Об этом репортеру ComNews рассказал президент Национальной ассоциации дистанционной торговли (НАДТ) Александр Иванов.
Пресс-служба Минэкономразвития подтвердила факт получения проекта изменений законодательства в сфере защиты персональных данных, но не уточнила, о каких нормативных актах идет речь, отметив только, что документ находится на рассмотрении.
По словам главы НАДТ, в разработке законопроекта принимал участие консультативный совет, состоящий из заинтересованных общественных организаций и Роскомнадзора. "Однако пожелания независимых организаций не попали в итоговую версию проекта поправок, - посетовал Александр Иванов. - Голосов за ужесточение закона не звучало в принципе".
Александр Иванов сообщил, что если проект поправок пройдет через все инстанции в предложенном виде, то за несоблюдение закона "О персональных данных" компаниям грозит штраф до 500 тыс. руб., и до 1 млн руб., если их поймают повторно. При этом возрастет вероятность того, что та или иная компания будет замечена в нарушениях, т.к. изменения предполагают увеличение срока привлечения к ответственности с трех месяцев до года.
"Особенно сильно это ударит по компаниям малого и среднего бизнеса, в том числе по тем из них, что работают в сфере дистанционной торговли, - говорит Александр Иванов. – В России насчитывается около 20 тыс. online-магазинов, из которых только 30-40 смогут потянуть новые условия. Ни выполнить требования закона, ни постоянно оплачивать штрафы многие из них попросту не смогут". По словам президента НАДТ, небольшим компаниям необходимо предложить отраслевые стандарты, которые бы вывели их из-под действия закона, но обязали защищать ПД.
Руководитель группы по правовой защите информации "Пепеляев Групп" Андрей Слепов полагает, что внесение поправок отразится на интернет-магазинах так же, как на других небольших компаниях. "Другой вопрос, что в сфере интернет-торговли, как правило, сложно получить письменное согласие на обработку данных, что затрудняет исполнение закона", - заметил он.
Андрей Слепов полагает, что и текущие требования закона "О персональных данных" трудно выполнить, но и сами компании зачастую сознательно не соблюдают закон, так как штрафы крайне не значительны. "Увеличение штрафов и сроков вынесения административных наказаний вынудит компании более пристально следить за обработкой и защитой персональных данных", - заметил он. По его словам, увеличить штраф до 500 тыс. руб. Роскомнадзор предлагает в том числе и потому, что эта сумма сопоставима с затратами на приведение деятельности компании в соответствие с требованиями закона.
Недавно Роскомнадзор предложил передать ему функции по рассмотрению административных дел в сфере защиты персональных данных (сейчас ими занимается прокуратура). Если регулятор получит такие права, то количество выявленных нарушителей может вырасти, уверен Андрей Слепов. По его словам, 80% нарушителей остаются безнаказанными из-за истечения срока привлечения к ответственности, который сейчас составляет три месяца. Этого явно недостаточно, поэтому Роскомнадзор предложил увеличить срок давности по преступлениям в области персональных данных до одного года.
В период с 2009 г. по 2011 г. Роскомнадзор осуществил более 3,2 тыс. проверок компаний, которые работают с ПД, из них 2,2 тыс. - в прошлом году. За несколько лет с нарушителей было получено 11,6 млн руб.
Новая редакция закона "О персональных данных" вступила в силу в июле 2011 г., она принесла более гибкие требования к компаниям - операторам персональных данных. В частности, был расширен перечень случаев, когда компании или организации не требуется получать согласие граждан на обработку их персональных данных. Тем не менее в обновленном законе по-прежнему остались положения, которые ставят вне закона целые отрасли. Кроме того, новая редакция усложнила соотношение различных подзаконных актов, что породило непонимание ситуации бизнесом. При этом у компаний выросла финансовая нагрузка, так как закон потребовал от них назначения лица, ответственного за обработку персональных данных. Александр Иванов уточнил, что для обработчиков ПД по категории K1 и K2, куда попадают те же интернет-магазины, установлена обязательная сертификация рабочих мест лицензированными ФСБ и ФСТЭК компаниями. "Сертификация одного рабочего места в среднем стоит 60 тыс. руб.", - заверил он.
"Порядок в области обработки персональных данных можно навести не ужесточением мер ответственности, а установлением четких и понятных, а главное реально исполнимых операторами, правил взаимодействия", - уверена пресс-секретарь Промсвязьбанка Регина Мамыкина.
"Несмотря на то что в июле 2011 г. в закон "О персональных данных" были внесены изменения, до настоящего времени в законе существуют нормы, создающие возможность неоднозначного их толкования и привлечения к ответственности добросовестных операторов, - рассуждает Регина Мамыкина. - Так, требуют уточнения вопросы хранения записей с камер видеонаблюдения, телефонных разговоров с потенциальными клиентами. В действующей редакции закона "О персональных данных" эти действия относятся к обработке биометрических персональных данных и требуют предварительного письменного согласия субъекта. Это требование является во многих случаях заведомо не выполнимым".
Павел Скоков