Попытка государства навести порядок в деле хранения персональных данных граждан грозит большими общественными беспорядками. Причем сразу после новогодних каникул.

«Скоро, скоро Новый год! Что-то нам он принесет?..» – думает каждый из нас и без всяких научных обоснований надеется все же на лучшее. Например, ноябрьский опрос исследовательского центра «Ромир» показал, что у нас доля граждан, верящих в светлое будущее, на 3% выше среднемирового показателя. Но…

Наступающий год может принести России общественные потрясения, сравнимые с теми, которые сопровождали монетизацию льгот в 2005-м.

Дело в том, что с 1 января 2010 года контролирующие органы получают право проверять выполнение Федерального закона № 152-ФЗ «О персональных данных». Он был принят ещё в 2006-м и действует с января 2007 года, однако всем предприятиям и организациям, так называемым «операторам персональных данных», дали три года, чтобы они привели свои информационные системы в соответствие с законом.

Три года прошли, и те организации, чьи информационные системы не соответствуют закону, могут быть закрыты.

Как всегда, хотели как лучше

Персональными данными, требующими защиты, считаются сведения о фактах, событиях и обстоятельствах частной жизни конкретного гражданина. Скажем, в здравоохранении конфиденциальны Ф.И.О. пациентов, пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, сведения о наличии льгот, страховой номер индивидуального лицевого счета в Пенсионном фонде, сведения о случаях обращения за медицинской помощью и о состоянии здоровья. А для работников конфиденциальны также ИНН, данные кадрового учета (образование, квалификация, должность и т. д.), сведения о заработной плате и прочее.

Чтобы озаботиться защитой этих данных, есть немало причин. Во-первых, наших правителей уже давно призывает к этому законопослушная Европа. Во-вторых,

и сами наши граждане были недовольны, что многочисленные базы данных государственных и коммерческих организаций постоянно появлялись в продаже на пиратских CD-дисках и в интернете.

Ведь нас учитывает Пенсионный фонд и Федеральная налоговая служба, Фонд социального страхования и Минздрав, МВД и коммунальщики…

Вот поэтому и приняли закон. Но раз приняли, то все частные и государственные компании и организации, а также физические лица, которые хранят, собирают, передают или обрабатывают персональные данные, обязаны были подготовиться ко «дню Х», то есть к 1 января 2010 года. Посмотрим, что они должны были сделать, на примере медицинских учреждений (список не полный). Итак, каждая поликлиника, больница и т. д. обязаны:

– зарегистрироваться как оператор персональных данных в Россвязькомнадзоре;
– получить письменные согласия всех пациентов на обработку их данных;
– изменить формы бумажной документации;
– получить лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК) на техническую защиту информации и аттестовать свою информационную систему у тех, кого уполномочил ФСТЭК, а при использовании средств шифрования надо аттестоваться еще и в ФСБ. Кстати, сведения о здоровье каждого гражданина, если сравнивать их с охраной гостайны, отнесены к категории «совсекретно», и контролирует сохранение их секретности, естественно, ФСБ России.

Читать все это скучно, зато после Нового года станет весело.

За два месяца до «дня Х» за регистрацией в качестве оператора персональных данных обратились около 1,5% предприятий, а значит, полное введение закона в действие провалено по всей стране.

Между тем с 1 января контролирующие органы могут начать проверки. И если ваша поликлиника, контора ЖКХ, детский сад, школа, вуз, троллейбусный парк, магазин, где вы покупаете продукты, фирма, где вы работаете, не подала заявку на соответствующую регистрацию, то она считается нарушителем закона и ее деятельность может быть приостановлена. Сначала на три месяца, а затем – как повезет. Вот вы и останетесь без поликлиники и т. п.

Что почем и зачем

В России семь миллионов организаций и предприятий, которых напрямую касается закон о персональных данных. Все они обязаны зарегистрироваться и аттестовать свои информационные системы у лицензиатов ФСТЭК и ФСБ. Однако у ФСТЭК лишь около сотни лицензиатов специализируются на защите персональных данных, и практика показывает, что аттестация одной организации требует 3–6 месяцев. Возьмем самые «щадящие» условия: пусть каждая из семи миллионов организаций проходит аттестацию всего за 3 месяца, и каждый из сотни лицензиатов ФСТЭК одновременно обрабатывает дела сотни претендентов – и получится, что на всю работу необходимо 2100 месяцев, или 175 лет. А успеть надо было за три года. Делим одно на другое – и выясняем, что за три года успели бы пройти процедуру не более 1,7 % организаций. Что и произошло.

По этой причине и провалилась подготовка к введению закона 152-ФЗ. А вдобавок нужных специалистов как не было в 2006-м, так нет и сейчас. Министр образования и науки Фурсенко сообщил, что этой осенью количество бюджетных мест на специальностях, связанных с информационной безопасностью, выросло в вузах почти на четверть. Очень хорошо, но эти специалисты займутся работой лет через пять. А о чем думали, когда закон был только принят?

Некоторые требования закона в отношении применяемой компьютерной техники и программ могут быть легко выполнены, только если это техника и программы российских разработчиков. Если же они западные, придется звать на помощь спецов соответствующих «хитрых контор», а это долго и дорого.

Защита конфиденциальной информации всегда требует значительных трат: например в банках они составляют около 20 % от совокупных расходов на информационные технологии. Но в банках такая работа хотя бы велась и в былые годы! А вот

штатные расписания практически всех учреждений здравоохранения и образования не предусматривают должностей по информационной безопасности, и в их бюджетах нет строки расходов на аттестацию и сертификацию техники. Где им взять деньги?

Чтобы не только клиники и школы, но вообще все госорганизации могли наладить работу по защите персональных данных, они, по подсчетам финансистов Центробанка, должны были бы потратить денег в размере 6% от расходной части бюджета страны. Кто ж им столько даст? Им и не дали, а они не подготовились.

Коммерческие фирмы, вместо того чтобы тратиться на организационно-технические мероприятия, положенные по закону 152-ФЗ (а в некоторых случаях требуется до десятков миллионов рублей), выжидали, а некоторые предпочли пустить часть этих средств на развитие юридических служб, рассчитывая, что грамотные юристы отобьются от ответственности, сведя дело к незначительным штрафам. Кое-кто наверняка уверен, что сумеет отбояриться от проверяющих взятками.

20 октября 2009 года в Госдуме состоялись слушания на тему «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных». Участники слушаний нашли закон 152-ФЗ «сырым» и выдвинули более сотни предложений по его доработке. Попытки добиться отсрочки вступления закона в силу были заведомо обречены на провал: его появление – важное условие вступления России в ВТО, и наш президент уже сообщил Urbi et Orbi, что Россия к членству в этой организации готова.

Кто будет крайним

Стратегия развития информационного общества в РФ, принятая 7 февраля 2008 года при президенте Владимире Путине, содержала в числе основных задач «повышение качества образования, медицинского обслуживания, социальной защиты населения на основе развития и использования информационных и телекоммуникационных технологий». Стратегия национальной безопасности РФ до 2020 года, утвержденная 12 мая 2009 года президентом Дмитрием Медведевым, предусматривала «повышение качества и доступности медицинского обслуживания за счет использования перспективных информационных и телекоммуникационных технологий».

Реализуя стратегии Путина и Медведева, районные поликлиники и больницы и в самом деле могли, даже при своих небогатых бюджетах, купить десяток-другой компьютеров и повысить «качество и доступность медицинского обслуживания» за счет применения информационных технологий. Но с введением в действие закона 152-ФЗ все эти стратегии летят в мусорную корзину.

Мало купить компьютер, надо еще семь раз по столько заплатить нескольким суровым федеральным конторам за его аттестацию и платить им дальше под постоянной угрозой закрытия.

Не судьба нашей системе здравоохранения вырваться из архаики.

Но даже в тех поликлиниках, где вовсе не знают, с какой стороны компьютеры включать, а весь учет «бумажный», отныне обязаны защищать ваши персональные данные. Их теперь надо обособить от иной информации, то есть записывать на отдельных листах, и еще предусмотреть в типовых бланках поля, где пациенты могли бы визировать свое согласие на обработку докторами их персональных данных. Короче, в поликлиниках и больницах надо было до 2010 года заменить все бумажные документы, используемые для персонального учета, включая медкарты.

Учреждения, не сделавшие этого, рискуют приостановкой своей деятельности.

Самое парадоксальное, отрасли, намного более богатые, нежели образование или здравоохранение, могут придти к краху не за невыполнение закона, а наоборот, в случае его скрупулезного выполнения! Если взять за пример биллинговые системы операторов связи, которые как раз умеют защищать информацию, то, по мнению специалистов, требование шифровать персональные данные приведет к падению производительности на 20–30%, что поставит бизнес на грань устойчивости.

Итак. Не зарегистрировался как оператор персональных данных – закроют. Нет денег на аттестации – сертификации – закроют. Потратил деньги, но упала производительность – закроешься сам. Но и те предприятия, которые, как им кажется, все сделали правильно, рискуют, поскольку некоторые требования закона можно трактовать неоднозначно.

Для здравоохранения, в частности, остается непонятным, кто и как должен информировать пациентов об обработке их персональных данных; кто с кем в триаде пациент – страховщик – медучреждение заключает договоры на эту обработку; как быть, если привлекаются «смежники», выполняющие часть работ (рентген, анализы и т. п.). А значит, контролирующий орган может приостанавливать деятельность клиник – а также школ, редакций, профсоюзов, нефтегазовых и всех прочих компаний – по своему усмотрению.

Попытка наведения порядка в деле хранения наших персональных тайн грозит большими общественными беспорядками. Нарушение производственных связей, падение торговых оборотов, затруднения в развитии медицинского обслуживания, образования, сферы социальных услуг, новый мощный виток коррупции – вот что ждет нас всех.

И в любом случае неминуем сумасшедший рост цен на услуги и товары…

Наступающий 2010 год не будет скучным.

Livejournal.com

Имя ЖЖ-пользователя	Пароль
Правила использования	Отказ от ответственности

* Для комментирования, пожалуйста, авторизуйтесь

maximaruba

(без темы)

Сплошные преувеличения. Все популярные виды ПО в этой сфере - давно сертифицированы. В расчетах по персоналу, в силу многих нюансов, 99% предприятий пользуются 1С. Про какой не сертифицированный софт можно говорить в бюджетных организациях? )))
Закон направлен против бандитских методов страховщиков и банков. То, что с этим безобразием будут...

Как
Тема
Комментарий

colonel-of-kgb3

От было бы неплохо, если б афтары ГазетыРу, Назвали Афтаров этого закона. Председателей там всяких согласительных коммисий, кто работал над поправками.... ;-)

.

Как
Тема
Комментарий

baldurs

(без темы)

Деятельность чиновников и депутатов принявших данный закон уже становится опасным для страны. Существование страны вообще под угрозой по моему.

Как
Тема
Комментарий

pindos-paganos

Убогость!

Вот если бы Трубу надо было построить - это да! А так чего убиваться то! Давайте лучше пояса времени сократим - это легко!
Самое главное ничего нового не надо создавать - просто угробить...

Как
Тема
Комментарий

just-sol

уж простите, господин Калюжный,

...но неточностей в вашей страшилке - сплошь и рядом. Насчет приостановки деятельности, насчет проверок и т.п.

Как-то объективнее, что ли, тему ИБ и ЗПДн преподносить надо, право. А то не статья получилась, а сплошные мифы на тему того, как все плохо и...

Как
Тема
Комментарий

Все комментарии (28)...

РАНЕЕ В РУБРИКЕ «РАСКЛАДЫ»

	В 3 раза важнее Медведева «Прямая линия» Путина является «триумфом патернализма». Того самого патернализма, который ранее Дмитрий Медведев назвал одним
	Конец "мачо из багажника" Если вновь избранное правительство Гондураса, как и режим свергнутого Селайи, будет рассчитывать только на помощь США и не
	Помочь президенту Критикуя Медведева за нерешительность, упрекая его в отсутствии политической команды и плана четких действий, демократическая