«Мораторий» на неукоснительное исполнение Закона «О персональных данных» истекает 1 января. Готовы ли туроператоры и агентства к выполнению его требований? Если да, чего это им стоило? А если нет, что им грозит?
«Мутный» закон
Нелегкая судьба оказалась у Федерального закона под номером 152, разработанного еще в 2006 году. Принять его приняли, но в том виде и в то время он был обречен на доработки. В 2009 году, поняв, что оживить мертворожденного в обозримом будущем не удастся, законодатели решили подправить документ и ввести его в оборот с 1 января 2010 года. В конце 2010-го – с января 2011-го. В июле того же года – с 1 июля. Формально именно с этой даты прекратилось действие «моратория». Однако, как всегда, рынок (не только туристический, но и, например, в банковской сфере, в области сотовой связи) и даже госорганы оказались не готовы. Не афишируя, «мораторий» решили еще продлить – до 1 января 2012-го. Но… «Этот закон – по-прежнему темный лес для большинства. Мало кто знает, как его применять на практике», – заметил гендиректор Клуба защиты прав туриста Дмитрий Давыденко. Очевидно, что бесконечно бездействие нормативного акта продолжаться не может, поэтому все готовятся к массовому наплыву проверок после 1 января.
Справедливости ради надо отметить, что все это время закон эволюционировал. Следующие одна за другой поправки смягчали, уточняли и даже отменяли. Так, например, решено было отказаться от требования криптографировать (шифровать) персональные данные (далее – ПД) при их передаче третьим лицам, существенно упрощен порядок их трансграничной транспортировки, уточнены принципы и условия обработки и т. д. В сухом остатке получился на первый взгляд вполне удобоваримый документ, определяющий основные цели и принципы по защите информационных систем персональных данных. Естественно, этого мало. Подзаконные акты, методики, алгоритм применения закона и контроль над его исполнением возложен на три федеральные службы: по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), по техническому и экспортному контролю (ФСТЭК) и ФСБ (в расшифровке не нуждается). Но с их полномочиями в этой сфере мало кто знаком.
Защита по максимуму
Итак, ситуация по состоянию на декабрь 2011-го выглядит следующим образом. По наблюдению руководителя претензионно-искового отдела ЮА «Персона Грата» Александра Байбородина, число туристических фирм, полностью соответствующих требованиям закона о ПД, в двух столицах не превышает 10%, в целом по стране показатель вряд ли дотягивает до 5%. «Причина кроется не в лени или нежелании выполнять закон, – поясняет эксперт. – Нормативные акты трудно назвать легкими для восприятия, чуть ли не каждый год вносятся изменения». Любопытно, что большинство опрошенных корреспондентом «ГЛ» крупных туроператоров заявили, что меры по защите ПД принимаются и приведутся в соответствие с законодательством «в ближайшее время». Впрочем, нашлись и такие, кто заверил, что система полностью отлажена и успешно работает (по некоторым сведениям, пока в Госреестре операторов, осуществляющих обработку ПД, присутствуют всего две туристические компании).
Руководитель операционного отдела «Мегаполюс турс» Наталья Алексеева рассказала, чего это стоило. В прямом и переносном смысле. «Работу начали в мае, закончили к ноябрю. Дело в том, что пришлось собирать большое количество документов. Но основная проблема в необходимости сертифицировать уже лицензионный софт, обеспечивающий безопасность ПД (забавно: на официальном сайте ФСТЭК опубликован Государственный реестр сертифицированных средств защиты информации, содержащий 3481 программу, предлагающуюся к использованию. То есть туроператору пришлось сертифицировать софт повторно. – Прим. ред.). В итоге затраты получились внушительные. Причем по бухгалтерии их никуда отнести нельзя. Похоже, к 1001 способу сравнительно честного отъема денег добавился 1002-й», – рассказала собеседница. Руководитель другого, одного из крупнейших ТО в России приватно сообщил, что система защиты ПД уже обошлась им в сумму порядка 2 млн рублей и работы продолжаются. Помимо дороговизны технических средств защиты ПД эксперты отмечают, что при всем обилии предлагаемых систем типовых решений в этой области нет. Большинство из существующих неприменимы в условиях туристской отрасли.
А вот документы, упомянутые Натальей Алексеевой, – вообще вещь в себе. Эти пакеты охотно продаются (о том, сколь охотно раскупаются, сведений нет) юридическими компаниями по цене 10–15 тыс. рублей. Чтобы в турфирмах составили хотя бы приблизительное представление о том, что со всем этим делать, Северо-Западное отделение РСТ разработало методичку, которую назвало «Семь шагов к созданию системы защиты персональных данных в организации» (см. инфографику на стр. 66–67). Корреспондент «ГЛ» не поленился и подсчитал, сколько внутренних актов надо составить, чтобы к «бумажной» части обеспечения конфиденциальности ПД не придрались ни Роскомнадзор, ни ФСТЭК, ни не к ночи помянутая ФСБ. Получилось 32 документа – от вполне невинного приказа директора «Об организации работ по обеспечению безопасности персональных данных» до обескураживающего «Заключения о соответствии системы защиты ПД, обрабатываемых в информационных системах ПД организации».
Защита по минимуму
Между прочим, в вышеупомянутых рекомендациях фигурирует пункт, вокруг которого уже возникли недоразумения. Имеется в виду необходимость уведомления об обработке ПД (или намерении ее осуществлять) в территориальное управление Роскомнадзора. Соответствующее письмо, например, получили в августе в одном из турагентств Нижнего Новгорода.
Правомерно ли требование? Единства в этом вопросе нет. Так, Александр Байбородин полагает, что турфирма вправе не уведомлять уполномоченные органы об обработке данных, полученных ею в связи с за-
ключением договора с туристом, если эти данные используются исключительно для исполнения договора и не передаются третьим лицам без согласия клиента.
Позицию юриста не разделяет исполнительный директор Северо-Западного регионального отделения РСТ Татьяна Гаврилова. Она уверена, что приведение дел в со-
ответствие с законом и уведомление о работе с ПД обязаны провести все участники рынка, в том числе агентства. Ведь, что бы ни говорили, все они ведут свою клиентскую базу и данные клиента хранятся длительное время. «Конечно, первым делом встает вопрос цены. Мы подготовили специалиста, который помогает турфирмам минимизировать, унифицировать трудовые и денежные затраты. Но, как ни крути, самый щадящий вариант внедрения системы защиты ПД для турагентств будет стоить не менее 50 тыс. рублей. Верхнего предела установить невозможно, он зависит от уровня использования персональных данных», – рассказала Татьяна Гаврилова. Впрочем, она признала, что пока процесс идет ни шатко ни валко, объяснив сезонной занятостью турфирм. Но разбираться с вопросом все равно придется. Хотя бы по минимуму. Иначе санкции: дисквалификация должностных лиц на срок до трех лет, штрафы до 300 тыс. рублей, исправительные работы и даже полугодовой арест.