Вступить в Клуб Войти
Введите логин
Введите пароль
напомнить пароль

Виктор Минин, Голованова Елена: «Защита шаговой доступности: как выполнить требования ФЗ №152»

11.05.2010
К середине декабря страсти вокруг ФЗ № 152 достигли точки кипения. Все участники, втянутые в процесс обсуждения законодательных и нормативных актов, находились в ожидании решения о переносе сроков. К всеобщей радости это произошло, операторы получили годовую отсрочку и, как показывает статистика за первый квартал, расслабились. Поэтому, мы, члены Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) решили проинформировать ИТ-сообщество о тех шагах, которые необходимо выполнить независимо от назначения новой критической даты 01.01.11.  
 
Игра в четыре руки
 
В интервью 2008 г. с одним из разработчиков федерального закона «О персональных данных» Михаилом  Якушевым, занимавшим в то время пост руководителя правового департамента Министерства связи и информационных технологий, один вопрос показался мне особенно интересным: «По Вашему мнению, Федеральный закон, в конечном итоге, — это документ для субъектов или операторов персональных данных?» В ответе прозвучало: «Внимательное прочтение закона показывает, что для субъектов персональных данных, т.е. тех граждан, чьи ПДн могут обрабатываться, зафиксированы только права, а для операторов — в основном, только обязанности. Но, несмотря на явную ориентацию Закона на защиту граждан, он устанавливает четкие правила игры для операторов, что делает его, безусловно, весьма значимым и для них».
Операторы ПДн оказываются той категорией, которая в большей степени должна задуматься об организации своей деятельности в соответствии с существующим законодательством и провести комплекс определенных мероприятий. При этом первый шаг должен быть не в сторону информационных систем, в которых обрабатываются персональные данные, а вовнутрь самой организации-оператора ПДн.
 
Шаг за шагом
 
С чего же следует начинать? Отнюдь не с уведомления, упоминаемого в Законе, и не с выбора мер и средств защиты информационной системы, в которой обрабатываются ПДн. Начинать надо с четкого определения трех позиций, от которых, в основном, и будет зависеть соблюдение требований ФЗ (кстати, и величина затрат на защиту персональных данных): категории обрабатываемых ПДн, их объем и цели обработки. В результате во всех организациях должен появиться новый, достаточно объемный пласт взаимосвязанной документации, регулирующей все вопросы обработки персональных данных.
 
Шаг 1
Основным должно стать «Положение об обработке персональных данных компании-оператора», т.е., документ, аккумулирующий информацию о ПДн, обрабатываемых оператором. Практика его создания уже существует: статья 88 КЗОТ РФ определяет, что «передача персональных данных работника должна осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись». Впрочем, такой документ полезно иметь всем операторам, а не только тем, кто обрабатывает данные лишь своих сотрудников.  Ведь даже для подачи уведомления в Уполномоченный орган оператор должен: сформулировать правовые основания, цель и способы обработки ПДн; определить категории обрабатываемых ПДн и субъектов, чьи данные обрабатываются; составить перечень действий с персональными данными; изложить меры, которые оператор осуществляет с целью обеспечения безопасности; зафиксировать дату начала обработки, срок или условие ее прекращения. Кстати, в связи с тем, что эти критерии изменяемы с течением времени, такой документ в организации должен поддерживаться в актуальном состоянии. Помимо этого настоятельно рекомендуется включить в Положение информацию об основаниях и порядке уничтожения персональных данных, а в качестве приложения добавить форму согласия субъекта ПДн на обработку таких данных, разработанную с учетом требований ФЗ № 152.
 
Шаг 2
Далее нужно закрепить порядок обработки, т.е. описать все бизнес-процессы компании, связанные с обработкой ПДн, с указанием конкретных должностных лиц, персональных данных и используемых мер и средств защиты. Поскольку нормативная правовая база упоминает два способа — с использованием средств автоматизации и без них, то целесообразно на основании анализа деятельности компании разработать две Инструкции о порядке обработки ПДн. В компании могут применяться и оба документа одновременно.
 
Шаг 3
Обязательно необходим блок административно-распорядительных документов компании. Что в него войдет?
Для начала — издайте приказ о назначении должностного лица, ответственного за организацию работы с персональными данными в комплексе, включая организационно-правовые действия и направление технической защиты информации. Именно это лицо будет нести ответственность за осуществление компанией деятельности в качестве оператора ПДн.

Еще одним приказом настоятельно рекомендуем назначить лиц, ответственных как за автоматизированную обработку ПДн, так и за обработку без использования средств автоматизации. Они могут быть из разных областей: специалист по ИБ, юрист или лицо, отвечающее за работу с персоналом. В этом же приказе можно определить и те должности, при занятии которых сотрудник непосредственно участвует в обработке персональных данных. Как только эти позиции будут закреплены в приказе по компании, в должностные инструкции каждого специалиста должны быть внесены дополнения, касающиеся работы с ПДн. Одновременно с этим компании-оператору необходимо заключить соглашения с работниками о неразглашении персональных данных клиентов компании.
 
Мелочей не бывает
 
Практика показывает, что только тогда, когда компания смогла сформулировать и принять эти документы, уведомление будет содержать фактическую и осознанную самим оператором информацию о действительном положении дел в компании. Это позволит избежать жалоб и судебных тяжб с субъектами ПДн, чьи права нарушены, а также недоразумений при общении с уполномоченными органами и при проведении контрольных мероприятий. При отправке уведомления не забудьте оставить у себя в деле копию с отметкой о его получении Уполномоченным органом.

Перечень вышеназванных документов далеко не полон, но в целом отражает структуру организации работы с персональными данными оператора ПДн. В некотором смысле, это типовое решение. Для каждой организации такая система должна учитывать особенности сферы деятельности, бизнес-процессов и структуру компании.

Подводя итог, предлагаем операторам следующую схему организации защиты персональных данных: при наличии единого управленческого звена в организации необходимо создать техническое направление по формированию обеспечения защиты ПДн и направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки. Это может быть, например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при учете договоров с субъектами ПДн). При этом внутренним документом (должностной инструкцией) должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту персональных данных.

В русском языке много емких и красочных пословиц: «пока гром не грянет…», «работа — не волк…». Но мы призываем вспомнить не их, а уместную в данной ситуации народную мудрость: «не откладывай на завтра то, что можно сделать сегодня». Только на «первые шаги» с помощью экспертной организации уйдет в среднем 3–4 месяца. Самостоятельно справиться с задачей можно за полгода. Вы помните, что до обозначенной законом даты осталось всего восемь месяцев?

Источник: IT Manager №4

Другие публикации