О защите персональных данных. | 01.11.2011 |
До 1 июля 2011 года все предприятия, работающие с персональными данными физических лиц должны выполнить ряд мероприятий, направленых на обеспечение безопасности этих данных. Речь идёт не только о предприятиях, которые обрабатывают данные физических лиц в связи с проведением разного рода маркетинговых исследований или сбором расширенной информации о клиентах, но и о всех предприятиях, которые ведут кадровый учет сотрудников, предоставляют в налоговые органы информацию о доходах или ведут учёт клиентов, при котором так или иначе накапливаются персональные данные.
В июле 2011 года вступает в силу требование федерального закона No.152-ФЗ "О персональных данных" о приведении систем обработки персональных данных в соответствие с федеральным законом и рядом подзаконных актов, приказов и методик. За разработку конкретных требований по защите отвечают три ведомства: Роскомнадзор, ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю).
Таким образом, любая организация, работающая с данными физических лиц, должна к указанному сроку защитить информационные системы и получить документы, подтверждающие соответствие этих систем требованиям Закона.
Персональным данные - это "информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информацию". Другими словами к персональным данным можно отнести любую информацию, которой достаточно, чтобы однозначно определить физическое лицо - субъект персональных данных и получить о нём какую-либо дополнительную информацию.
Для того, чтобы не нарушить требования закона, предприятиям, осуществляющим обработку персональных данных ("операторам персональных данных" в терминах 152-ФЗ) необходимо:
- в ближайшее время решить вопрос о направлении уведомления об обработке персональных данных в контролирующий орган, Роскомнадзор;
- за исключением случаев специально оговоренных в федеральном законе, необходимо разработать форму и получить согласие каждого субъекта на обработку его персональных данных, причем такое согласие помимо всего прочего обязательно должно содержать собственноручную подпись субъекта (либо его цифровую подпись);
- документально описать имеющиеся в организации информационные системы обработки персональных данных, их назначение, состав данных, правовые основания для их обработки, а также обозначить круг лиц, работающих с персональными данными и имеющими к ним доступ;
- разработать ряд нормативных документов, описывающих модели угроз и средства защиты от них персональных данных;
- обеспечить защиту персональных данных техническими (программными, аппаратными) и организационными методами;
- пройти необходимые проверки для подтверждения соответствия систем защиты персональных данных требованиям законодательства.
Входе этих мероприятий мы рекомендуем:
- назначить сотрудника, ответственного за вопросы защиты персональных данных (и иной информации ограниченного распространения, например информации, составляющей коммерческую тайну, если на предприятии введён режим комерческой тайны);
- для всех ресурсов и подсистем, содержащих персональные данные, определить их статус (на основании чего они созданы: в соответствии с законодательством, для исполнения договора, по собственной инициативе и т.д.);
- уточнить и зафиксировать состав персональных данных и источники их получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
- установить сроки хранения и сроки обработки данных в каждом информационном ресурсе;
- определить способы обработки;
- определить лиц, имеющих доступ к данным;
- сформулировать юридические последствия обработки персональных данных;
- определить порядок реагирования на возможные обращения субъектов персональных данных, возможные варианты ответов и действий.
Невыполнение требований федерального закона влечёт за собой административную, гражданско-правовую, дисциплинарную и даже уголовную ответственность.
Если говорить об административной ответственности предприятий и их руководителей входе вероятных проверок, ожидаемых после 1 июля, то ответственность может наступить по статьям 13.11, 13.12, 13.13 КОАП. На первый взгляд санкция за подобные нарушения не велика. Однако следует иметь в виду, что в случае обнаружения нарушений закона, проверяющими органами может быть вынесено предписание об устранении нарушений в течение трёх дней. Если предприятие окажется совершенно не готово к проверке, выполнить с нуля весь комплекс работ за три дня представляется невозможным. Таким образом к указаным санкциям могут добавиться ещё санкции по статьям 19.4, 19.5, 19.6 (невыполнение предписания).
Инспектор может наложить штраф, принять решение о конфискации несертифицированых средств защиты или вынести требование о прекращении обработки персональных данных, что может принести значительные издержки предприятию. Кроме того, предприятие, осуществляющее обработку персональных данных с нарушением закона, несёт риски, связанные с возможными гражданскими исками от субъектов персональных данных, особенно в случаях утечки таких данных.
Владимир Подзоров, генеральный директор компании ВЭЛЛ-СЕРВИС.