Публикация очередного отчета Роскомнадзора о защите прав субъектов персональных данных и новых нормотворческих инициатив, затрагивающих эту сферу, сделали традиционную встречу профильных экспертов с журналистами довольно интересной. Там можно было, например, узнать, почему рост штрафов до 500000 руб. выглядит обоснованным, а также об уже существующих и новых возможностях для чиновничьих злоупотреблений.
29 мая юридическая компания "Пепеляев групп" провела встречу с представителями СМИ, на которой проанализировали перспективы развития законодательства в сфере защиты конфиденциальной информации и персональных данных и ситуацию в этой сфере. Отправной точкой дискуссии стал ежегодный отчет Роскомнадзора о своей деятельности по защите прав субъектов персональных данных за прошлый год.
"После принятия новой редакции закона о персональных данных, в отчете появилось много интересных моментов. Прежде всего, по сравнению с 2010-м и 2011 годами резко, на 80%, увеличилось количество как плановых так и внеплановых проверок в этой сфере, — отметил руководитель группы правовой защиты информации "Пепеляев групп" Андрей Слепов. По его словам, к привычным сферам проверок (банковская система, система ЖКХ) добавились кадровые агентства и интернет-компании.
Из отчета регулятора следует, отмечает юрист, что большая часть компаний, в которых были выявлены нарушения законодательства, пошла на них сознательно, предпочитая нести риск штрафных санкций (за 2011 год регулятор выписал штрафов на 7,9 млн руб., а размер среднего взыскания составил 1800 руб.), нежели соблюдать нормы права. "В Роскомнадзоре прекрасно понимают, что угроза выплата такой суммы не может заставить кого-либо следовать закону о персональных данных", — констатировал юрист.
В свою очередь руководитель группы административно-правовой защиты бизнеса Елена Овчарова назвала главной проблемой сегмента защиты персональных данных "недостаточное понимание бизнесом необходимости надлежащего ведения дел". "Нет понимания privacy, люди забывают получать согласие на использование ПД, забывают, что могут использовать их только для заявленных целей", — сказала она. По ее словам, компании не отвечают на запросы Роскомнадзора должным образом, нарушают срок представления документов, не дают пояснения. "А если вы этого не делаете, чиновник будет понимать отчетность так, как ему это выгодно", — добавила Овчарова.
Именно поэтому, по ее мнению, Роскомнадзор выступает с инициативой увеличения административных штрафов с максимальных 10000 руб. до 500000 руб. "Он понимает, что от него пытаются отделаться незначительными суммами", — сказала Овчарова.
При этом пока, по словам специалистов, в сфере защиты персональных данных существует определенная неразбериха, которая вполне может быть доведена до абсурда. Примером тому может быть гипотетическая ситуация, когда "компания, пользующаяся системой "1С бухгалтерия", должна будет получать лицензию на право работы с персональными данными". "Даже наличие электронной почты – достаточное основание для того, чтобы считать, что компания обрабатывает персональные данные через Интернет", — отметил Слепов.
Видят эксперты и почву для коррупции при существующем состоянии регулятивной базы. Они считают, что выходцы из Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ, отвечающие за шифрование и трансграничную передачу персональных данных, а также их действующие сотрудники "создают третьи компании, предоставляющие лицензии на работу с персональными данными". Таким образом лицензирование фактически навязывается компаниям, которые вынуждены проходить проверки ФСБ и ФСТЭК и менять программное обеспечение организации и таким образом выплачивать чиновникам и их компаниям своебразную "ренту".
По мнению Слепова и Овчаровой, проекты постановлений правительства об установлении уровней защищенности персональных данных и об утверждении требований их защиты при обработке в информационных системах (опубликованы 25 апреля на сайте ФСБ) "создают простор для коррупции". В частности, Слепов указывает на положение о том, что "компания может выполнить меньший объем действий по защите, чем требуется по законодательству, если это будет согласовано с ФСБ в письменной форме".