Завтрак с привкусом страха
Два руководителя компании Leta IT-Company — Илья Новиков (руководитель направления информационной безопасности департамента развития) и Вениамин Левцов (директор департамента развития) — пригласили представителей прессы в кафе, чтобы во время завтрака обсудить, какую ответственность различные организации и частные лица несут за персональные данные, и как снизить груз этой ответственности.
Мероприятие в самом своем начале чем-то напоминало собрания, которое несколько лет назад любили проводить власти московских округов и представители компании Microsoft. Те собирали представителей малого и среднего бизнеса и объясняли им, как полезно использовать лицензионное ПО и как неотвратимо возмездие за использование нелегальных копий.
Масштаб мероприятия Leta был конечно не тот — в кафе собралось менее десятка журналистов, а Microsoft, вместе со столичными чиновниками, свое время поднимала на ноги сотни бизнесменов в одном только конкретно взятом округе. Но начинались мероприятия почти одинаково: журналистам, которых пригласила Leta, также как и бизнесменам, которых в свое время приглашали столичные власти и Microsoft, первым делом предоставили материалы о различных проверках и их результатах.
Проверки, представленные компанией Leta, как и было запланировано, показались довольно многочисленными, а результаты их пугающими — нарушения, протоколы, запросы в судебные органы и штрафы, штрафы…
Вениамин Левцов пояснил, что страх — один из самых действенных аргументов, побуждающих клиентов вкладывать деньги. Более сильным аргументом может оказаться разве что закон (например, закон о персональных данных, который заработает в полную силу с 1 января следующего года). Да и то потому, что в законе уже заложен пресловутый страх.
Чтобы журналисты еще сильнее начали сопереживать закону о персональных данных, и, возможно, сразу же после завтрака, не откладывая, простимулировали свое начальство (или читателей) к еще более активным действиям по подготовке к вступлению закона в полную силу, г-н Левцов, как бы между прочим, обмолвился о том, что издательства, как и подавляющее большинство организаций являются операторами персональных данных.
По словам г-на Левцова выходило, что от закона буквально никому нельзя ни спрятаться, ни скрыться. Даже самый заурядный человек, владеющий электронной записной книжкой с телефонными номерами — уже попадает под действие закона. Исключением, как выяснилось позже, почему-то является компания Leta. Почему, правда, точно не понятно. То ли нет в этой фирме этих самых персональных данных, то ли они спрятаны надежнее, чем у других.
Впрочем, у адвоката не принято спрашивать, чем рискует он сам. Ему принято платить деньги, за то, чтобы он помог избежать ответственности (или справится с проблемами) клиенту. A Leta представляла себя на завтраке приблизительно таким адвокатом.
И, как любой уважающий себя адвокат, компания не могла не сказать о том, что стоит довольно дорого и спрос на ее услуги очень велик.
Что касается стоимости услуг, то начальный проект по подготовке к встрече проверяющих органов, действующих во имя закона о защите персональных данных, для среднестатистической фирмы из сегмента СМБ г-н Левцов оценил в миллион рублей. Понятно, что это — только на первое время. Сколько потребуется еще, сейчас сказать трудно. Но шанс пройти первую проверку у компании, вложившей миллион, уже появится.
При этом в каком-то смысле Leta даже стоит на защите текущих финансовых интересов своих клиентов, поскольку готова (небескорыстно, естественно) проконсультировать их, как правильно перейти из более высокой категории оператора персональных данных в более низкую и есть ли такая возможность.
А возможность, как пояснил г-н Левцов, есть практически всегда. Можно, скажем, отказаться от распределенных центров обработки данных, сократить число мест операторов, имеющих доступ к таким данным, уменьшить количество пунктов в анкетах, которые должны заполнять (в различных случаях) клиенты. При этом не факт, что переход в статус менее серьезного оператора данных обойдется компании дешевле, чем закупка специализированного ПО и проведение организационно-методологических мер по подготовке к визиту проверяющих органов.
Что же касается спроса на услуги консультантов, готовящих организации к тому, что им придется соответствовать закону о защите персональных данных, то спрос этот, как утверждают Вениамин Левцов и Илья Новиков, в текущем году активно растет.
При этом западные организации исповедуют такой подход: сколько денег нужно заплатить, чтобы избежать (полностью) рисков, связанных с визитом проверяющих органов. Имеется в виду, не взятки или штрафы проверяющим органам, а оплата труда компании, которая подготовит фирму к проверке. Здесь вся сложность в том, что соответствовать новому закону операторы персональных данных должны с 1 января 2010 года и практика полноценных проверок пока еще отсутствует. Поэтому западным клиентам Leta объясняет, что на 100% избавиться от рисков не получится.
Российским организациям IT-компания предлагает поступать, исходя из концепции законопослушного гражданина. Эта концепция опирается на надежду на то, что перед проверяющими органами не поставлена задача «задушить» весь бизнес в России. Во всяком случае, эту надежду питают г-н Левцов и г-н Новиков.
Поэтому, по мнению руководителей фирмы Leta, если вы сможете представить проверяющим органам план действий по подготовке вашей организации к переходу в разряд операторов, полностью, соответствующих новому закону — от вас отстанут. Ну, может быть, возьмут на заметку, но карать слишком сильно не будут. Однако «план действий» желательно написать не просто на бумажке, а иметь в запасе стартовавший (пусть не завершенный) проект по контролю и повышению уровня защиты данных.
Таким образом получается, что для СМБ временная индульгенция от защитников персональных данных будет стоить миллион рублей. Дальше все будет зависеть от бизнес-процессов и масштабов компании-заказчика и внимания к ней проверяющих органов.
Поводом для проверки, как пояснил г-н Левцов, может послужить заявление любого частного лица, которое в произвольной форме сообщит, допустим Роскомнадзору, что в некоей организации к персональным данным относятся с недостаточным уважением. В Роскомнадзоре, по сведениям менеджера Leta, сейчас сотрудники молодые, которые «жирком» еще не обросли, и заявления частных лиц без внимания, как правило, не оставляют…
Опубликовано 27.04.2009