20 октября 2009 г. в Государственной Думе прошли парламентские слушания на тему законодательства о персональных данных. Ассоциация АП КИТ направила письмо в адрес организаторов мероприятия. В самих слушаниях приняли участие руководители двух комитетов АП КИТ.
Инициаторами слушаний выступили Комитет Госдумы по безопасности и Комитет по конституционному законодательству и государственному строительству. Цель слушаний – выработка рекомендаций по комплексному совершенствованию законодательства и совершенствованию правоприменительной практики в данной области.
Напомним, что не позднее января 2010 года все действующие информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с требованиями федерального закона № 152-ФЗ «О персональных данных».
По мнению ассоциации АП КИТ, потенциальные сложности в этой сфере носят системный характер и связаны как с техническими проблемами, так и с недостатками в процедурах контроля. Они требуют оперативного системного рассмотрения положений Закона и принятых в его исполнение нормативных правовых актов.
Принимая во внимание обеспокоенность участников ИТ-рынка, ассоциация направляла письмо с пакетом материалов, отражающих свод мнений и предложений по данному проекту в адрес Министра И.Щеголева, а также непосредственно перед слушаниями в адрес первого зампредседателя Комитета по безопасности Госдумы М.Гришанкова. К письму прилагались справочные материалы:
- О необходимости доработки руководящих документов по технической защите персональных данных
- Справка по требованиям к технической защите персональных данных в европейских странах
- Справка о лицензировании деятельности по технической защите конфиденциальной информации
- Предложения о внесении изменений в некоторые законодательные акты Российской Федерации в целях совершенствования защиты персональных данных при их автоматизированной обработке и защиты юридических лиц при осуществлении государственного контроля и надзора.
Непосредственно в слушаниях от АП КИТ приняли участие руководитель Комитета по законодательству М.Якушев и руководитель Комитета по инфобезопасности А.Соколов.
С оценкой ситуации выступили многие известные деятели . Среди них: В.Плигин, председатель Комитета ГосДумы по государственному строительству и конституционному законодательству, М.Гришанков, первый зампред Комитета ГосДумы Государственной Думы по безопасности, В.Резник, председатель Комитета ГосДумы по финансовому рынку, Л.Нарусова, председатель Комиссии Совета Федерации по информационной политике. А.Аксаков, депутат ГосДумы и Президент Ассоциации региональных банков России и многие другие.
В рекомендациях парламентских слушаний отмечено, что выполнение требований регуляторов по обеспечению безопасности обработки данных потребует увеличения расходов из бюджетов всех уровней, которые не планировались и неосуществимы в условиях кризиса. В документе также говорится, что следствием указанных проблем стала массовая неготовность к исполнению федерального закона. Одной из основных рекомендаций слушаний стало предложение о переносе сроков исполнения статьи 19 «Меры обеспечения безопасности персональных данных при их обработке» Федерального закона №152-ФЗ на срок от одного до двух лет.
По мнению М.Гришанкова, введение механизмов госконтроля, таких как лицензирование деятельности по технической защите информации и сертификация средств защиты информации, потребует значительных материальных и трудовых ресурсов, которых у большинства операторов нет. Кроме того, подзаконная база сформировала чрезвычайно затратный, запутанный, противоречивый механизм, не учитывающий ни особенности обработки персональных данных в различных сферах деятельности, ни возможность оператора по обеспечению установленных требований. Говоря о переносе сроков, М.Гришанков, поддерживая эту инициативу, посчитал оптимальным сдвинуть сроки на один год.
А.Аксаков заметил, что выполнить в срок обследование всех ИСПДн страны и провести мероприятия по защите персональных данных не реально. Аксаков также напомнил, что в законе много «говорится о правах субъектов персональных данных, но нет ничего об обязанностях». Так, к информации крупных банков с большой филиальной сетью имеют доступ многие и всегда можно привести «сто бабушек», чтобы создать банку проблемы. Президент Ассоциации региональных банков выразил уверенность, что можно в короткие сроки принять закон по ответственности тех, кто «уже нарушает закон и продает персональные данные на Горбушке».
В.Резник, заявил, что законодательство, регулирующее обработку персональных данных, далеко от совершенства и требует значительных изменений. Он считает, что необходимо ограничить роль государства обязанностью определения общеобязательных и минимальных требований к обеспечению безопасности персональных данных при их обработке, реализация которых не зависит от применения конкретного технического решения (программы). Требования к методам и средствам технической защиты персональных данных в коммерческих организациях должны носить рекомендательный, а не обязательный характер.
Подводя итоги, председатель заверил, что проект рекомендаций будет направлен в Думу для принятия решения о поправках в закон. Однако не выразил твердой уверенности в том, что эти поправки будут приняты.