Право

Безопасность как цель

Три года прошло с момента вступления в силу Федерального закона № 152-ФЗ «О персональных данных». Нормативная база сформирована, проверки идут полным ходом. Как бы то ни было, на сегодняшний день не все компании, обрабатывающие персональные данные, осознают необходимость защиты такой информации. Как решать появившиеся задачи?

В УСЛОВИЯХ ЖЕСТКОЙ КОНКУРЕНЦИИ НА РЫНКЕ СФОРМИРОВАЛСЯ СПРОС НА ОСОБЫЙ ВИД ИНФОРМАЦИИ — ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТОВ ОРГАНИЗАЦИЙ РАЗЛИЧНЫХ СФЕР ДЕЯТЕЛЬНОСТИ.

Три года прошло с момента вступления в силу Федерального закона № 152-ФЗ «О персональных данных». Нормативная база сформирована, проверки идут полным ходом. Как бы то ни было, на сегодняшний день не все компании, обрабатывающие персональные данные, осознают необходимость защиты такой информации. Как решать появившиеся задачи? Как защитить информационную систему своей организации? Как реагирует бизнес-сообщество на закон? На эти и другие вопросы отвечает редактор электронного информационно-аналитического журнала «Персональные данные» Марина Прохорова.

Марина Александровна, в связи с принятием закона «О персональных данных» (далее ФЗ-152) вопросы защиты прав субъектов персональных данных становятся все актуальнее. При этом основная нагрузка по соблюдению его требований ложится на плечи юридических лиц, обрабатывающих такие данные, то есть операторов персональных данных. Как восприняли представители бизнеса «пополнение» пакета документов, который им необходимо выполнять?

Обсуждение этого федерального закона, его плюсов и минусов не утихает до сих пор. Недаром на многочисленных специализированных мероприятиях, проходящих в последнее время все чаще, вопросы, связанные с исполнением законодательства о персональных данных, признаны животрепещущими. Некоторые считают, что его принятие стало первым и, может быть, самым важным шагом, который позволяет сказать, что в нашей стране на государственном уровне обеспечивается защита прав субъектов персональных данных, а это, в свою очередь, дает возможность России стать равноправным участником многих экономических и политических процессов, происходящих в Европе.

Другие же придерживаются мнения о том, что реализация данного закона в полном объеме невозможна из-за недостаточности проработки некоторых его положений, и в связи с этим говорить об эффективном его использовании как основного документа, регламентирующего сферу сбора, обработки, хранения и защиты персональных данных субъектов, нельзя. Кто прав, сказать сложно...Кто-то считает, что бизнес «кошмарят», кто-то признается нам, что приходится принимать его с «унылой неизбежностью». Радует, что все-таки есть и те, кто отнесся к закону серьезно. Ведь ФЗ-152, в первую очередь, направлен на защиту прав субъекта, которыми мы все с вами являемся. Многие из нас - клиенты банка, почти все - абоненты сотовой связи, пользователи Интернета и так далее. Кому приятно осознавать факт, что его данные в открытом доступе, стоит лишь заплатить полторы-три тысячи рублей?

Чем грозит утечка информации для организаций?

Каждая организация обладает определенной базой данных, содержащих сведения о персональных данных субъектах - клиентов и работников. Эта информация собирается долгими годами, и в случае доступа к ней конкурентов может привести к значительному снижению прибыли и удару по репутации. Поэтому неудивительно, что за ней «охотятся». Информация стала товаром, риск утечек из информационных систем предприятий возрос многократно.

В условиях жесткой конкуренции на рынке сформировался спрос на особый вид информации — персональные данные клиентов организаций различных сфер деятельности, создается ценовое давление в пользу раскрытия информации сотрудниками организаций, обрабатывающих персональные данные. С каждым днем защита баз данных, собранных как частными компаниями, так и государственными органами, непрерывно дорожает. Но зачастую вся система технической защиты оказывается бессильной перед так называемым субъективным фактором. Поэтому сегодня для многих организаций встает вопрос, как в первую очередь обеспечить защиту своей информационной системы, в том числе содержащей и персональные данные субъектов, с организационно-правовой точки зрения.

Какие вы, как редактор специализированного издания, можете дать рекомендации по исполнению закона?

Согласно пункту 1 статьи 19 Федерального закона №152-ФЗ «О персональных данных», оператор персональных данных «обязан принимать необходимые организационные и технические меры… для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения…». Можно построить работу с персональными данными в компании, подготовить блок административно-распорядительных документов и так далее. Но в конечном итоге исполнять все это придется сотрудникам организации. Здесь хотелось бы обратить внимание на важность информирования и обучения сотрудников, то есть повышения их квалификации в сфере работы с персональными данными, что позволит не только знать нормы законодательства соответствующей сферы, но и применять их на практике.

Другими словами в ситуации, когда Вы только встаете на путь приведения деятельности Вашей организации по обработке персональных данных в соответствие с требованием законодательства о персональных данных, информационная работа с собственными сотрудниками -  это именно тот фундамент, с которого надо начинать.

Вариантов такой работы может быть несколько:

- участие сотрудников в различных конференциях, которые массово проводятся по тематике персональных данных;

- обучение сотрудников на специализированных курсах, семинарах, причем сейчас многие компании, занимающиеся обучением по тематике персональных данных, предлагают проведение обучающих мероприятий непосредственно на территории заказчика, что, безусловно, очень удобно для тех фирм, где достаточно большое количество сотрудников работают с персональными данными и должны быть осведомлены об особенностях такой работы;

- обеспечение доступа сотрудников к специализированной периодике, которая в доступной форме поможет достаточно большому кругу лиц вашей компании познакомиться с азами грамотной и правильной работы с информацией персонального характера.

Тут не могу не сказать, что в настоящее время журнал «Персональные данные» является единственным в Российской Федерации средством массовой информации, основная аудитория которого – операторы персональных данных. Кстати, на наших страницах Вы найдете подробные отчеты практически обо всех мероприятиях, где обсуждалась данная тематика. Так что, став нашим читателем можно сразу «убить двух зайцев».

Каким образом в практической деятельности оператор персональных данных может использовать различные публикации и материалы журналов, специализированных сайтов?

Сразу оговорюсь: к выбору источника информации надо подходить достаточно осторожно и внимательно. Дело в том, что сегодня информационное пространство насыщено так называемыми «корпоративными» информационными ресурсами, которые не зарегистрированы как СМИ (а значит, не обязаны соответствовать всем требованиям Федерального закона «О средствах массовой информации»). Чаще всего их материалы носят откровенно рекламный характер, и информация представлена дозировано, в объеме, позволяющем привлечь клиентов, которые затем воспользуются услугами по организации работы с персональными данными. Как можно использовать СМИ? Опять в качестве примера обратимся к журналу «Персональные данные». Это публикации мнений экспертов-аналитиков, представителей операторов персональных данных и уполномоченных федеральных органов исполнительной власти. Что контролирующие органы потребуют от оператора в случае проверки, как она будет осуществляться, к каким вопросам необходимо быть готовыми? Об этом Вы сможет узнать из постоянных рубрик «Тема номера», «В коридорах власти», «Защищая свои права». Безусловно, читателям, которые только начинают свой путь в качестве оператора персональных данных будут интересны и практические рекомендации тех, кто уже непосредственно работает в сфере персональных данных.

В этом году в помощь операторам персональных данных, которые осуществляют трансграничную передачу персональных данных, в рамках рубрики «Международная практика» была открыта серия публикаций-интервью с руководителями уполномоченных органов в различных государствах, аналогичных нашему Роскомнадзору. Эти материалы позволяют познакомиться с тем, как в других странах осуществляется защита персональных данных субъектов. И еще один плюс - информация представлена в сжатом, сублимированном виде, в том объеме, который необходим именно организации как оператору персональных данных.

Еще одним важным моментом, на мой взгляд, является обязательное знакомство с правоприменительной практикой, которая складывается на сегодняшний день достаточно активно. Избежать нарушения поможет не только знание того, что именно не соблюдено, но и почему проверяющие посчитали это нарушением. И опять – на помощь приходят уже подготовленные нашими экспертами комментарии по результатам прошедших проверок.

Таким образом, если Вы хотите быть в курсе всех изменений в сфере персональных данных и получать «информацию из первых рук», повысить информированность Ваших сотрудников, мы будем рады видеть Вас в числе наших подписчиков. Вы наверняка найдете ответы на любые интересующие Вас вопросы на страницах журнала.

Начать дискуссию