Персональный штраф

Фото: РБК

Роскомнадзор предлагает увеличить максимальный штраф за неисполнение закона «О персональных данных» с 10 тыс. до 700 тыс. руб. До сих пор компании, подпадающие под его действие, предпочитали платить штрафы, а не исполнять его. Владимир Ульянов, возглавляющий аналитический центр компании Zecurion, которая занимается защитой информации, считает, что эта мера лишь усилит давление ведомства на бизнес и не приведет к реальному усилению защиты персональных данных.

Персональными данными (ПД) называются любые данные о человеке — фамилия — имя — отчество, дата и место рождения, адрес, семейное, социальное, имущественное положения, образование, профессия, доходы. Поэтому закон «О персональных данных», который вступил в действие еще в 2007 году, касается не только организаций, работающих с такими данными по роду своей деятельности (больницы, операторы мобильной связи, банки), но все компании, где есть обычный отдел кадров.

С 1 января 2010 года выполнить требования этого закона должны все, кого он касается. Ведущий аналитик компании InfoWatch Николай Федотов тогда предсказывал, что из-за этого отрасль информационной безопасности получит новый поток заказов объемом свыше 100 млн руб. в год. Но на практике этого не случилось.

«С самого начала вся защита данных приобрела формальный характер, так как закон в основном регламентировал лишь документооборот. Банки, телекоммуникационные компании, которые и раньше защищали данные, продолжили эту защиту, все остальные отнеслись к новым требованиям спустя рукава, — вспоминает г-н Ульянов. — С их точки зрения, овчинка не стоила выделки. Проверки Роскомнадзора не могут охватить всех, а если кого-то и уличали в нарушениях, дешевле было заплатить штраф. 10 тыс. руб. — небольшая сумма даже для малого бизнеса».

Главный минус закона, который отмечали тогда все эксперты, был в том, что предусмотренная им ответственность касалась лишь случаев невыполнения требований по внедрению у себя этих мер, в то время как ответственности за доказанный факт утечки персональных данных не было предусмотрено никакой. Даже тот, кто терял данные, не отвечал за это, если он исполнял формальности закона.

«Сейчас доля продуктов и услуг, касающихся выполнения закона о защите ПД, в нашей компании составляет всего лишь около 7%, — говорит г-н Ульянов. — Если предложения Роскомнадзора будут приняты, возможен двукратный или даже трехкратный рост. Однако о росте реальной защиты информации в этом случае не будет и речи. Скорее усилится коррупционное давление на компании».

С Владимиром Ульяновым согласен и Николай Федотов: он считает, что сам подход к защите персональных данных, регламентированный законом, неверен. «В самом законе 152-ФЗ требований очень немного, и все они простые и дешевые в исполнении. Самые сложные, самые дорогие и самые взяткоемкие требования содержатся в подзаконных актах. Эти акты регуляторы сами пишут и сами проверяют исполнение. Как следствие, стимулируется коррупция, но не стимулируется защита данных, — поясняет г-н Федотов. — Тот, кто действительно считает, что должен защищать свою информацию, делает это и сейчас. А тот, кто считает это излишней формальностью, найдет способ решить вопрос, не обеспечивая реальную защиту».

«Роскомнадзор понимает, что одним увеличением штрафов кардинально ситуацию с соблюдением закона «О защите персональных данных» изменить не удастся, — пояснил РБК daily позицию Роскомнадзора его представитель Вадим Ампелонский. — Но сложившаяся практика правоприменения нас тоже не устраивает. Поэтому ведомство предлагает ввести дифференцированную ответственность за нарушение прав субъектов персональных данных. Мы инициируем комплексные изменения в законодательство, включая введение новых составов административных правонарушений. Суть этих изменений сводится к конкретной ответственности за конкретные правонарушения».