Михаил Емельянников

1 июля Федеральный закон № 152-ФЗ «О персональных данных» наконец вступил в полную силу. Сложившуюся вокруг него ситуацию мы попросили прокомментировать Михаила Емельянникова, управляющего партнера консалтингового агентства «Емельянников, Попова и партнеры».

Как вы оцениваете развитие ситуации вокруг закона № 152-ФЗ?

Ситуация все пять лет с момента принятия закона была очень сложной. Закон принимался келейно, без привлечения экспертного сообщества, без попыток хотя бы просто оценить масштабы затрат. Закон был принципиально новым для России и создавался на основе конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», принятой в далеком 1981 году, поэтому недостатки закона были неизбежны. Другой вопрос — как к ним относиться и что делать для их исправления.

Главная проблема закона в том, что он направлен на выполнение формальных требований, одинаковых практически для всех операторов — от индивидуального предпринимателя или журналиста до Газпрома и Сбербанка. Что уже абсурд. Тем временем весь мир идет другим путем, по схеме «необходимость защиты – инцидент и ущерб субъекту – наказание оператора». Пока инцидента нет, никто никаких решений оператору не навязывает.

В чем суть принятых изменений?

Сначала надо, наверное, ответить на вопрос, а какие, собственно, изменения приняты. Второму чтению предшествовала поистине детективная история, когда рожденный в результате компромисса между различными лоббистскими группами законопроект Владислава Резника был выложен на сайт Думы, через три дня снят, потом появился новый вариант, фактически ничего общего с проектом Резника не имевший и получивший название законопроекта Плигина – Московца – Резника, который и был в итоге принят и затем подписан президентом. Фактически все благие намерения, отраженные во внесенном Резником законопроекте, таинственным образом из него исчезли. Напомню, его законопроект предусматривал, что перечень и характер мер, принимаемых оператором — коммерческой организацией для обеспечения безопасности обрабатываемых персональных данных, определяется соглашением оператора и субъекта, которое может быть заключено в устной форме. То есть мы плавно должны были перейти к общемировой модели защиты персональных данных. Ничего этого в принятом законе нет.

Теперь о том, что есть. Начну с хорошего. В законе появились правильные слова о том, что оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей, предусмотренных законом и принятыми в соответствии с ним нормативными правовыми актами, что вроде бы соответствует духу поправок Резника. С целью обеспечения баланса интересов оператора и субъекта, обеспечения разумности и выполнимости требований значительно увеличены сроки подготовки оператором ответа на запрос субъекту, сроки уничтожения персданных в системе после достижения целей обработки или отзыва согласия субъекта, предусмотрено, что данные могут храниться и обрабатываться дольше, чем предусмотрено в ФЗ-152, если это требуется другими актами.

Новая редакция ограничивает возможности субъекта завалить оператора запросами об обработке его данных. Значительно расширены основания обработки персданных, в том числе специальных категорий, без согласия субъекта. Улучшен в целом понятийный аппарат. Наряду с субъектом персональных данных в законе появились выгодоприобретатель и поручитель, данные которых обрабатывают банки, но получают эти данные в некоторых случаях не от самих субъектов, что тоже ранее создавало проблемы.

Теперь о том, что огорчило. Положение о свободе выбора оператором состава мер защиты полностью перечеркивается необходимостью представить доказательства выполнения рекомендованных мер по первому требованию уполномоченного органа. Существенно расширен объем информации, содержащейся в уведомлении, направляемом оператором в уполномоченный орган. Предусматривается, что эта информация должна автоматически транслироваться в ФСБ и ФСТЭК, что тоже оператора не обрадует. Появились не очень понятные новшества. Например, из 18 способов обработки персональных данных, установленных законом, точно определены только пять, содержание семи способов можно установить только по косвенным признакам, а шесть вообще не определяются и в законе нигде, кроме ст. 3, устанавливающей понятийный аппарат, не используются. Зачем их вводить, совершенно непонятно. Среди сохранившихся понятий, не имеющих теперь определения, — использование персональных данных, которое в предыдущей редакции закона было одним из важнейших, связанных с принятием юридически значимых для субъекта решений.

Не снимает новая редакция и такую распространенную головную боль оператора, как доказывание наличия согласия субъекта на обработку. По-прежнему вызов врача по телефону для родственника — зона риска поликлиники, а продажа товаров через Интернет лицу, которого в момент заказа установить нельзя, — проблема предприятий дистанционной торговли. Перечень недостатков можно продолжать.

На вопрос, как скажутся изменения закона на операторе и субъекте, можно ответить достаточно коротко: субъекту будет лучше, а оператору существенно легче не станет.

Как уполномоченные органы выбирают, кого проверять?

К сожалению, эта тема абсолютно закрыта. Критерии, по которым выбираются объекты плановых проверок, известны только разработчикам планов. Ситуация с Роскомнадзором пока останется неясной, а вот порядок проведения проверок ФСБ и ФСТЭК в негосударственных организациях и предприятиях должен проясниться после принятия Правительством РФ соответствующего решения, предусмотренного ч. 9 ст. 19 закона в новой редакции.

Усугубляется ситуация с проверками тем, что по неизвестным причинам не прошли поправки в ФЗ-152, на основании которых могли бы проводиться внеплановые проверки по жалобам и заявлениям субъектов, органов власти и СМИ. По-прежнему единственным законным основанием внепланового посещения оператора является устранение им ранее выявленных недостатков, отмеченных в предписании надзорного органа.

Похоже, вопрос защиты персданных все дальше уходит от компетенции специалистов по ИБ и ИТ к юристам. Так ли это?

Да, такая тенденция понемногу проявляется, и это очень хорошо. Прежде чем тратить немалые деньги на техническую защиту, неплохо бы определиться, какие для этого есть основания, где начинаются и заканчиваются полномочия оператора и уполномоченных органов власти, как вписать бизнес-процесс в закон и решить другие вопросы, которые целиком лежат на совести юристов, а не технарей.

Что в итоге делать операторам перс-данных?

Ответ один — выполнять закон. Определять пути соответствия, изыскивать средства, искать и согласовывать с регуляторами способы реализации бизнес-процессов в рамках закона, разрабатывать отраслевые документы — очень конкретные, четко описывающие специфику деятельности и меры по выполнению закона. Параллельно через лоббистские объединения добиваться его изменения, чтобы приблизить его к реальной жизни.

Кроме штрафов есть еще и репутация, а взаимоотношения с контрольными и надзорными органами и со своими работниками не всегда измеряются в рублях.

Справедливости ради надо сказать, что перспектив приведения информационных систем предприятий малого и среднего бизнеса в соответствие закону ФЗ-152 пока не видно. Скорее всего, в отрасли, проверяемые ФСБ и ФСТЭК, они не попадут, Роскомнадзор может только формально ответить на вопрос технического соответствия. Но и значимых инцидентов с персданными в этом секторе можно не ждать.

Кроме того, на августовской пресс-конференции депутата Сергея Железняка, которая проводилась совместно с представителями регуляторов, было сказано о подготовке осенью Госдумой предложений по ужесточению ответственности за инциденты с персданными. Будем ждать.