Компания «Аладдин Р.Д.» провела круглый стол по защите персональных данных: краткие итоги мероприятия
Закону "О персональных данных" уже почти два года - он был принят в первом чтении 25 ноября 2005 Госдумой РФ, но за этот, казалось бы, немалый срок – споры и дискуссии по его поводу на профильных мероприятиях, конференциях и в кулуарах не утратили своей остроты и напора. Прежде всего, словесные баталии касаются множества неточностей и двояких толкований, присутствующих в законе. Обсудить спорные моменты, а также те последствия, которые они могут повлечь за собой, собрались представители коммерческих и государственных организаций на круглом столе "Персональные данные: так как же их защищать?". Данное мероприятие было организовано компанией «Аладдин Р.Д.» Software Security R.D. при поддержке АЗИ и Росинформтехнологий в рамках центральной для рынка информационной безопасности выставки-конференции Infosecurity-2007, состоявшейся в период с 26 по 28 сентября в Экспоцентре.
Организаторами круглого стола были предложены наиболее полемичные темы для обсуждения, в частности, касающиеся текущего состояния законов и подзаконных актов в области защиты персональных данных, а так же использования технических средств для обработки такой информации операторами. В состав президиума круглого стола вошли Председатель Совета МОО "АЗИ" Емельянов Г.В., начальник отдела реестров сертификатов ключей подписей ФАИТ Голобоков В.А., консультант аппарата при руководстве ПФР Куранов А.И., заместитель коммерческого директора компании "Информзащита" Емельянников М.Ю, и др. В качестве ведущего мероприятия и модератора дискуссии выступил коммерческий директор «Аладдин Р.Д.» А.Г. Сабанов.
Бурную дискуссию среди участников круглого стола вызвал вопрос нелегального бизнеса, основанного на продажах баз данных, с завидной регулярностью появляющихся на прилавках столичных и региональных магазинов. Прецеденты по хищениям баз данных, содержащих персональные данные граждан, периодически появляются в прессе. Однако известных фактов по доведению виновных до скамьи подсудимых даже среди возбужденных уголовных (административных) дел по факту хищения баз, к настоящему времени не выявлено. Недостаточно полное законодательство по защите интересов граждан в части ответственности организаций, в чьи информационные системы попадают персональные данные граждан, по мнению участников дискуссии, на данный момент не предоставляют необходимых рычагов для того, чтобы помешать дальнейшему развитию налаженного сбыта ворованных баз данных. Одним из возможных выходов из данной ситуации, как предложил представитель Росинформтехнологий, может явиться создание единой базы данных для легальных законопослушных физических лиц, доступ к которой должен быть строго персонализирован. "Инфраструктура электронного государства на основе Государственного Информационного Центра должна быть основана на создании единой системы аутентификации сторон с использованием единого средства доступа идентификатора - это один из фундаментальных принципов концепции "единого окна"", - прокомментировал ситуацию Голобоков В.А.
Важный моментом для дальнейших споров вокруг закона "О персональных данных" стала роль оператора, которым может быть далеко не каждая организация, требующая сегодня паспорт или иные личные данные граждан. Серьёзные опасения участников дискуссии вызвала процедура подтверждения полномочий и приведения доказательств своей компетентности по работе с персональными данными среди потенциальных операторов. Даже при наличии механизмов защиты базовых прав граждан, утвержденных российским законодательством, гарантий безопасности при обработке их персональных данных по-прежнему нет.
Отрадным можно считать тот факт, что все без исключения участники круглого стола признали достаточным спектр технических средств, представленных на отечественном рынке для защиты персональных данных. Однако их применению мешает ряд факторов: во-первых, отсутствие понимания необходимости их использования и осознания этой потребности, а во-вторых, отсутствие прямого указания государства, что их нужно применять в обязательном порядке, ведь в законе лишь перечислительным образом указано, что гражданин волен защищать свои персональные данные организационными, техническими или иными способами. При этом вопросы о привлечении к ответственности лица нарушившего закон о персональных данных, а также о способе доказательства факта причинения ущерба – по-прежнему остаются открытыми.