается, что общественная реакция будет весьма сдержанной по той причине, что общество довольно пассивно реагирует на подобные новости, поскольку подавляющая его часть не разбирается детально в проблеме».

«В принципе, сама идея ужесточения регулирования деятельности операторов персональных данных, с точки зрения субъекта персональных данных, представляется правильной и нужной. Легкодоступность персональных данных и необходимость их защиты и послужили основаниями для принятия Закона о персональных данных. Представляется, что первоначально принятая редакция Закона о персональных данных не привела к тому эффекту, на который рассчитывал законодатель - защита прав и интересов субъектов персональных данных. Однако при этом возникает вопрос: являются ли причинами недостижения поставленной цели пробелы в Законе о персональных данных или недостатки администрирования и исполнения некоторыми операторами персональных данных норм Закона о персональных данных? Хотя ранее принятая редакция Закона о персональных данных и содержала некоторые пробелы в регулировании защиты персональных данных, но, в большей степени, недостижение поставленной цели связано с недостатками администрирования и исполнения некоторыми операторами персональных данных первоначальной редакции Закона о персональных данных. В связи с вышеизложенным возникает вопрос о разумности и целесообразности ужесточения Закона о персональных данных в настоящее время без решения обозначенных проблем. Отметим, что эффективность Закона о персональных данных и принятых к нему поправок возможна только в единственном случае, - если нормы закона будут одинаково исполняться как коммерческими организациями, так и государственными органами и учреждениями. При этом, с большей долей вероятности, контроль за исполнением Закона о персональных данных и поправок к нему будет обращен на коммерческие организации, а на неисполнение рассматриваемого закона государственными органами и учреждениями внимание обращаться не будет (пока в каком-нибудь государственном органе или учреждении не произойдет утечка персональных данных и не возникнет необходимость публичного наказания). В свою очередь, исполнение только коммерческими организациями новых поправок к Закону о персональных данных приведет лишь к удорожанию услуг (например, банков, операторов связи и т.п.), дополнительным и чрезмерным расходам коммерческих организаций, появлению дополнительных коррупционных рычагов воздействия на бизнес, при этом цель Закона о персональных данных - защита прав и интересов субъектов персональных данных достигнута не будет».

«Непосредственно для телекома последствия введения закона могут быть совершенно различными. Впрочем, сценарий, когда сотовые операторы «большой тройки» серьезно ухудшают свои результаты под грузом проектов по усилению технической защищенности ПД, маловероятен. Как и сценарий, при котором избежать затрат полностью не удастся. Перспективы можно оценивать по тому, как операторы начнут защищать свои интересы. В случае выработки консолидированной позиции и ее совместного представления, шансы на успех будут. Что касается абонентов, то чем больше расходов понесут операторы, тем сильнее это отразится на их ценовой политике. Защищенность данных существенно не возрастет. Точно несколько возрастет их стоимость на черном рынке. Общественная реакция будет зависеть от того, какая сторона будет владеть инициативой в ходе реализации информационных мероприятий, сопровождающих запуск закона. По сути ситуации можно сказать следующее – нынешняя ситуация с персональными данными непроста. Купить можно все. Сотрудники компаний и сами компании нарушают закон. Если закон станет более строгим, возрастет коррупционная составляющая. Работать в такой ситуации целесообразнее над средствами контроля, чем над самими правилами, которые достаточно. Важен и общественный контроль. Как только общество сформирует спрос качественную защиту персональных данных – бизнес начнет его удовлетворять».