Малый бизнес озабочен практикой закона о защите персональных данных
03.02.2010 16:35
Проблемы правоприменения федерального закона N152-ФЗ «О защите персональных данных» обсудили участники круглого стола, проведенного 3 февраля Общероссийской общественной организацией малого и среднего предпринимательства «ОПОРА РОССИИ» в Вернадском отделении Сбербанка России.
Президент «ОПОРЫ РОССИИ» Сергей Борисов акцентировал внимание на том, что предпринимательское сообщество слишком поздно обратило внимание на принятый в 2006-ом и вступивший в силу в 2007-ом году закон. Между тем он серьёзно влияет на каждого члена предпринимательского сообщества: на каждого работника, в связи с требованиями закона, придется потратить до 50 тыс. рублей.
«Таким образом, закон представляет собой новый затратный механизм. На фоне ожесточенной борьбы с излишними поборами, административными барьерами, ненужными платными государственными услугами он явно диссонирует со стремлением власти облегчить жизнь малому и среднему бизнесу. Кроме того, закон предоставляет лазейки мошенникам и рейдерам. Мы разделяем обеспокоенность туристических и страховых компаний, кредитных и медицинских учреждений и приветствуем усилия Минэкономразвития РФ и Минсвязи РФ по урегулированию данного вопроса», - заявил С.Борисов.
Президент Некоммерческого партнерства «Национальная страховая гильдия», руководитель комиссии «ОПОРЫ РОССИИ» по вопросам страхования Ирина Алёхина заметила, что сегодня огромное количество организаций, занимающихся обработкой персональных данных (ПД), нарушают закон, не подавая сведений о себе в реестр уполномоченного органа – Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
«То есть фактически являются преступниками», - подчеркнула И.Алёхина.
По ее словам, некоторые нормы закона противоречат отраслевому законодательству. Так, банк не может осуществлять денежных переводов кому-либо, не испросив согласия адресанта перевода на обработку его персональных данных. Любой мошенник может сегодня написать письмо в банк и запретить обрабатывать свои ПД, и в три дня после получения такого письма банк обязан уничтожить персональные данные, запрещенные к обработке. Обычно лицензия страховой компании, не предоставившей сведений о снятии судимостей с руководителя и главного бухгалтера, не выдается, но закон о защите ПД запрещает испрашивать такие данные.
«Кажется, закон не очень-то охраняет средства граждан, если позволяет уголовникам занимать посты в финансовых структурах», - считает И.Алёхина.
Она выделила также фактический запрет закона на проведение предстраховой экспертизы, определяющей стоимость риска страховщика, блокирование им системы скидок «бонус малус», принятой в страховом сообществе.
«Если через три года ПД должны уничтожаться, то ни о каких понижающих или повышающих страховой тариф коэффициентах и речи быть не может, они вводятся после трех лет исправных платежей», - пояснила И.Алёхина.
В то же время добросовестные страховые истории могут сохраняться в базах данных, а мошенники их совершенно правомерно будут изымать. Закон также запрещает постоянный обмен ПД между страховщиками и медучреждениями, турфирмами, трансграничную передачу ПД через систему перестрахования.
«Спасибо Роскомнадзору, который сегодня может остановить деятельность любого банка, турфирмы и страховой компании, но не делает этого», - резюмировала И.Алёхина.
Ведущий советник Комитета Государственной думы по безопасности, член рабочей группы Минсвязи РФ по доработке закона Елена Волчинская отметила, что первое большое совещание по проблеме принятого закона Комитет по безопасности ГД собрал в конце 2008-го года. Практика 2009-го показала, что работу по адаптации закона следует форсировать: профессиональные сообщества в течение 2009-го года собирали совещания по нему чуть ли не еженедельно.
После парламентских слушаний были выпушены рекомендации, составившие основы стратегии доработки закона.
«Более того, федеральный закон о внесении изменений в федеральные законы в связи с вступлением в силу N152-ФЗ тоже нуждается в углубленной доработке, а это новые функции надзора», - констатировала Е.Волчинская.
По ее мнению, регулирование информационных систем муниципальной власти еще может быть заботой федерального органа, но что касается остальных обработчиков ПД, механизм контроля должен быть заменен на что-то более эффективное.
«Операторы баз персональных данных должны исполнять требования безопасности, самостоятельно выбирая для этого средства и согласуясь со стандартами безопасности, принятыми в России и международном сообществе, если деятельность оператора касается трансграничных связей, а также стандарты профессиональных сообществ», - считает Е.Волчинская.
При этом стандарты должны быть оптимальными для каждого вида операторов.
Начальник управления по защите прав субъектов персональных данных Роскомнадзора Лариса Васильева сообщила, что ее управление в составе 17 человек осуществляет контроль за соблюдением закона через 78 территориальных управлений Роскомнадзора на местах.
«Отчёт о нашей деятельности за 2008-ой год направлен в Правительство РФ в установленные сроки. Готовящийся отчёт за 2009-й год включает следующие цифры: проведено 432 проверки исполнения закона, 284 плановых и 148 внеплановых. Выдано 557 предписаний, 54 протокола об административных нарушениях направлено в суды РФ. Чаще всего нарушения касались статьи 19.7 Кодекса об административных нарушениях (КоАПП) (несвоевременное предоставление сведений в управление или непредоставление их вообще), а также статьи 13.11 КоАПП. Материалы по 86 случаям нарушения данной статьи направлены в органы прокуратуры», - перечислила Л.Васильева.
По ее данным, 6 постановлений об устранении нарушений исполнено, а по пяти производство прекращено в связи с истечением срока давности, составляющего сегодня два месяца.
«Мы будем выступать за увеличение срока давности до полугода», - пообещала Л.Васильева.
Нарушения встречались в таких значимых сферах, как ЖКХ, страховой бизнес, кредитное обслуживание населения и юрлиц, коллекторский бизнес.
«Мы заметили, что коллекторы часто незаконно раскрывают ПД неограниченному кругу лиц, что недопустимо», - подчеркнула Л.Васильева.
Количество операторов в реестре сегодня составляет 83 376, а по разным оценкам истинное количество обработчиков ПД составляет в России от 3 до 7 млн организаций.
«Если 2009-й год мы постановили считать временем принятия решения, ограничиваясь в отношении операторов профилактическими мерами, то в 2010-ом году мы будем переходить к практике пресечения незаконной деятельности. 37 случаев неуведомления уже сделались предметом административной ответственности. Кстати, уведомление можно оформить в электронном виде прямо на сайте Роскомнадзора. Если в ноябре 2009-го года мы получили лишь 550 уведомлений, то после административных мер в декабре мы получили их уже 4484. Всего в нашей базе 8300 уведомлений», - продолжила Л.Васильева.
Она обратила внимание на возросшее количество обращений граждан (146 в 2008-ом году, 460 в 2009-ом), касающихся обработки ПД в отсутствие согласия субъекта, незаконной передачи ПД третьим лицам, публикации их и нарушений конфиденциальности.
«В 70% случаев факты подтвердились», - заключила Л.Васильева.
Вторая рабочая группа, по ее словам, занимается в Минсвязи правоприменительной практикой закона, созданием позитивного образа закона в обществе.
«Недавно Минюст зарегистрировал регламент проверок по закону, который вывешен на нашем сайте в виде приказа. Полагаю, что наши услуги в электронном виде должны быть и будут расширены уже в текущем году. Время обработки запроса по нашей инициативе сократится с 30 до 15 дней. Операторам баз ПД не следует думать, что если их нет в реестре, то проверка их не коснется: любое обращение граждан гарантирует проверку нашими инспекторами», - предупредила Л.Васильева.
Руководитель департамента консалтинга компании Softline Андрей Тимошенков посоветовал главам малых и средних предприятий поспешить с уведомлением Роскомнадзора о том, что они являются операторами баз ПД, далее оформить правовые основы своей деятельности, провести соответствующие юридические процедуры, декларирование соответствия оказываемых с обработкой ПД услуг и установить защиту от несанкционированного доступа и утечки информации по техническим каналам, возможно, с применением криптографических методов, на обновляемые базы ПД.
«Если наполнение баз персональных данных не отдается компанией на аутсорсинг кому-либо из профессионалов, неизбежно повышение квалификации персонала», - добавил А.Тимошенков.
Участники круглого стола согласились с необходимостью доработки закона и улучшения правоприменительной практики.
ИА "Альянс Медиа"
Президент «ОПОРЫ РОССИИ» Сергей Борисов акцентировал внимание на том, что предпринимательское сообщество слишком поздно обратило внимание на принятый в 2006-ом и вступивший в силу в 2007-ом году закон. Между тем он серьёзно влияет на каждого члена предпринимательского сообщества: на каждого работника, в связи с требованиями закона, придется потратить до 50 тыс. рублей.
«Таким образом, закон представляет собой новый затратный механизм. На фоне ожесточенной борьбы с излишними поборами, административными барьерами, ненужными платными государственными услугами он явно диссонирует со стремлением власти облегчить жизнь малому и среднему бизнесу. Кроме того, закон предоставляет лазейки мошенникам и рейдерам. Мы разделяем обеспокоенность туристических и страховых компаний, кредитных и медицинских учреждений и приветствуем усилия Минэкономразвития РФ и Минсвязи РФ по урегулированию данного вопроса», - заявил С.Борисов.
Президент Некоммерческого партнерства «Национальная страховая гильдия», руководитель комиссии «ОПОРЫ РОССИИ» по вопросам страхования Ирина Алёхина заметила, что сегодня огромное количество организаций, занимающихся обработкой персональных данных (ПД), нарушают закон, не подавая сведений о себе в реестр уполномоченного органа – Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
«То есть фактически являются преступниками», - подчеркнула И.Алёхина.
По ее словам, некоторые нормы закона противоречат отраслевому законодательству. Так, банк не может осуществлять денежных переводов кому-либо, не испросив согласия адресанта перевода на обработку его персональных данных. Любой мошенник может сегодня написать письмо в банк и запретить обрабатывать свои ПД, и в три дня после получения такого письма банк обязан уничтожить персональные данные, запрещенные к обработке. Обычно лицензия страховой компании, не предоставившей сведений о снятии судимостей с руководителя и главного бухгалтера, не выдается, но закон о защите ПД запрещает испрашивать такие данные.
«Кажется, закон не очень-то охраняет средства граждан, если позволяет уголовникам занимать посты в финансовых структурах», - считает И.Алёхина.
Она выделила также фактический запрет закона на проведение предстраховой экспертизы, определяющей стоимость риска страховщика, блокирование им системы скидок «бонус малус», принятой в страховом сообществе.
«Если через три года ПД должны уничтожаться, то ни о каких понижающих или повышающих страховой тариф коэффициентах и речи быть не может, они вводятся после трех лет исправных платежей», - пояснила И.Алёхина.
В то же время добросовестные страховые истории могут сохраняться в базах данных, а мошенники их совершенно правомерно будут изымать. Закон также запрещает постоянный обмен ПД между страховщиками и медучреждениями, турфирмами, трансграничную передачу ПД через систему перестрахования.
«Спасибо Роскомнадзору, который сегодня может остановить деятельность любого банка, турфирмы и страховой компании, но не делает этого», - резюмировала И.Алёхина.
Ведущий советник Комитета Государственной думы по безопасности, член рабочей группы Минсвязи РФ по доработке закона Елена Волчинская отметила, что первое большое совещание по проблеме принятого закона Комитет по безопасности ГД собрал в конце 2008-го года. Практика 2009-го показала, что работу по адаптации закона следует форсировать: профессиональные сообщества в течение 2009-го года собирали совещания по нему чуть ли не еженедельно.
После парламентских слушаний были выпушены рекомендации, составившие основы стратегии доработки закона.
«Более того, федеральный закон о внесении изменений в федеральные законы в связи с вступлением в силу N152-ФЗ тоже нуждается в углубленной доработке, а это новые функции надзора», - констатировала Е.Волчинская.
По ее мнению, регулирование информационных систем муниципальной власти еще может быть заботой федерального органа, но что касается остальных обработчиков ПД, механизм контроля должен быть заменен на что-то более эффективное.
«Операторы баз персональных данных должны исполнять требования безопасности, самостоятельно выбирая для этого средства и согласуясь со стандартами безопасности, принятыми в России и международном сообществе, если деятельность оператора касается трансграничных связей, а также стандарты профессиональных сообществ», - считает Е.Волчинская.
При этом стандарты должны быть оптимальными для каждого вида операторов.
Начальник управления по защите прав субъектов персональных данных Роскомнадзора Лариса Васильева сообщила, что ее управление в составе 17 человек осуществляет контроль за соблюдением закона через 78 территориальных управлений Роскомнадзора на местах.
«Отчёт о нашей деятельности за 2008-ой год направлен в Правительство РФ в установленные сроки. Готовящийся отчёт за 2009-й год включает следующие цифры: проведено 432 проверки исполнения закона, 284 плановых и 148 внеплановых. Выдано 557 предписаний, 54 протокола об административных нарушениях направлено в суды РФ. Чаще всего нарушения касались статьи 19.7 Кодекса об административных нарушениях (КоАПП) (несвоевременное предоставление сведений в управление или непредоставление их вообще), а также статьи 13.11 КоАПП. Материалы по 86 случаям нарушения данной статьи направлены в органы прокуратуры», - перечислила Л.Васильева.
По ее данным, 6 постановлений об устранении нарушений исполнено, а по пяти производство прекращено в связи с истечением срока давности, составляющего сегодня два месяца.
«Мы будем выступать за увеличение срока давности до полугода», - пообещала Л.Васильева.
Нарушения встречались в таких значимых сферах, как ЖКХ, страховой бизнес, кредитное обслуживание населения и юрлиц, коллекторский бизнес.
«Мы заметили, что коллекторы часто незаконно раскрывают ПД неограниченному кругу лиц, что недопустимо», - подчеркнула Л.Васильева.
Количество операторов в реестре сегодня составляет 83 376, а по разным оценкам истинное количество обработчиков ПД составляет в России от 3 до 7 млн организаций.
«Если 2009-й год мы постановили считать временем принятия решения, ограничиваясь в отношении операторов профилактическими мерами, то в 2010-ом году мы будем переходить к практике пресечения незаконной деятельности. 37 случаев неуведомления уже сделались предметом административной ответственности. Кстати, уведомление можно оформить в электронном виде прямо на сайте Роскомнадзора. Если в ноябре 2009-го года мы получили лишь 550 уведомлений, то после административных мер в декабре мы получили их уже 4484. Всего в нашей базе 8300 уведомлений», - продолжила Л.Васильева.
Она обратила внимание на возросшее количество обращений граждан (146 в 2008-ом году, 460 в 2009-ом), касающихся обработки ПД в отсутствие согласия субъекта, незаконной передачи ПД третьим лицам, публикации их и нарушений конфиденциальности.
«В 70% случаев факты подтвердились», - заключила Л.Васильева.
Вторая рабочая группа, по ее словам, занимается в Минсвязи правоприменительной практикой закона, созданием позитивного образа закона в обществе.
«Недавно Минюст зарегистрировал регламент проверок по закону, который вывешен на нашем сайте в виде приказа. Полагаю, что наши услуги в электронном виде должны быть и будут расширены уже в текущем году. Время обработки запроса по нашей инициативе сократится с 30 до 15 дней. Операторам баз ПД не следует думать, что если их нет в реестре, то проверка их не коснется: любое обращение граждан гарантирует проверку нашими инспекторами», - предупредила Л.Васильева.
Руководитель департамента консалтинга компании Softline Андрей Тимошенков посоветовал главам малых и средних предприятий поспешить с уведомлением Роскомнадзора о том, что они являются операторами баз ПД, далее оформить правовые основы своей деятельности, провести соответствующие юридические процедуры, декларирование соответствия оказываемых с обработкой ПД услуг и установить защиту от несанкционированного доступа и утечки информации по техническим каналам, возможно, с применением криптографических методов, на обновляемые базы ПД.
«Если наполнение баз персональных данных не отдается компанией на аутсорсинг кому-либо из профессионалов, неизбежно повышение квалификации персонала», - добавил А.Тимошенков.
Участники круглого стола согласились с необходимостью доработки закона и улучшения правоприменительной практики.
ИА "Альянс Медиа"