Давайте попробуем разобраться в том, почему он не заработал и спрогнозировать его дальнейшую судьбу..
Любая организация - это сообщество людей следующих в общем направлении и исполняющих в организации свои роли, результат действий которых отражается в поступательном развитии этой организации. Я умышленно использую термин организация, не уточняя его потому, что данное рассуждение применимо не только к коммерческим структурам, но и к государственным, деятельность которых носит лишь опосредованный или сопряженный коммерческий характер.
В любой организации реализована иерархическая система управления. Это означает, что глава или совет глав своей основной задачей ставит достижение целей в своей профильной деятельности. При этом любые мероприятия по защите, фактически относятся к издержкам процесса деятельности организации. Бесспорно, они обеспечивают выживаемость и жизнеспособность организации, но они являются процессом сопряженным с основной деятельностью. По этой причине, издержки должны находиться в определенном балансе между рисками с их возможным ущербом и затратами на обеспечение защиты объектов или процессов.
Итак, что же регулирует ФЗ №152 о персональных данных.
Он регулирует взаимоотношения обработчика персональных данных и персональные данные, которые ему передаются владельцами этих данных.
К персональным данным (ПДн), согласно ст.3 п.3 относятся: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;" Таким образом потребоность в обеспечении инфраструктуры по обработке ПДн возникает у любой организации. Минимально это затрагивает отдел кадров, а максимально все технологические процессы организации, где так или иначе обрабатываются персональные данные. В число затронутых структур входят, как малый, средний и системообразующий бизнес, так государственные организации.
Общеизвестной истиной является обратная зависимость удобства пользования системой и степенью ее защищенности. Получается так, что организация должна значительно усложнить свои внутренние процессы обработки информации, снизить уровень удобства работы построенной в соотвествии со своими потребностями информационной системой (ис). А именно, увеличить уровень издержек при пользовании своей ИС.
Очевидно, что эта часть будет активно рассматриваться с точки зрения ее оптимизации. Кроме того, что реализация этого закона сильно увеличивает нагрузку на всю IT инфраструктуру, меняет ее алгоритмы и правила взаимодействия, ситуация отягчается еще двумя факторами, а именно отсутствием правоприменительной практики по 137 статье уголовного кодекса "Нарушение неприкосновенности частной жизни" и еще более тяжелое положение со статьей 13.11 кодекса об административных нарушениях "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)". Если это наложить на общую юридическую пассивность русского человека, то обеспечение исполнения ФЗ №152 выглядит довольно бессмысленной тратой сил, ресурсов, времени и дает проигрыш в конкурентной борьбе с аналогичными компаниями, которые эти издержки обходят.
Ситуация осложняется, также отсутствием обеспечительных механизмов.
В частности, реализация мероприятий по приведению информационных систем в соответствии с ФЗ 152 о персональных данных требует прозрачной и исчерпывающей информационной поддержки со стороны регулирущих и закондательных органов, а также возможности открытого обсуждения и обмена опытом, что стало возможным в ограниченном режиме, лишь с ноября прошлого года, когда во весь рост встала проблема невозможностии реализации этого закона в большинстве организаций на территории Российской Федерации. Когда гриф ДСП для части документов, участвующих в мероприятиях по приведению ИСПД был снят за 2 месяца до вступления карательной части закона о персональных данных.
Впереди маячило объявить вне закона почти все организации на территории Российской Федерации, снятие грифа было результатом сильнейшего давления на ФСТЭК. Уровень секретности не предполагал возможности обсуждения и цитирования этих документов в ходе публичного обсуждения, например на форумах. Закономерным и логичным шагом стало то, что 27 декабря Совет Федерации одобрил поправки к закону о переносе даты ввода с 1 января 2010 года на 1 января 2011 года.
Что изменилось за прошедший год ?
Почти ничего.
25 ноября 2010 года в ГД был внесен проект Федерального закона от 22 октября 2010 года № 444277-5 О внесении изменений в статью 25 Федерального закона "О персональных данных" суть которого продлить мораторий до 1 января 2012 года.
Таким образом, мы наблюдаем замечательную реализацию потребности к снижению издержек во внутренних процессах обработки данных в ИС, в масштабах целого государства, в котором затронуты все структуры от малого до крупного бизнеса, чьи интересы и представляет Государственная Дума.
Давайте поразмышляем о сроках действия маратория или о количестве продлений ?
В следующем году полным ходом будет идти подготовка к президентским выборам, поэтому усложнять жизнь бизнесу в этот момент будет не разумно, некоторые шаги будут делать навстречу, борьба за голоса обычных граждан, обычно выражается в каких то положительных шагах, а закручивание гаек со временной приостановкой деятельности вряд ли можно отнести к положительным моментам в жизни предприятий, чья деятельность будет приостановлена.
Следующий момент, о котором я уже упоминал - это отсутствие правоприменительной практики и общая юридическая пассивность граждан в части реализации своих прав на качественную обработку своих персональных данных. Эти два параметра также остаются неизменными. Менталитет за год не изменится, он меняется постепенно и время измеряется в поколениях.
Бизнесу обработка персональных данных в озвученных условиях больше мешает, чем помогает в конкурентной борьбе. Остаются государственные организации, в них скорее всего формальные требования будут реализованы, так или иначе, но и здесь нельзя исключать "человеческий фактор", со стороны контролирующих органов.
Таким образом, кардинальное изменение ситуации в 2011 году при отсутствии значимых инцидентов, связанных с утечкой данных можно не ожидать.
Конечно работа в этом направлении также будет идти. Информация по применению требований закона будет накапливаться. Интерес к правилам построения ИСПДн стабильно присутствует. Будет накапливаться опыт и практика применения.
Закон неизбежно заработает. И когда он заработает, то конкурентное преймущество будет у тех, кто инфраструктуру по обработке персональных данных на тот момент реализует, в то время, как бизнес тех, кто этого сделать не успел окажется под угрозой. Скачек спроса, приведет к возникновенияю дефицита, радикально вырастут цены на услуги лицензиатов для аутсорса, потому что на собственные усилия времени не будет, вырастет количество мошенников. В тоже время, резкое внедрение ИСПДн будет приводить к пробуксовкам в бизнесе, либо к нарушениям в методологии обработки, что может быть использовано в конкурентной борьбе в виде исков третьих лиц.
Поэтому пока есть время, не стоит тянуть. Российское государство довольно последовательно в своем движении. И поэтому, продление моратория не может продолжаться бесконечно. Пока есть время, все можно сделать в спокойном и щадящем режиме.
(c) 2006-2012
by Foto-Workshop.
Перепечатка или цитирование свободно при
условии, указания ссылки на данный источник,
но только в случае, если не оговорены дополнительные условия.