Держатели персональных данных россиян не гарантируют их сохранность

Такое мнение высказывалось 28 октября на пресс-конференции в Ассоциации российских банков (АРБ), где обсуждалась предстоящая реализация закона «О персональных данных». Сам по себе закон, напомнил замначальника главного управления безопасности и защиты информации Банка России Андрей Курило, был принят РФ в русле европейских и мировых тенденций. Они направлены на то, чтобы максимально защитить частную жизнь граждан от постороннего вторжения, в том числе и со стороны государства. Но соблюсти баланс в этом случае сложно. И получилось так, что закон, с одной стороны, действительно призван лучше защитить персональные данные граждан. Но, с другой стороны, он и другие документы выдвигают новые, жесткие технические требования к информационным системам операторов. Причем детально об этих требованиях стало известно совсем недавно, а для совершенствования информационных систем и подтягивания их к заданной планке потребуется немало денег, уточняют банкиры. Кроме того, по закону все операторы персональных данных фактически уравниваются, хотя понятно, что уровень их технической продвинутости очень разный.

Есть и другие сложности. Например, по новому закону кредитная организация, как и любой другой оператор персональных данных, по первому запросу граждан должна будет предоставить им «личные» сведения, которые имеются в банке. Казалось бы, справедливое пожелание. Но на практике, рассказывает начальник службы информационной безопасности одного из банков Андрей Грициенко, это может привести к тому, что конкурирующая организация подкупит нескольких клиентов, они буквально забросают банк своими запросами. Вместо того чтобы заниматься нормальной работой, сотрудники банка будут вынуждены все время тратить на переписку с такими клиентами. Или другой момент. По новому закону без согласия гражданина нельзя запросить у других организаций сведения о его персональных данных. А это иногда требуется сделать, например, при приеме на работу или рассмотрении запроса о выдаче кредита. Кроме того, к 1 января 2010 года надо фактически перезаключить со всеми клиентами новые договоры и заручиться их согласием на обработку персональных данных. И для этого нужно будет обработать просто огромный массив информации.

Впрочем, ситуацию можно поправить, считают участники пресс-конференции. Во-первых, они предлагают не зацикливаться на контроле за соблюдением технических требований к информационным системам, а следить за тем, как организации защищают информацию, что называется, по существу. Во-вторых, следует отойти от унифицированного подхода ко всем операторам и дать право отраслевым регуляторам разрабатывать стандарты по обеспечению защиты персональных данных.