Защита персональных данных: первые шаги сделаны

В один прекрасный день 2009 года руководитель компании дает вам кипу бумаг и просит с ними разобраться и сделать все, о чем там сказано. Вы недоуменно глядите на заголовок и видите что-то вроде - «Методические рекомендации по защите персональных данных». Когда я впервые увидел эти бумаги, подумал, наверное, примерно тоже, что подумал бы каждый из вас – «Хммм, опять что-то придумали». Но, так или иначе, разобраться с этим пришлось, ведь это не просто каприз, а мероприятия, установленные законом. Законом новым, а именно Федеральным законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Попробую рассказать о нем вкратце.

Азат Наильевич, INFOMAN
19.08.2009

Во-первых, в соответствии с ФЗ, персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, имущественное положение, образование, профессия, доходы, и др.

Планомерный вопрос, возникающий при первом знакомстве с законом – «Кто попадает под его действие?».

Изучив первую статью, получим однозначный ответ:

• федеральные органы государственной власти, 
• органы государственной власти субъектов Российской Федерации, 
• иные государственные органы, 
• органы местного самоуправления, 
• не входящие в систему органов местного самоуправления – муниципальные органы, 
• юридические лица, 
• физические лица.

Короче говоря, все

Что же касается сферы его действия, то

«Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных… с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий, ­ совершаемых с персональными данными с использованием средств автоматизации».

Закон №152-ФЗ призван защитить права и свободы человека при обработке его личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну. Также в законе определено понятие "оператор персональных данных" – это организация, которой свои персональные данные доверил сам человек, или другая организация, обрабатывающая их.

По сути, закон ставит своей целью ввести достаточно жесткие ограничения, которым должен следовать оператор персональных данных. Как уже упоминалось, он устанавливает дату, к которой информационные системы ПДн, созданные до вступления закона в силу, должны быть приведены в соответствие с его требованиями – не позднее 1 января 2010 года. Кроме того, оператор персональных данных в большинстве случаев обязан направить в уполномоченный государственный орган соответствующее уведомление.

Также закон требует, чтобы организации, эксплуатирующие информационные системы ПДн определенных классов (кстати говоря, все персональные данные классифицируются и распределяются по категориям) и передающие ПДн через общедоступные и международные сети, обеспечили их защиту с использованием криптографических средств. А деятельность по внедрению шифровальных средств, как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ. Так что специалисты ФСБ в первую очередь уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты, перечисленных в реестре ФСБ.

Ответственность, которую несет оператор персональных данных, колеблется в зависимости от применяемой статьи до 18 окладов труда или 6 месяцев лишения свободы отдельного человека и до запрета на осуществление деятельности предприятем-нарушителем на 90 суток.
Следование требованиям закона позволяет субъекту персональных данных быть спокойным за то, что кто-то имеет доступ к информации, которую он не хотел бы разглашать, а также определить меры воздействия на нарушителя правил обработки ПДн.

Прежде всего, субъект персональных данных вправе получить следующую информацию:

• сведения об операторе, 
• сведения о месте нахождения оператора, 
• сведения о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, 
• субъект также имеет право на ознакомление со своими ¬персональными данными, имеющимися у оператора.

От оператора субъект персональных данных может потребовать:

• уточнения своих персональных данных,
• их блокирования или уничтожения в случае если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Объем информации, который может запросить субъект персональных данных, внушительный. Организациям, ведущим содержащие персональные данные базы данных, рекомендуется обратить особое внимание на пункт 4 статьи 14 нового закона, чтобы заранее продумать и закрепить во внутренних нормативных актах порядок предоставления информации:

1. о факте обработки персональных данных оператором, а также целях такой обработки; 
2. о способах обработки персональных данных, применяемых оператором; 
3. о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; 
4. перечень обрабатываемых персональных данных и источники их получения; 
5. сроки обработки персональных данных, в том числе сроки их хранения (стоит обратить особое внимание на это требование, т.к. фактически оно обязывает оператора закреплять внутренними нормативными документами сроки обработки и хранения, которые могут различаться в зависимости от целей обработки персональных данных); 
6. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Что же касается требований к работе с ПДн, оператор не вправе разглашать персональную информацию даже сотрудникам правоохранительных органов, которые пытаются ее получить, к примеру, по телефону.

В целом закон направлен на интересы людей, ведь порой разглашение персональной информации (в частности расовая принадлежность, национальность, состояние здоровья, личная жизнь и т.д.) может привести к ухудшению имиджа, трудностям с поиском работы и жизни в обществе в целом.

С другой стороны предприятиям развивать новую линию в своем пространстве не всегда выгодно: нужно ввести новые рабочие ставки или пригласить сторонние организации для работы с собственными базами данных ПДн, построить новую систему защиты, удовлетворяющую требованиям нормативных документов, а все это иногда останавливает бизнес-процесс и требует дополнительных затрат, которые, например, в медицинских и иных бюджетных учреждениях нежелательны. При построении системы защиты ПДн перед руководителями компаний встают такие проблемы, как отсутствие специалистов в области технической защиты информации, отсутствие собственной службы технической поддержки информационных систем, низкая квалификация пользователей средств ЭВМ и др. Все это на сегодняшний день тормозит развитие системы.

Закон, регламентирующий права на использование персональных данных, во Франции появился в 1859 году. В России он начнет работать только с января следующего года. В целом, как и у любого другого нововведения у данного закона столько же сторонников, сколько и противников. Понадобится еще много времени, чтобы закон в полную силу начал работать на всей территории государства. Много сил и средств уйдет на создание полноценной системы защиты ПДн. Но ведь первые шаги уже сделаны!

Использованы материалы http://www.ippnou.ru и http://www.cnews.ru.