Персональные данные: защита законом
Персональные данные: защита законом
Персональные данные: защита законом
04.05.2009
До начала действия закона о защите персональных данных осталось полгода, но мало кто думает о его выполнении. Достаточно будет создать видимость работы, утверждают эксперты.
1 января 2010 года заканчивается срок, отведенный на выполнение положений федерального закона от 27 июля 2006 года №152 "О персональных данных". Защищать "любую информацию, относящуюся … к физическому лицу" обязаны операторы ("государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных…" - глава 1, ст. 3). Строго говоря, закон касается даже владельца электронной записной книжки. Но жизнь неизбежно внесет свои коррективы. "В настоящем варианте закон имеет слишком широкое толкование. Полагаю, что появятся подзаконные отраслевые акты, например "Об особенностях применения закона … в финансовых организациях" со ссылкой на соответствующую инструкцию ЦБ", - считает руководитель направления информационной безопасности департамента развития LETA Илья Новиков.
По мнению генерального директора компании "Кабест" (входит в группу "Астерос") Николая Конкина "узкое место" закона – размытые границы самого понятия "персональные данные": "В соответствии с законом ФИО человека, дату и место рождения можно трактовать как персональные данные, а значит, даже такой их объем подлежит защите. Но ведь человек постоянно сообщает эту информацию о себе. И возникает вопрос: действительно ли такой объем персональных данных требует защиты? Нужно ли защищать сведения о человеке, содержащие паспортные данные? На мой взгляд, это необходимо, так как эта информация открывает больше возможностей для злоупотреблений. Закон же по этому поводу молчит. Получается, что само определение персональных данных оставляет большую свободу в его трактовке".
Руководитель направления защиты персональных данных компании "Инфосистемы Джет" Олег Слепов считает закон необходимым и не противоречащим здравому смыслу. "Конечно, отдельные положения законодательства по защите персональных данных (это не только закон, но и подзаконные акты, нормативные акты регуляторов) требуют дополнительной доработки. Но это совместная работа всех субъектов взаимоотношений, связанных с исполнением данного закона. Как правило, в проектах по ЗПД сами регуляторы всегда идут на взаимодействие, как с операторами, так и с интеграторами для решения возникающих "неразрешимых" задач".
Проверять выполнение закона будут Роскомнадзор или иные ведомства, например, ФСТЭК или ФСБ, по его наущению. Проверки могут быть плановыми и внеплановыми. Больше всего люди не любят распространяться о своем здоровье и финансовом положении. Высока вероятность, что пионерами проверок первого типа станут медучреждения, банки, страховщики. Правда, государственные больницы хоть и должны переходить на электронные медицинские карты, но до сих пор в большинстве своем пользуются бумагой. А закон радеет лишь о защите данных в электронном виде. Внеплановые набеги Роскомнадзор будет делать по заявлению физических лиц.
Выполнять требования Роскомнадзора, ФСТЭК, ФСБ нужно в двух направлениях: технически, с помощью специального оборудования и программного обеспечения, и методологически, создав карты угроз и регламенты реакций. Что касается технической стороны вопроса, то во многих организациях она и так на высоком уровне. А где на низком – виноваты сами компании, считает Олег Слепов. "Конечно, закон требует дополнительных и немалых затрат. Но давайте честно себе признаемся, что до настоящего времени мы даже и не задумывались о вопросах защиты персональных данных, - констатирует Олег Слепов. - Как было бы здорово, если бы руководители организаций изначально, при внедрении тех или иных средств автоматизации бизнес-процессов, требовали бы от интегратора обеспечить защиту данных физических лиц. Теперь же операторам персональных данных приходится делать это самостоятельно и за свой счет, поскольку ответственность лежит на них". Кроме того, "качество технической защиты проверять очень сложно и долго, остается проверять документацию", - говорит Leta Илья Новиков. Иными словами, достаточно будет соответствовать формальным требованиям: заранее подготовить модели и карту угроз, акты о соответствии систем законодательным требованиям.
Возникает парадоксальная ситуация: на специализированных рынках несложно найти базы данных сотовых операторов, ГИБДД, Пенсионного фонда. Налицо проблемы с защитой персональных данных. Однако без заявления от пострадавшего человека проверка не начнется. И даже если она все-таки состоится, а с точки зрения документального оформления все в порядке, организация, скорее всего, будет признана выполняющей закон.
Copyright © 2018-2022, ООО "ГРОТЕК"