И. Алехина: Если закон существует, его нужно выполнять

Защита персональных данных – обязанность каждого оператора. Но что делать представителям малого и среднего бизнеса, для которых Федеральный закон «О персональных данных» (далее-ФЗ-152) стал обременительной, а иногда - непосильной ношей?»

Исполнительный директор Общероссийской общественной организации малого и среднего предпринимательства «ОПОРА РОССИИ», член Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных Ирина Геннадьевна Алехина в беседе с корреспондентом журнала «Персональные данные» затронула темы, которые, несомненно, интересуют большинство представителей операторского сообщества: избыточные персональные данные, отраслевые стандарты и, собственно, почти риторический вопрос «Кто виноват?».

- Ирина Геннадьевна, начнем с наиболее обсуждаемой сейчас темы: штрафы за нарушение требований ФЗ-152. Как вы считаете, предполагаемое увеличение размера штрафов за нарушения требований, предъявляемых к обработке персональных данных, действительно приведет к тому, что компании будут больше внимания уделять вопросам, касающимся обеспечения безопасности обрабатываемых ими персональных данных?

- У меня, в принципе, свое видение всей этой концепции законодательства, которое касается защиты персональных данных. Оно, наверное, отличается от существующего, но, знаю точно, многие предприниматели также придерживаются этой точки зрения. Прежде чем рассуждать на эту тему, давайте ответим на самый главный вопрос: нужно ли защищать базы персональных данных. Ответ однозначен - обязательно.

В силу своей профессиональной деятельности многие компании собирают базы персональных данных. И многие из нас одновременно являются, с одной стороны, субъектами персональных данных, с другой – операторами. Выступая в роли субъекта, мы трепетно следим за тем, чтобы информация о нас активно не распространялась без нашего ведома. Например, для коммерческих предложений, которые мы не заказывали. Мало кому нравятся назойливые смс, звонки, забитый спамом почтовый ящик. Редко кто любит видеть излишнюю информацию о себе в Интернете. Человеку свойственно защищать свою жизнь от внешнего внимания, поэтому я считаю, что такой закон нужен. Но вот путь, по которому мы идем, реализуя защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту «прав на неприкосновенность частной жизни, личную и семейную тайну» (цитирую ФЗ-152), наверное, не самый простой и, на мой взгляд, пока не вполне корректный. Мы идем с точки зрения презумпции виновности: собираете данные, обрабатываете их – значит, вполне возможен «уход» базы, поэтому вот вам требования по технической защите. Но известно, что лекарство появляется после обнаружения болезни. С электронным мошенничеством все идентично – сначала нападение, потом защита.

Думаю, специалисты смогут назвать вам множество побед хакеров. Вспомните… и Белый дом, и Федеральная служба США, банки с мировыми именами. Не думаю, что они экономили на безопасности.Поэтому идти по пути исключительно технической защиты, на мой взгляд, не перспективно. А вот если выбрать путь наказания нарушителей – это совсем другая история. Если оператор распространяет персональные данные, торгует базами данных, то наказание за нарушение закона должно быть чувствительным. Такой вид бизнеса должен стать экономически нецелесообразным.

Почему меня смущает выбранная нами стратегия, где пока основной упор сделан на технологию защиты, а не наказание виновных? Потому, что любое самое дорогое и самое на сегодня совершенное оборудование, самые жесткие процедурные меры, минимизирующие влияние так называемого человеческого фактора, через год – два в наше быстрое время устареют. Утвержденные сегодня технические средства защиты завтра уже будут неактуальны. А как часто надо менять принятые варианты защиты? Увлечение технической составляющей – самый дорогой и не самый эффективный путь. Поэтому я считаю, что когда речь идет о том, чтобы сделать нарушения экономически невыгодными - это более действенная мера.

Уже в течение нескольких лет я являюсь членом Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных. За несколько лет мы проделали огромный путь от полного непонимания между бизнесом и госчиновниками до умения формировать общие подходы. Один из них - необходимость существенного наказания виновных, в первую очередь материального.

Материал полностью читайте в №7 (48) журнала «Персональные данные»