Защита персональных данных: как снизить расходы на новые технические требования?

Юридическая компания «Пепеляев Групп» напоминает: 31 декабря 2010 г. истекает установленный срок для приведения информационных систем персональных данных, созданных до 1 января 2010 г., в соответствие с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Проведение указанных мероприятий повлечет дополнительные затраты для организации, которые могут быть оптимизированы при условии соблюдения минимально необходимых требований правовых актов в области защиты персональных данных.

Обязанность организации по защите персональных данных

Защита персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий – обязанность любой организации, обрабатывающей в информационных системах персональные данные физических лиц: работников, подрядчиков, клиентов, их учредителей, законных и уполномоченных представителей, работников клиентов, установленная Федеральным законом «О персональных данных» (ст. 19) и Трудовым кодексом РФ (гл. 14).

Требования к защите персональных данных при их обработке

В Российской Федерации действует целый комплекс законодательных и подзаконных актов,  устанавливающих организационные и технические требования, выполнение которых обязательно для защиты персональных данных при их обработке, в том числе:

1. Уведомление соответствующего территориального управления Роскомнадзора о намерении осуществлять обработку персональных данных.
2. Получение письменного согласия субъектов персональных данных на обработку, распространение и предоставление третьим лицам их персональных данных, на принятие решений  на основе автоматизированной обработки их персональных данных, на прямые контакты с ними с помощью средств связи для продвижения новых товаров, работ и услуг.
3. Включение в договоры условий об обеспечении конфиденциальности и безопасности персональных данных при их обработке.
4. Предоставление по просьбе физических лиц информации, касающейся обработки их персональных данных.
5. Ведение различных баз персональных данных по видам договоров.
6. Хранение персональных данных в условиях, позволяющих идентифицировать их с субъектом персональных данных, и только для заявленных целей обработки.
7. Регламентация доступа к персональным данным.
8. Назначение сотрудников, ответственных за разработку и осуществление мероприятий по обеспечению безопасности персональных данных.
9. Разработка, утверждение и доведение до сведения ответственных работников модели угроз безопасности персональных данных.
10. Проведение классификации информационных систем персональных данных и принятие технических мер защиты информации в информационных системах персональных данных.
11. Разработка, описание в технической документации и доведение до сведения ответственных работников системы защиты персональных данных.
12. Уничтожение персональных данных после достижения целей их обработки в информационных системах персональных данных.
13. Разработка в соответствии с законодательством РФ, утверждение приказом руководителя и доведение под роспись до сведения сотрудников Положения о защите персональных данных работников.
14. Соответствие типовых форм, содержащих персональные данные, требованиям законодательства в области персональных данных.

При этом органы контроля за соблюдением технических требований к информационным системам персональных данных считают необходимым получение лицензий на техническую защиту информации при обработке персональных данных и использование криптографических (шифровальных) средств при трансграничной передаче персональных данных.

За несоблюдение организационных и технических требований по защите персональных данных предусмотрен комплекс мер уголовной, административной, имущественной и дисциплинарной ответственности.

Выводы и рекомендации

Требования законодательства и подзаконных актов о персональных данных обязательны для всех юридических и физических лиц, обрабатывающих персональные данные с использованием средств автоматизации (в информационных системах), а также без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

До 1 января 2011 года информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями действующего законодательства и подзаконных актов.

При минимизации расходов организации на соблюдение требований законодательства и подзаконных актов о технической защите персональных данных необходимо разрешить ряд вопросов:

1. Какой класс информационной системы персональных данных оптимален в деятельности организации?
2. Можно ли техническую защиту персональных данных осуществлять силами структурного подразделения организации либо должностного лица (работника), на которых возложены обеспечение безопасности персональных данных либо необходимо привлекать специализированную организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации, как того требует ФСТЭК России?
3. Нужно ли организации получать лицензию на техническую защиту персональных данных?
4. Должно ли общесистемное и прикладное программное обеспечение пройти сертификацию по требованиям безопасности, а информационные системы персональных данных – аттестацию?
5. Можно ли защитить информационные системы персональных данных несертифицированными средствами защиты?
6. Можно ли обойтись без шифровальных (криптографических) средств защиты информации?

Комплексный организационно-правовой подход позволит компаниям заблаговременно подготовиться к проверкам соблюдения новых требований уполномоченными органами государственного контроля – Роскомнадзором, ФСТЭК и ФСБ, а также исключить или значительно минимизировать риски привлечения к ответственности по результатам таких проверок.

Специалистами «Пепеляев Групп» разработана эффективная методика выполнения задач по организационной и финансовой оптимизации деятельности компании в связи с завершением переходного периода вступления в силу новых требований защиты персональных данных.

Елене Овчаровой, Руководителю группы Административно-правовой защиты бизнеса, по тел.: (495) 967-00-07 либо по e-mail; Наталии Травкиной, Старшему юристу,  по тел.: (495) 967-00-07 либо по e-mail; Юлии Осиповой, Юристу, по тел.: (495) 967-00-07 либо по e-mail