Игорь ШИШОВ: «Настал «день икс»!

Теперь за разглашение секретов граждан бизнесу грозят серьезные кары

Союз потребителей России только что подал иск против сотового оператора «Мегафон». Гнев вызван тем, что компания «большой тройки» допустила обнародование в интернете 8 тысяч SMS-сообщений, нарушив права людей на неприкосновенность частной жизни, тайну сообщений и на получение за свои деньги услуг надлежащего качества. «Мегафон» заявляет, что поисковик «Яндекс» также причастен к утечке, а тот утверждает, что инцидент произошел из-за ошибки на сайте сотового оператора.

Символично, что скандал почти совпал по времени с не столь резонансным, но по своим последствиям более масштабным событием. Речь – о вступлении в силу с 1 июля этого года требований ФЗ-152 «О защите персональных данных». По нему информационные системы персональных данных должны быть приведены в соответствие с требованиями законодательства. Об изменениях, ожидающих всех нас в связи с этим, рассказал «ЯР» заместитель директора департамента информатизации и связи Ярославской области Игорь Шишов.

– Игорь Леонидович, чем, на ваш взгляд, объясняется утечка данных в такой крупной и известной компании?

– Можно предположить с высокой вероятностью, что произошла так называемая инсайдерская утечка. То есть какой-то сотрудник компании по неизвестной нам причине решил разместить SMSки в открытом доступе. Судя по сообщениям об этом конфликте, обнародованы обезличенные персональные данные. Это, конечно, нарушение закона, но одно из самых мягких – если сравнивать с разглашением данных, относящихся к другим категориям. А судебной практики по таким делам еще нет, прецедентов пока не создано.

– Дело, возможно, не только в этом: некоторые эксперты говорят о том, что закон слишком общий, требует доработки. Как вы относитесь к таким утверждениям?

– Рациональное зерно в них есть, применение законов всегда привносит необходимость его корректив. Но существуют подзаконные акты, которыми нужно руководствоваться на практике. Они определяют и категории персональных данных, и классы информационных систем. Могут возникнуть ситуации, когда, скажем, компания без привлечения консультантов не может понять, как использовать средства технической защиты. Но здесь возможна помощь и со стороны надзорных органов, прежде всего Роскомнадзора, его территориальных управлений. А правительство области и органы исполнительной власти уже подали уведомления в Роскомнадзор о соблюдении новых норм.

– Велика ли активность контролирующих органов в защите интересов граждан в этой сфере?

– Повторю, что «день икс» уже наступил 1 июля, и если Роскомнадзор не появился на порогах всех организаций, то это не значит, что о защите персональных данных они могут забыть. Да и статистика проверок этим ведомством организаций в 2010 году, когда не все нормы ФЗ-152 еще вступили в действие, показывает, что в ходе 91 проведенной проверки выявлено 128 нарушений, выдано 31 предупреждение о приостановке действия лицензии. Отметим, что в прошлом году еще не все требования ФЗ-152 вступили в силу. Так что можно ожидать роста числа претензий со стороны Роскомнадзора в этом году.

– Если человек обратится в Роскомнадзор для защиты своих прав, то какие санкции постигнут компанию-нарушителя?

– Будет обязательно проведена проверка компании. Она займет немного времени в отличие от налоговых проверок, но позволит полностью прояснить ситуацию.

В случае, если жалоба окажется обоснованной, возможно привлечение к административной ответственности (ст. Кодекса об административных правонарушениях 13.11 «Нарушение порядка сбора, хранения, использования или распространения информации о гражданах» и 13.12 «Нарушение правил защиты информации»). Санкции, правда, весьма либеральные – штраф от 5 до 10 тыс. руб. на юридических лиц. Есть и уголовные наказания. Ст. 137 УК РФ «Нарушение неприкосновенности частной жизни» гласит: «Наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев». Существует и ст. 272 «Неправомерный доступ к компьютерной информации». Кстати, сейчас планируется внести изменения в КоАП и УК РФ для резкого ужесточения наказаний за нарушения в сфере обработки персональных данных.

– Самая интимная информация – финансовая. Что можно сказать о банках?

– Для них разработан комплекс БР ИББС, внедрение которого позволяет исключить риски. Можно предположить, что теперь пренебрежение нормами закона о защите ПД для них чревато потерей лицензии.

– Игроки рынка говорят, что есть риск исчезновения некоторых компаний из-за большой финансовой нагрузки, необходимой для исполнения ФЗ-152.

– Крупные компании, безусловно, должны тратить немалые средства, так как у них сложные системы, есть свои тонкости в выборе средств защиты. Но совсем другое дело – государственные организации, с которыми мы работаем. Анализ показывает, что в 90 процентах случаев, это касается и многих других структур, не нужны даже никакие затраты, тем более серьезные. Достаточно грамотных и своевременных управленческих решений. А в правительстве области решения уже найдены.

Цифра

50 процентов участников российского рынка доменных имен и хостинга еще не получили лицензию оператора ПД. По данным координационного центра национального домена сети интернет, в национальных российских доменных зонах «.РФ» и «.RU» около 70% доменов регистрируется физическими лицами, и вопрос о защите их ПД стоит очень остро.

Куда жаловаться?

Управление Роскомнадзора РФ по Ярославской области:

150000, Ярославль, ул. Кирова,7

Тел. (4852)-30-49-20

E-mail: rsockanc76@rsoc.ru

Сайт: 76.rsoc.ru

Справочно-информационный центр Роскомнадзора РФ: (495) 987-68-00.