Три года на исправление
На самом деле Закон "О защите персональных данных" появился еще в 2006 году.
Официальный мотив – никто не несет ответственности перед гражданином за то, что его персональные данные, которые потребовались, к примеру, при выдаче дисконтной карты или оформлении страхового полиса, вдруг стали известны кому-то постороннему.
Некоторые знатоки тогда увидели в законе скрытый "распилочный" характер. Одна из статей обязала все учреждения внедрять новые системы безопасности. Представляете, какой рынок открыла одна строчка в законе? Тем более, что аттестацию надо проходить каждые три года.
Впрочем, именно на эту строчку дали отсрочку: предприятия получили три года на исправление систем безопасности.
Никто не знает
До часа "икс" осталось немногим больше четырех месяцев, но, если судить по опросу, проведенному "СК", новые правила застали руководителей врасплох. Абсолютное большинство не в курсе грядущих изменений.
Павел Плетнев, технический директор Центра информационной безопасности, подтверждает: про требования закона знают единицы.
– Серьезной разъясняющей работы с предприятиями я не заметил, – говорит Плетнев. – Роскомнадзор утверждает, что в прошлом году проводил информационную кампанию, но тогда кроме бабушек и дедушек никто не отреагировал.
Между тем закон касается абсолютно всех учреждений: государственных и частных, больших и малых. Пройти необходимые процедуры должны даже индивидуальные предприниматели с минимальным штатом.
Изменения коснутся и физлиц. Теперь, если вы обратитесь в банк за кредитом, в поликлинику за помощью, к работодателю за зарплатой, – во всех случаях придется давать письменное разрешение на использование персональной информации. Можно, конечно, и не давать, но тогда необходимую информацию, допустим в налоговую, придется передавать самостоятельно.
В копеечку
Главная неприятность для предприятий кроется пока не в исполнении закона, а в подготовке к нему.
– Если работу выполнять по всем требованиям, то она колоссальная, – признается руководитель информационно-технического отдела одного из барнаульских предприятий.
Судите сами: выполнение требований регулятора проходит в пять этапов. На каждый из них придется потратиться (см. "Справку"). С помощью калькулятора на сайте одной из лицензирующих фирм мы посчитали, что для фирмы с 10 компьютерами и средним классом защиты набор процедур обойдется в 322 тысячи. Из них 217 тысяч пойдут на программное обеспечение.
На деле цифра может оказаться меньше. Павел Плетнев поясняет, что, например, аудит иногда можно провести своими силами, а пакет программ выбрать более скромный.
Успеют не все
Получается, что в разгар кризиса на предприятия ложится дополнительная нагрузка, организационная и финансовая.
Отдельная тревога – бюджетники. Исключений и послаблений для них не будет: мероприятия по защите должны провести и поликлиники, и школы, и даже детские сады.
Не всем образовательным учреждениям такие изменения по плечу, соглашается Александр Максимов, начальник отдела информатизации управления по образованию Алтайского края. В компетенцию краевого управления переоснащение школ не входит, проблема ляжет на плечи директоров школ и глав муниципалитетов.
Хуже придется учреждениям здравоохранения – они должны заботиться о медицинских данных, которые попадают под самый высокий класс защиты.
Константин Волощенко, руководитель центра термических поражений, согласен, что защита данных о здоровье необходима.
– Но прежде чем что-то вводить, государство должно продумать, как это все профинансировать, иначе вместо защиты получится профанация, – говорит Волощенко.
Павел Плетнев надеется, что бюджетники успеют подготовиться: они ответственнее.
С небольшими частными предприятиями ситуация хуже: одни не знают, другие надеются на авось.
Неофициально контролирующие органы предсказывают: к 1 января будут готовы не все. А это значит, что провинившихся ждут проверки и штрафы.
Кстати, один из собеседников прогнозирует, что закон может стать новым оружием в конкурентной борьбе. Достаточно написать жалобу в контролирующий орган. И если окажется, что конкурент неправильно хранит и собирает данные, его ждет наказание. Максимальное – приостановка деятельности на 90 суток. Что означает, допустим, для банка три месяца простоя, объяснять не надо.
Справка
Персональные данные – минимальный набор информации, которая позволяет идентифицировать человека. Это фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия и т. д.
Почем защита?
Необходимые этапы затрат:
аудит – 15 тысяч рублей;
разработка документации – до 45 тысяч рублей;
защита одного компьютера – от 6 тысяч;
пусконаладочные работы (один компьютер) – 1–1,5 тысячи;
аттестация – от 32 тысяч.
Самое важное - в нашем Telegram-канале