Закон о персональных данных – рассмотрим подробно

Intelligent Enterprise от 30 декабря

С 1 января 2010 года должны в полном объеме заработать нормы Закона о персональных данных (№ 152-ФЗ). Его требования касаются подавляющего большинства российских предприятий, учреждений и организаций. Но в требованиях контролирующих органов, которым предписано следить за соблюдением требований этого закона, масса нестыковок и даже явных противоречий. К тому же регуляторы могут не понимать специфики бизнеса, что также чревато возникновением целого ряда дополнительных сложностей.

Для начала компании необходимо определить, касаются ли ее требования Закона о персональных данных. Чтобы ответить на данный вопрос, компания Softline рекомендует собрать ответы на следующие пять вопросов:

• Использует ли кадровая служба фамилии, имена, отчества сотрудников?
• Подготавливает ли ваша компания информацию о доходах сотрудников для налоговых органов?
• Осуществляет ли ваша компания работы с клиентскими базами, содержащими домашние адреса и номера телефонов?
• Проводит ли ваша компания программы лояльности и собирает ли контактную информацию лояльных потребителей товаров и услуг?
• Используются ли вашей компанией телефонные базы для привлечения новых партнеров, покупателей, заказчиков?

Утвердительный ответ хотя бы на один из этих вопросов означает, что в вашей компании работают с данными, относящимися к персональным, и, следовательно, компания относится к категории операторов персональных данных, и ее касается все сказанное в законе.

Чем может быть опасно несоответствие нормам Закона о персональных данных?

Полное пренебрежение заложенными требованиями, как и неоправданное занижение класса защищаемых данных (а это тоже не редкость), может привести к проблемам с контролирующими органами и санкциям с их стороны. Тем более что в случае обнаружения недостатков будет проведена еще одна проверка, связанная с контролем исправления выявленных недочетов. И именно по этой причине очень многие специалисты не рекомендуют тянуть с внедрением мер, связанных с приведением систем в соответствие нормам Закона о персональных данных. Просто потому, что достаточно пяти жалоб в месяц, чтобы полностью парализовать деятельность предприятия.

Особая ситуация на предприятиях, связанных с обслуживанием оборонного заказа. Тут любое несоблюдение норм, связанных с безопасностью, в том числе и персональных данных, может повлечь лишение соответствующих лицензий со всеми вытекающими отсюда последствиями.

Компания обрабатывает данные категорий К1 и К2. Такие системы требуют аттестации. Какие требования при этом предъявляются? Как проходит эта процедура?

Требования при этом те же, что и для ИС, в которых обрабатываются данные, содержащие государственную тайну. Тем более что данная процедура регулируется одним-единственным положением, разработанным еще в 1994 году как раз в расчете на сохранение данных, содержащих государственную тайну, а также более поздних документов СТР 1997 года и СТРК 2002 года. По этой причине подходы к разным системам абсолютно одинаковы. Требования к информационным системам, обрабатывающим персональные данные, изложены в документе ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». И аттестация сводится к проверке требований, изложенных в данном документе. При этом любое внесение изменений в такую систему потребует повторения аттестации.

Пакет документов, необходимых для прохождения аттестации, приведен в методических рекомендациях ФСТЭК и ФСБ, которые находятся в открытом доступе.

Оборудование и ПО, с помощью которого производится обработка персональных данных, обязательно требуют сертификации. Можно ли использовать ПО, не имеющее сертификатов?

По мнению подавляющего большинства экспертов, использование сертифицированного ПО необходимо. И выбор его довольно велик. Реестр сертифицированных средств, опубликованный на сайте ФСТЭК, насчитывает около 2000 наименований. Необходимо внимательно следить за функциональностью средств защиты, которые прошли сертификацию. Так, прикладное ПО сертификации не требует. Также можно использовать обычную версию операционной системы, но при этом применять наложенные сертифицированные средства защиты, такие как «Страж» или Secret Net.

Что касается аппаратных средств, то с ними все обстоит почти так же. Хотя чаще возникает проблема с тем, что некоторые средства еще не прошли процедуру сертификации. Особенно это относится к продукции иностранных компаний. Кроме того, есть определенные нюансы, касающиеся использования средств шифрования. Хотя, возможно, отменят требования об обязательной криптозащите данных, передаваемых по сетям.

Компания является холдинговой структурой. Требуется ли принимать все меры для обработки персональных данных в каждой из компаний, представляющих собой самостоятельные юридические лица?

В отношении холдинговых структур действует правило: каждое юридическое лицо — это самостоятельный субъект. Даже если речь идет о юридическом лице со множеством филиалов. Но в структуре, где несколько юридических лиц, в каждом нужно проводить весь комплекс мер.

При этом нормы Закона о персональных данных требуют передавать персональные данные только по защищенным каналам. А это требует получения целого ряда лицензий на использование средств шифрования, причем часто нескольких. И каждое юридическое лицо, входящее в холдинг, обя­зано получать такие лицензии. Избежать этого можно только одним способом: прибегнув к услугам аутсорсинговой компании, у которой лицензия уже есть.

Каким образом регламентирована передача персональных данных третьим лицам — другим компаниям, разным фондам, государственным органам?

Данный вопрос в большей степени юридический, чем технический, и к тому же не слишком хорошо проработанный. Причем множество коллизий возникает с другими законодательными актами, в частности, об оперативно-розыскной деятельности, о кредитных историях, о противодействии легализации доходов, полученных преступных путем. Они предусматривают передачу данных третьим лицам без согласия субъектов персональных данных, к примеру, для раскрытия преступления. Хотя каждый такой случай требует консультаций с юристами.

Как происходят проверки, осуществляемые контролирующими органами? Каковы полномочия проверяющих? Могут ли они изымать оборудование?

Проверка может быть плановой, и их перечень на ближайший год обычно публикуют на сайте соответствующего ведомства. В этом случае организация заранее оповещается. Проверка может быть и внеплановой, причиной ее является какое-то событие, обычно жалоба. В целом же проверка сводится к тому, чтобы определить, соответствуют ли установленному классу мероприятия по защите персональных данных. И при такой проверке далеко не лишним будет пакет организационно-методических документов, регламентирующих обработку персональных данных: перечни персональных данных, приказы, запрещающие обрабатывать в информационных системах данные, позволяющие отнести систему к более высокому классу. При проведении такой проверки необходимо предоставить всю информацию о системах, обрабатывающих персональные данные.

Контролирующие органы не имеют права каким-либо образом исследовать сами данные, хранящиеся в системах. Однако могут быть проверены с помощью специального ПО те технические средства, где, по словам представителей проверяемой организации, персональные данные не содержатся. Причем данное ПО позволяет выявить даже остаточную информацию. Изъятие оборудования возможно только в рамках расследования уголовного дела. Из контролирующих органов соответствующие полномочия есть только у ФСБ. ФСТЭК и Роскомнадзор, у которых просто нет своих следственных органов, не имеют такого права в принципе.