Персональные данные: закон работает?

10 мая 2009 ИБ
Информационная безопасность
#5, 2009 г.

Нармативным правовым актом, регулирующим отношения в части обработки одной из категорий конфиденциальной информации -персональных данных, стал Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" (далее -ФЗ № 152). Этот документ создал трудности в осуществлении деятельности, пожалуй, всех юридических лиц России и продолжает обсуждаться на мероприятиях, посвященных информационной безопасности (в период с сентября по ноябрь текущего года их планируется как минимум 13). Говорит это, в первую очередь, о нерешенных проблемах реализации ФЗ № 152 в преддверии часа "икс" - 1 января 2010 г., -дня, к которому информационные системы персональных данных должны быть приведены в соответствие с законом. На самом же деле требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и к материальным носителям биометрических персональных данных, технологиям хранения таких систем согласно ст. 19 ФЗ № 152 устанавливаются Правительством Российской Федерации. В постановлениях от 17.11.2007 № 781 и от 06.07.2008 г. № 512 Правительство Российской Федерации утвердило эти требования, а контроль за их выполнением возложен на ФСТЭК России и ФСБ России.


Инсайдерские угрозы никто не отменял

Относительно выполнения требований технической защиты информационных систем персональных данных в СМИ стало появляться все больше публикаций: от рекламы учебных курсов до конкретных коммерческих предложений.

Однако ошибочно мнение тех, кто считает, что для получения статуса добропорядочного оператора достаточно установить сертифицированные средства технической защиты на имеющиеся информационные системы. Техника, вероятно, и способна защитить компанию от утечек персональных данных ее сотрудников или клиентов (внешних угроз), но ведь инсайдерские угрозы никто не отменял! Специалисты должны работать с персональными данными по правилам компании, понимать, кто именно имеет к ним доступ, осознавать личную ответственность за нарушение таких правил. Компаниям в свою очередь необходимо иметь пакет документов (в частности, Положение об обработке персональных данных, Инструкция по работе с персональными данными руководителя кадровой службы). А это уже меры организационной защиты.


ФЗ № 152 начал работать

Наличием документов, определяющих порядок работы с персональными данными в организации, как раз интересуется уполномоченный орган -Роскомнадзор (при проведении выездных проверок). К слову, согласно сведениям, опубликованным в отчете о деятельности уполномоченного органа за 2008 г., территориальными органами Роскомнадзора было проведено 76 мероприятий по контролю (надзору), а на текущий год запланировано 321 мероприятие.

Результаты проведенных проверок, в том числе на основании поступивших жалоб и обращений, уже есть: например, за 2008 г. Роскомнадзо-ром было выдано 19 предписаний об устранении выявленных нарушений законодательства Российской Федерации в области персональных данных. Это говорит о том, что ФЗ № 152 начал работать.

В соответствии с информацией о зарегистрированных на данный момент в Реестре операторов 62 тыс. организации, количество операторов, которые еще не подали уведомление об обработке персональных данных (не говоря уже о взятии согласия на обработку и принятии организационных и технических мер защиты), гораздо больше "законопослушных": они наверняка ждут появления каких-то типовых решений проблемы реализации требований ФЗ № 152 либо надеются на перенос часа "икс".

Такая позиция вполне объяснима. Во-первых, отсутствуют строгие карательные меры за незаконную обработку персональных данных. Здесь нельзя не сказать о законопроекте, находящемся уже продолжительное время на рассмотрении в Государственной думе Российской Федерации. В частности, он предусматривает такие составы правонарушений, как незаконная обработка специальных категорий персональных данных, нарушения устанавливаемого порядка трансграничной передачи.

Во-вторых, несмотря на то что ФЗ № 152 был принят более трех лет назад, как ни странно, еще остались компании, которые вообще не слышали ни об этом законе, ни об уполномоченном органе и тем более ни о своих обязанностях по защите обрабатываемых персональных данных.

И это - одна из причин того, почему на данный момент не стоит ждать более высоких показателей результатов "работы" ФЗ № 152.

В соответствии с ним компаниям необходимо привести свои внутренние документы, касающиеся работы с информацией.


Подзаконные акты

Для исполнения ФЗ № 152 требуется принятие ряда подзаконных актов: уже появились приказы некоторых государственных органов (например, приказ Министерства транспорта Российской Федерации от 17.02.2009 г. № 27 "Об утверждении положения об организации работы с персональными данными государственного гражданского служащего Министерства транспорта Российской Федерации и ведении его личного дела"), разъяснительные письма (например, письмо Федерального агентства по образованию от 29.07.2009 № 17-110 "Об обеспечении защиты персональных данных" руководителям учреждений, подведомственных Рос-образованию). В целом эти документы повторяют смысл положений ФЗ № 152 с привязкой к той или иной сфере деятельности государственного органа и списком уполномоченных на обработку персональных данных должностей. Документов же или разъяснений по таким проблемам, как трансграничная передача персональных данных или персональные данные в сети Интернет, на сегодняшний день не принято.


Заключение

Таким образом, можно сказать, что ФЗ № 152 работает, но ровно в той степени, в которой это возможно в настоящее время. На наш взгляд, чтобы приступить к реализации его требований в полной мере, операторам не стоит ждать ужесточения ответственности: сейчас или потом - ее не избежать. Выполняя обязанности операторов, перечисленные в главе 14 ФЗ № 152, компаниям следовало бы предпринимать действия, на свой взгляд оценивая их верность. Только так можно будет сформировать практику применения нормативных правовых актов в сфере персональных данных, выявить пробелы и облегчить участь законодателя по детализации уже принятых правовых норм.


Комментарии эксперта

Алексей Филатенков,
и.о. начальника отдела информационной безопасности компании Открытые Технологии.

Интерес к теме защиты персональных данных по накалу страстей вокруг нее может сравниться разве что с "проблемой 2000 г.". Если проанализировать процентное соотношение публикаций и выступлений, посвященных вопросам безопасности персональных данных и связанных с другими аспектами информационной безопасности, то "персональные данные" побеждают с большим отрывом.

Это и хорошо, потому что таким образом подчеркивается важность данного вопроса как для субъекта персональных данных, так и для оператора. Человек, взявший кредит в банке, может поинтересоваться, надежно ли защищены предоставленные им персональные данные, блокированы ли возможности для злоупотреблений недобросовестных сотрудников банка? А у руководителя подразделения И Б оператора персональных данных появился веский аргумент на выделение бюджета для обеспечения выполнения требований Федерального закона № 152-ФЗ "О персональных данных". И это во время экономического кризиса, когда бюджеты на информационную безопасность повсеместно сокращаются ввиду того, что традиционно ИБ воспринимается исключительно как центр затрат.

Тут, безусловно, нужно согласиться с автором статьи в том, что Закон "О персональных данных" работает. И работает, на мой взгляд, тот аспект, что, несмотря на мощное давление, пока не ожидается переноса срока, к которому все информационные системы персональных данных должны быть приведены в соответствие с требованиями данного закона. Именно такая "неотвратимость" и заставляет операторов предпринимать шаги к созданию систем защиты персональных данных.

Однако можно поспорить с содержащимся в статье утверждением о том, что "отсутствуют строгие карательные меры" за нарушение закона. Такие меры прописаны как в Кодексе об административных правонарушениях (КоАП), так и в Уголовном кодексе. Причем возможности здесь достаточно широкие - от наложения штрафа до приостановления деятельности предприятия на срок до 90 суток. Но тут нужно понимать, что, например, для министерства или ведомства приостановление его деятельности невозможно. Руководителя такой организации может побудить к действию, например, риск лишиться своего поста (ст. 19.5 КоАП). Для коммерческой же организации приостановление деятельности на три месяца равносильно закрытию бизнеса. Однако все будет зависеть от правоприменительной практики в отношении данного закона, которая пока только складывается. Поживем - увидим.

В общем, если судить по практике работы подразделения ИБ системного интегратора, значительное число ведущихся сейчас проектов направлено на приведение информационных систем персональных данных операторов в соответствие с требованиями Закона "О персональных данных". Нужно, чтобы работы по созданию системы защиты персональных данных не сводились только к удовлетворению формальных требований регуляторов, а обеспечили бы действительно надежную их защиту.




Предыдущая новость:
Надо научиться работать в новых экономических реалиях
Следующая новость:
Путь к "зеленому" ЦОД