Жертвы персональной защиты

Закон о персональных данных, обязывающий компании обеспечить защиту личной информации граждан, вступил в силу еще в 2007 году. Однако массовые проверки Роскомнадзора на предмет нарушения закона начались лишь сейчас, хотя к 1 января 2011 года выполнить его требования должны все компании. Выполнить же их в полной мере за оставшееся время успеют немногие.

Все вы теперь - операторы

Персональными данными (ПД) называются любые данные о человеке, например фамилия-имя-отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных была подписана Россией в 2001-м, а ратифицирована Госдумой в 2005 году, что и повлекло за собой необходимость принятия специального Закона о персональных данных - ЗоПД.

Разработка закона велась при участии ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК). Принятый закон, как считают эксперты, имеет множество недостатков.

Закон устанавливает конкретные требования в непринципиальных вопросах, а в принципиальных определенность отсутствует. Там, где дело касается денег, закон отсылает к постановлению правительства, которое отсылает к ФСТЭК, ФСБ и Роскомнадзору. Кроме того, из ЗоПД следует, что каждый оператор должен получить две лицензии: от ФСТЭКа на техническую защиту конфиденциальной информации и от ФСБ на техобслуживание шифровальных средств. В крайнем случае можно заключить договор с теми, кто такие лицензии имеет. Операторов ПД у нас более 4 млн. Они просто не успеют получить лицензии, а за осуществление лицензируемой деятельности без лицензии, напомню, предусмотрена уголовная ответственность".

По закону все компании, в каком-либо виде использующие в своей деятельности ПД, должны были до 1 января 2008 года отправить в Роскомнадзор уведомление об этом.

Все компании -"старички", которые до вступления этого закона в силу, то есть до 27 января 2007 года, обрабатывали ПД, должны обеспечить достаточный уровень защиты к 1 января 2011 года. А вот те, кто установил свои инфосистемы уже после 27 января 2007 года, должны соблюдать требования этого закона с самого начала своей деятельности. Чтобы доказать факт начала обработки данных до вступления закона в силу (и получить таким образом отсрочку), компания должна иметь акт о начале использования системы защиты, именно этот момент считается началом деятельности в качестве оператора ПД. А акта у "старичков" нет, поскольку раньше он и не требовался, следовательно, нет и отсрочки. А значит, в соответствии с новым законом их можно штрафовать или даже приостанавливать их деятельность.

Кто без греха?

Персональные данные имеют классификацию, ею определяется категория технической защиты, которую оператор ПД должен обеспечить. Например, информация о здоровье, согласно закону, имеет высшую классификацию. То есть, если в школе в архиве информации об учениках, кроме оценок, имени, адреса, контактных данных родителей, есть хотя бы одна запись медицинского характера, учебное заведение будет вынуждено потратиться на средства защиты первого, высшего, класса(в любом другом случае, как минимум класс второй защиты). Что уж говорить о поликлиниках...

Степень защиты, которую должна обеспечить компания, зависит и от объема ПД. Если записей до тысячи и они не очень важны, это третий класс защиты, самый простой. Большинство компаний попадает именно в этот класс, он требует в основном элементарных правил безопасности при обращении с ПД, а также документирования и регламентации всего процесса. Тем не менее компании и в этом случае придется получать аккредитацию в качестве оператора ПД, то есть вставать на учет в Роскомнадзоре.

"ПД содержатся и в видеонаблюдении, и в психологических тестах, и в записях звонков клиентов. Все это надо защищать. А алгоритм работ по защите един. Сначала необходимо выделить процессы, где обрабатываются ПД, категорировать их, классифицировать системы их обработки. Затем сформировать требования к механизмам защиты согласно требованиям и провести их внедрение. Далее нужно запросить подтверждение в лаборатории, что все условия защиты выполнены. После этого можно получить сертификат ФСТЭК или ФСБ. Средства защиты ПД должны входить в реестр сертифицированных средств защиты ФСТЭК или ФСБ. Компания может обладать защитой, аналогичной размещенной в реестре, но если она не имеет сертификата, регулятор сочтет это нарушением".

В списке сертифицированных средств ФСТЭК значится 2153 позиции. Это продукты НР, Cisco, IBM, Microsoft, Oracle, различные антивирусы и т.д. и т.п.

Сертификации подлежит как отдельный экземпляр, например единственная копия операционной системы (ОС), так и партия продуктов или даже производство целиком.

Вместо долговой ямы

Закон о ПД предусматривает ответственность за неисполнение от административной до уголовной. И недавно банк "Петрокоммерц" и компания МТС были вынуждены заплатить штрафы за нарушения закона. Впрочем, дела о нарушениях ЗоПД заводят в основном попутно. В Дагестане компания МТС была оштрафована за шесть незарегистрированных базовых станций, а "прицепом" - за некорректное обращение с ПД. В Самаре Роскомнадзор обнаружил семь базовых станций, работающих без разрешения, а заодно выявил нарушения ЗоПД: МТС забыла попросить согласия у кандидатов на замещение вакансий на обработку их ПД. Но проводятся уже и целенаправленные проверки по соблюдению ЗоПД, под одну из них в Тверской области попала МТС. В Краснодарском крае за нарушение установленного законом порядка обращения с информацией о гражданах для возбуждения дел по ст. 13.11 КоАП РФ в прокуратуру направлено три материала. По одному делу мировым судьей назначены наказания в виде предупреждения должностному лицу и штрафа в размере 5 тыс. руб. юридическому лицу. А две компании оштрафованы на 600 руб. каждая за то, что не отправили уведомления в управление Россвязькомнадзора о работе с ПД.

Руководитель практики по интеллектуальной собственности юридической фирмы Magisters отмечает, что за нарушения ЗоПД сегодня в основном привлекают к административной ответственности, однако уже известны попытки использовать возможности уголовного законодательства, предусмотренные ЗоПД. А возможности есть: по ст. 137 УК РФ за незаконное собирание или распространение с использованием служебного положения личных сведений, составляющих личную или семейную тайну, без согласия на то их субъектов грозит штраф от 100 до 300 тыс. руб или в размере заработной платы за один-два года либо арест на срок от четырех до шести месяцев (с 1 января 2011 года наказание ужесточается, и тогда нарушителя могут лишить свободы на срок от одного до четырех лет). Прокуратура города Краснотурьинска (Свердловская обл.) постановила возбудить уголовное дело в отношении юридических лиц, которые опубликовали в СМИ, а также напечатали и распространили в листовках фамилии должников по коммунальным услугам.

Иск вам в руки

Вот простой пример. Если при заключении договора об оказании услуг мобильной связи возможность передачи ПД не оговаривалась в письменном виде (или согласие на такую передачу не было получено впоследствии), то такая передача является незаконной, можно подавать иск.

Неожиданным образом ЗоПД наносит удар по коллекторам. Незаконной является не вся деятельность коллекторских агентств, а только действия по передаче и последующему использованию ПД. Но ведь это является ключевым моментом для бизнеса подобных компаний. Уже есть и прецедент. Прокурор города Златоуста подал иск к АО "Комитет городского хозяйства", которое передало данные своих должников в ООО "Региональная организация по возврату долгов". Комитет без согласия гражданина передавал организации сведения о задолженности конкретных лиц за оказанные управляющей компанией жилищно-коммунальные услуги, а также их фамилии, имена, отчества, адреса, сведения о составе семей должников, о номерах лицевых счетов. Спохватившись, многие банки срочно добавили в свои пользовательские договоры пункт, позволяющий передавать данные клиентов с их согласия кому угодно, но договоров, подписанных ранее, это не касается. Впрочем, согласие на обработку ПД, согласно закону, гражданин может и отозвать, и тогда банки столкнутся с проблемами.

На сайтах многих компаний размещены биографии их акционеров - это прямое использование ПД без согласия субъекта. Чтобы печатать фамилии на счетах, например, за коммунальные услуги, тоже необходимо согласие плательщика. Можно пожаловаться на стоматологическую клинику, которая, как правило, сохраняет сведения о клиентах, и вернуть часть затрат на лечение зубов (а в медицинском учреждении информационная система должна быть сертифицирована и аттестована по высшему классу, по затратам это сопоставимо с защитой гостайны).

Иски не заставят себя ждать. Как и во всяком деле, новый инструмент может быть использован как во благо (для наказания нерадивых операторов, возмещения ущерба), так и во вред - в качестве нечестного способа борьбы с конкурентом.

Юристы отмечают, что при использовании закона возникает немало сложностей. В частности, в случае с интернетом. "Часто невозможно определить лицо, незаконно использующее (распространяющее) информацию, так как сайт или почтовый ящик может быть зарегистрирован на кого угодно. Тем более если сайт зарегистрирован не в зоне .ru, а сервер находится за пределами России. "В этом случае российский закон может не действовать, и меры ответственности применить нельзя",- объясняет юрист.

И хотя удалось использовать возможности нового закона, чтобы закрыть несколько сайтов, например www.nomer.org.ru с номерами телефонов, крупная онлайновая база сведений о гражданах СНГ Radarix.com по-прежнему вне российской юрисдикции.

Под ударом оказались сети вроде "Одноклассников" и "Вконтакте". К первым уже приходила проверка, и сейчас компания приводит систему в соответствие с требованиями закона о защите ПД. Затраты "Одноклассников" могут составить несколько миллионов рублей, а необходимый уровень защиты, который компания должна обеспечить, соответствует высокому классу из-за огромных объемов ПД, обрабатываемых в системе.

"Но я сомневаюсь, что сроки будут изменены,- говорит Владимир.- Остается надеяться на то, что проверяющие будут пока ограничиваться предупреждениями и не станут взимать крупные штрафы или отзывать лицензии на основную деятельность".