8 апреля 2011 г.

Разрешимы ли неразрешимые проблемы персональных данных

Затаив дыхание, специалисты ждут второго чтения законопроекта депутата В.М.Резника и того, насколько радикальными будут изменения в законе «О персональных данных». Между тем, особых надежд на то, что принятие законопроекта снимет все вопросы, порожденные нынешним «неряшливым» законом, питать не стоит. Вряд ли результаты согласования проекта с Правительством приведут к еще большей либерализации норм закона. Скорее, наиболее радикальные предложения Резника будут скруглены и смягчены, а влияние государственных регуляторов на организацию обработки персональных данных сохранится.
Между тем за четыре года действия закона стало очевидно, что основная проблема кроется отнюдь не в построении подсистемы информационной безопасности. Для нее действительно нужны весьма серьезные вложения, да и применение только сертифицированных средств защиты не только усложняет выбор и архитектуру решения, но и отрицательно сказывается на таких потребительских характеристиках, как производительность или пропускная способность. Но что делать - примерно ясно. Хотя и дорого…
А вот с регулированием правовых проблем гораздо хуже. Пока видится, что даже  после принятия законопроекта в максимально полном варианте наиболее очевидные вопросы организации обработки персональных данных останутся без ответа. Как построить систему бронирования авиабилетов, если она находится в трансграничном  «облаке» монстров типа Sabre или Gabriel, билеты бронирует на большую группу один человек, не подтверждая согласие остальных (персональные данные оператор получает не от субъекта, а от третьих лиц), а для бронирования используется web-форма, в которой получение доказательств согласия субъекта на обработку невозможно в принципе. Надо ли, и если надо – то как, получать согласие получателя платежа - физического лица, если оно банку, осуществляющему платеж,  неизвестно в принципе? Как партнеры банков, входящих в систему электронных платежей, должны до начала обработки найти получателя платежа и уведомить его об этом? Как технически сделать невозможным доступ администратора медицинской информационной системы к информации о состоянии здоровья пациента, поскольку если этого не сделать, надо получать письменное согласие пациента на обработку данных не врачом.
Перечень подобных вопросов можно продолжать бесконечно. Какая-то часть из них, может быть, и снимется, если в закон будут внесены понятия конклюдентных действий субъекта, акцепта оферты или декларирования условий обработки. Но далеко не все. Да и застрявший с 2005 года на первом чтении законопроект о внесении изменений в законодательные акты в связи с принятием ФЗ-152 оптимизма не добавляет.
Значит, ответы надо искать сегодня.
Наиболее серьезно к реализации закона отнеслись, пожалуй, в российских банках. Там при активном участии Банка России и ассоциации российских банков наработана значительная практика регулирования вопросов обработки персональных данных, классификации информационных систем, разработки соответствующих нормативных документов.  С целью обобщить эту практику, систематизировать найденные решения, как получившие подтверждение регуляторов, так и принятые в силу невозможности изменить существующие бизнес-процессы, мною подготовлен семинар «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях», который состоится 22 апреля.  В основе семинара - практический опыт, приобретенный, в том числе, при  подготовке ответов на вопросы, направляемые в Консультационный центр Ассоциации российских банков, написании многочисленных статей и участии в спорах и дискуссиях, которых за эти годы прошло немало.

Комментариев нет:

Отправить комментарий