28.06.2011 00:00
Новости.
Просмотров всего: 3255; сегодня: 3.

Закон о персональных данных: КАК НЕ НАРУШАТЬ

Закон о персональных данных: КАК НЕ НАРУШАТЬ

Несмотря на то, что Федеральный закон от 27.07.2006 № 152-ФЗ

"О персональных данных" давно вступил в силу и его основные положения действуют, компании — операторы персональных данных ждут приближающейся даты — 1 июля 2011 г. Согласно п. 3 ст. 25 Закона, информационные системы персональных данных, созданные до 1 января 2011 г., к этому моменту должны быть приведены в соответствие

с его требованиями.

Существующие документы, содержащие требования по защите персональных данных очень неоднозначны и вызывают много споров, ставящих под сомнение возможность их исполнения в принципе. Однако сложности в выполнении закона не являются основанием для его неисполнения.

Кто проверяет

В настоящий момент основные риски для операторов персональных данных связаны с проверками

их деятельности со стороны регуляторов: Федеральная служба безопасности (ФСБ России), Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). В соответствии с 152-ФЗ Контрольные и надзорные полномочия в сфере защиты персональных данных были возложены на них.

Каждое из этих ведомств выполняет свою задачу. Так, ФСБ России курирует вопросы безопасности персональных данных при их обработке в информационных системах, в том числе защиту информации с использованием средств шифрования (криптографии).

Компетенции ФСТЭК России — защита информации с применением технических средств, в том числе подтверждение отсутствия в средствах защиты недекларируемых возможностей. Технические средства защиты персональных данных необходимо сертифицировать.

Методики, разработанные ФСТЭК, должны быть положены в основу так называемой Модели угроз для каждой информационной системы, обрабатывающей персональные данные (такой документ предстоит разработать каждому оператору). На выполнении этих аспектов, скорее всего, и будет сфокусировано внимание сотрудников ФСТЭК, привлекаемых для проверок.

Роскомнадзор является основным регулятором в области защиты прав физических лиц,

чьи персональные данные обрабатываются. Сотрудники этого ведомства имеют право:

— проверять сведения в уведомлении, поданном оператором;

— привлекать для проверки другие госорганы (ФСБ, ФСТЭК);

— принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона;

— обращаться в суд с исковыми заявлениями в защиту прав субъектов и представлять их интересы в суде. А также направлять заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия его лицензии;

— направлять материалы в право­охранительные органы для решения вопроса о возбуждении уголовного дела в связи с нарушением прав субъектов персональных данных;

— привлекать к административной ответственности лиц, виновных в нарушении закона.

Очевидно, список получается весьма внушительным, а, значит, у Роскомнадзора есть достаточно возможностей воздействовать практически на любую организацию. На практике регулирует данную сферу деятельности именно Роскомнадзор, а ФСБ и ФСТЭК пока занимают выжидательную позицию

(до 1 июля 2011 г.), и привлекаются лишь для контроля за реализованными мерами защиты данных в качестве сторонних экспертов.

Кого проверяет Роскомнадзор

Если сравнить деятельность Роскомнадзора в 2009 и в 2010 гг., то очевидно, что активизация работы в отношении защиты прав субъектов персональных данных началась. По данным самого ведомства, в настоящий момент реестр операторов, осуществляющих обработку персональных данных, включает 185 000 операторов персональных данных. В реестре можно найти промышленные предприятия, банки, страховые компании, торговые и консалтинговые предприятия, юридические и туристические фирмы, учреждения здравоохранения, образования и т. д.

Реестр ведется на основании уведомлений, которые присылают сами организации-операторы. Случаи, когда уведомлять ведомство нет необходимости, прописаны в п. 2 ч. 2 ст. 22 № 152-ФЗ. Сюда относятся: обработка данных сотрудников, данных, полученныхв связи с заключением договора, общедоступных персональных данных либо данных, включающихтолько фамилии, имена и отчества субъектов персональных данных либо необходимых в целях однократного пропуска на территорию.

Потенциальными кандидатами на проверку являются все компании, а не только внесенные в реестр. Ведь закон не снимает с работодателя обязанности обеспечивать сохранность данных своих сотрудников, разрабатывать соответствующее положение о работе с персональными данными независимо от количества служащих или вида деятельности.

Вместе с тем, учитывая немногочисленность проверяющих по сравнению с числом организаций, риски претензий контролеров из Роскомнадзора можно считать незначительными. Кроме того, контролеры надзора, как правило, не стремятся применять максимально жесткую ответственность к нарушителям.

В большинстве случаев по результатам проверки выдавались предписания об устранении нарушений. Только в нескольких случаях суды назначили штрафы по ст. 19.7 КоАП РФ на общую сумму в несколько сотен тысяч рублей за непредставление уведомлений, а по ст. 13.11 КоАП РФ за нарушение порядка сбора, хранения, использования или распространения персональных данных граждан было наложено

и того меньше штрафов на общую сумму в несколько десятков тысяч рублей.

По данным Роскомнадзора чаще всего на нарушениях работы с персональными данными попадаются жилищно-коммунальные предприятия, банки, операторы мобильной связи и СМИ.

Что касается соотношения плановых и внеплановых мероприятий, то в 60% случаев проверка является плановой. С вступлением в силу Федерального закона от 26.12.08 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля» в части оснований для проведения внеплановых проверок количество последних снизилось вдвое

(по сравнению с аналогичным периодом предыдущего года).

Кто несет ответственность

Ответственность за выполнение закона несет первое лицо организации. В то же время перекладывание ответственности на должностных лиц или подразделения возможно обычным внутренним приказом. Если провести доработку существующих инструкций и регламентов, то переложить основную меру ответственности на конкретного человека не составит труда. В таком случае должностному лицу достаточно в форме докладных записок уведомить руководство о масштабе работы и необходимых для ее выполнения ресурсах. Бывали случаи, когда руководитель отдела информационной безопасности инициировал десятки докладных записок на имя генерального директора с целью минимизировать ответственность.

Например, отправка корреспонденции с явными нарушениями 152-ФЗ. Эта проблема свойственна крупным предприятиям, которые отправляют много корреспонденции, например счетов на оплату. Явные нарушения видно невооруженным глазом. Так, например, большинство предприятий ЖКХ отправляют счета на оплату услуг в незапечатанном виде с широким перечнем персональных данных, которые совершенно не нужны для проведения оплаты. В настоящий момент на рынке появились услуги по аутсорсингу изготовления счетов с учетом требований 152-ФЗ. Такие услуги оказывает, например, компания АККОРД ПОСТ.

Защита персональных данных превратилась в полноценную индустрию. Сформировался целый рынок продуктов и услуг. Дело осталось за объединением всего этого многообразия в решение, которое можно применить для каждой конкретной организации.


Ньюсмейкер: Аккорд Пост — 83 публикации
Поделиться:

Интересно:

Как следили за качеством продуктов в лавках Москвы в XVIII и XIX веках
21.06.2024 12:17 Новости
Как следили за качеством продуктов в лавках Москвы в XVIII и XIX веках
Торговля пищевыми продуктами всегда привлекала внимание городских властей в Москве. Особую важность они придавали хорошему качеству товара, так как от этого зависело здоровье горожан, предотвращение эпидемий дизентерии, тифа и многих других инфекционных болезней. Поэтому проверки условий хранения и...
Как СССР помогал Северному Вьетнаму в войне против США
20.06.2024 16:35 Новости
Как СССР помогал Северному Вьетнаму в войне против США
5 августа 1964 года американская авиация впервые нанесла воздушные удары по территории Демократической Республики Вьетнам (ДРВ или Северный Вьетнам). Спустя полгода США начали операцию «Раскаты грома», развязав тем самым уже полномасштабную воздушную войну против этой азиатской страны.   ...
«Краснодарский спрут» и прокурор Найдёнов
20.06.2024 15:37 Аналитика
«Краснодарский спрут» и прокурор Найдёнов
Автор: Александр Звягинцев С первых дней работы в прокуратуре меня поражало убеждение большинства сограждан нашей великой страны, что разобраться и наказать виновных прокурору ничего не стоит — было бы желание. Люди считали, что закон торжествует сам собой, надо только, чтобы прокурор отдал...
Большинство россиян этим летом выбрали отдых внутри страны
20.06.2024 14:57 Аналитика
Большинство россиян этим летом выбрали отдых внутри страны
73% туристов, отправляющихся на отдых в летние месяцы воздушным транспортом, выбрали поездки по стране. Среди самых популярных направлений — Сочи и Санкт-Петербург: 21 и 14% от внутренних бронирований россиян соответственно. Каждое четвертое бронирование...
225 лет назад была образована Российско-американская компания
20.06.2024 09:17 Новости
225 лет назад была образована Российско-американская компания
Под Высочайшим Его Императорского Величества покровительством Российская Американская компания - полугосударственная колониальная торговая компания, основанная Григорием Ивановичем Шелиховым и Николаем Петровичем Резановым и утверждённая указом императора Павла I 8 (19) июля 1799 года. После...