Сегодня состоялось открытое заседание секции №1 научно-технического совета Минкомсвязи, посвященное исполнению федерального закона «О персональных данных». Я пошла на заседание в надежде узнать что-нибудь новое о том, как выполнять закон при создании электронных государственных услуг и интернет-сервисов вообще.
Если вы не читали закон, настоятельно рекомендую ознакомиться. Это очень важный и недооцененный документ — на уровне федерального закона признали право человека контролировать, кто и что о нем будет знать. Всю человеческую историю можно представить себе как обретение отдельным человеком все более и более неочевидных прав. Последовательно речь шла о праве на физическую безопасность, священность и неприкосновенность частной собственности, защиту частной жизни.
Законодательство о персональных данных постулирует еще более сложноустроенное право, которое сейчас далеко не всем представляется существенным. Это очень чувствуется в общем отношении к вопросу, дескать, от человека не убудет, если информация о нем будет храниться в какой-то базе данных веки вечные, обратабываться в целях изучения рынка, передаваться от одной организации другой. Невысказанная вслух фраза «А что здесь такого?» буквально висит в воздухе. Вероятно, Грамота на права, вольности и преимущества благородного дворянства Екатерины II, впервые создавшая в России категорию людей, которых нельзя было так запросто пороть на конюшне, вызывал похожее недоумение. Впрочем, 90% граждан сами не считают свои персональные данные чем-то существенным.
На заседании до обсуждения выполнения закона для он-лайн сервисов мы не дошли, но было интересно. Пришли представители самых взволнованных предстоящей ответственностью за испонение закона организаций — банков, страховщиков и операторов сетей сотовой связи. Банкиры сражались со всей свирепостью отчаянья. Для них исполнение закона означает некторое изменение сложившихся механизмов работы, что представляется совершенно невыносимым. Представители ЦБ, Сбербанка и Российской ассоциации банков рассказывали, что им придется увеличить затраты на информационную безопасность в 3-5 раз, конкуренты смогут блокировать деятельность отдельных банков, перегружая их обращениями граждан с запросами о хранении и обработке их п.д., в работу начнут вмешиваться новые регуляторы. И все это ради «бредовых требований субъектов персональных данных».
Представитель Сбербанка рассказал душераздирающую историю, как в одном регионе один поручитель по кредиту отказался выполнять свои обязательства, когда заемщик не смог расплатиться. Потом этот поручитель сам отправился за кредитом и обнаружил, что находится в стоп-листе. Он не растерялся, а обратился в суд — ведь он не давал разрешения на передачу своих персональных данных из одной базы данных в другую, налицо нарушение федерального законодательства. Выиграл у Сбербанка два суда.
Помимо собственных невзгод, многих волнует судьба «малозащищенных» операторов персональных данных вроде сельских школ и поликиник, которые плохо представляют себе, как электронную почту защитить, не то что базу с персональными данными. Выход? Отложить срок приведеня информационных систем персональных данных, созданных до принятия закона, гармонизировать его с другими законами, исправить и откорректировать! Нужно отдать должное представителям Минкомсвязи и регуляторов, предложения отложить все еще на годик они твердо отвергали.
Практический вывод: до нового года нужно сконцентрироваться и привести в соответствие все он-лайн сервисы. Хотя бы на минимальном уровне — не получается письменные согласия собирать от людей на сбор-хранение-обработку их персональных данных, хотя бы политику защиты персональных данных создать, опубликовать и внедрить. Регулятор не шутит.