А контролеры кто?

А контролеры кто?

Закон «О персональных данных» оказался слишком  требовательным к операторам. На Западе принят совсем другой подход к регулированию  в этой сфере: в случае, если у  оператора произойдет утечка данных, его накажут, и сильно. Но вот то, как он обрабатывает эти данные –  это его проблемы. Российский подход – прямо противоположен: здесь  стремятся зарегулировать все, что  можно, но вот за нарушение порядка  работы с ПД ничего, кроме административной ответственности по статье 13.11 КоАП не грозит (штраф до 10 000 рублей для юридических лиц). Поэтому в России, славной своими традициями неисполнения даже нормальных законов, с такими непродуманными как «О персональных данных», народ тем более борется по-русски: просто игнорирует его, в расчете на то, что всех не накажут, по аналогии с пользователями торрентов.

Но если ваш сервер находится где-то у  зарубежного хостера, то до него, скорее всего, руки Роскомнадзора не дойдут. Впрочем, одна недавняя попытка привлечения владельца сайта к ответственности показала, что и сами контролеры закон знают не очень хорошо. В конце января и начале февраля состоялось два судебных процесса по делу, истцами в котором выступали представители Роскомнадзора, а ответчиком – владелец сайта «Всероссийское генеалогическое древо» Сергей Котельников.

Сам иск  был подан по жалобе одной из посетительниц  сайта, которая нашла на нем личные данные шести человек. Роскомнадзор в процессе выступал в интересах неопределенного круга лиц, и требовал уничтожить те персональные данные, которые к тому моменту были размещены на сайте. Сведения эти публиковались для поиска родственников, а сам сайт представляет собой крупнейший российский генеалогический ресурс. Естественно, пользователи были недовольны. В ходе переговоров с Котельников с Роскомнадзором даже собирались заключить мировое соглашение, которое включало условие о том, что при размещении данных пользователь будет давать свое согласие на то, что они становятся общедоступными.

При теперешнем распространении электронной подписи  задача эта была заведомо невыполнимой. Но суд поступил проще: он не стал рассматривать  заявление. В определении суда говорится  о том, что Роскомнадзор просто не имеет права подавать иски в интересах неопределенного круга лиц: он может защищать интересы только конкретных «субъектов персональных данных», это право ему дано статьей 23 закона о ПД. Ведь если «персональные данные» – это информация, относящаяся к определенному лицу, то „неопределенного круга“ таких лиц существовать не может в принципе. Таким образом, этот «нашумевший» судебный процесс выявил одно из слабых мест контролеров: требовать удалить все данные всех пользователей с сайта они просто не имеют права, закон разрешает им действовать только в интересах конкретных лиц.

В связи  с этим, появился повод вспомнить  про 1 июля 2011 года — день X, когда  в России начнет по-взрослому действовать  Закон о персональных данных, точнее действует он уже давно, а к 1 июля всем операторам перс.данных необходимо привести свои ИСПДн в соответствие с требованиями этого закона. Персональные данные – это любая информация относящаяся к физическим лицам: ФИО, дата, место рождения, адрес, семейное положение, доходы, образование и другая информация. Операторы персональных данных – это не всякие мегафоны и эМТээСы, а мы с вами – сетевые инженеры, системные администраторы, специалисты по информатизации, безопасники и прочие айти-братья. Точнее даже не мы, а наши работодатели, но заниматься этим в большинстве случаев придется именно нам.

Итак, если у нас есть сетевая среда, в которой в электронном виде хранятся или обрабатываются персональные данные сотрудников, клиентов, партнеров  – в общем физических лиц, значит всё: приговор почти подписан и мы – оператор. Закон называет сегмент нашей сетки с приватными сведениями — «ИСПДн» т.е. «информационная система персональных данных» и требует от нас бережного отношения к этим самым ПДн и, более того, – обеспечения для них режима информационной безопасности.

Правда  для самых экстремальных айтишников с 1 июля будет действовать аттракцион невиданной смелости: «забей» на защиту персональных данных и пригласи к себе проверяющие органы. Проверками будут заниматься ФСБ, ФСТЭК и территориальные органы Роскомнадзора. Санкции пока не самые лютые: от одной до десяти (в тысячах рублей). Но в крайних случаях, например, если база наших клиентов появится в публичном доступе, вилка штрафов вырастает до пятизначных значений, появляется опасность возбуждения дел, исправительных работ и прочих толстых намеков регуляторов на тонкие обстоятельства. Сколько таких экстремалов наберется пока неизвестно, но уже ведется точный подсчет тех, кто не планирует получать адреналин подобным образом – на 18 апреля уже более 187 тыс российских организаций направили уведомления об обработке ПДН и были включены в реестр на известном портале