Защита персональных данных: как рынку вырваться из противоречий?

Федеральный закон № 152-ФЗ от 27.07.2006 "О персональных данных" действует уже четыре года, однако в части выполнения технических требований вступление его в силу постоянно откладывается – на сей раз до 1 июля 2011 г. При этом в полном объеме к нему не готовы ни операторы, ни регуляторы. В ближайшее время ожидается принятие поправок, которые сделают его исполнение более реальным. О том, что они изменят, в чем основные сложности, насколько они преодолимы и как компаниям все же "соблюсти букву закона", говорили участники круглого стола "Защита персональных данных: помогут ли отсрочки, организованного CNews Analytics совместно с CNews Conferences.

страницы:

Отсрочки принесли положительные для операторов ПДн изменения. В опубликованных документах ФСТЭК (по сравнению с первоначальными версиями ДСП) отменены требования обязательной аттестации ИСПДн, получения лицензии на ТЗКИ и использования сертифицированных СЗИ, что значительно облегчает и удешевляет для операторов исполнение закона 152-ФЗ.

Можно сэкономить

Поскольку рано или поздно отсрочки исчерпают себя, всем операторам ПДн придется задуматься о том, как выполнить требования 152-ФЗ при минимальных для себя издержках. Своим опытом поделился Сергей Миронов, начальник отдела информационной безопасности "Акадо-Столица".

Возможны различные способы снижения издержек. Например, объединение всех серверных систем в одну информационную систему — тогда защищать и аттестовывать придется только одну.

Другой метод - минимизация объема персональных данных, обрабатываемых на рабочих местах, и объединение их в соответствующие информационные системы. Это позволяет снизить класс аттестуемой системы. Например, ИС операторов call-центра, ИC бухгалтерии.

Уменьшить затраты на эту процедуру также можно за счет обезличивания сведений. Например, в личном кабинете ФИО можно заменить на имя и отчество. Тогда система вообще перестает считаться обрабатывающей персональные данные.

Следует также уделить внимание более точному наименованию информационных объектов, чтобы исключить использование персональных данных. Например, вместо адреса абонента использовать – "адрес установки оборудования", вместо мобильного и домашнего телефона – "контактный телефон".

Несколько спорным показалось предложение г-на Миронова заключать и хранить договоры с абонентами только в бумажном виде. Конечно, при этом в системе никакие персональные данные не обрабатываются, но сможет ли она адекватно выполнять свои задачи? Бизнес-процесс, построенные на бумажных документах не могут быть достаточно оперативными.

ИБ-особенности регистрации доменов

Александр Панов, управляющий партнер компаний Hosting Community, осветил специфику работы с персональными данным в бизнесе регистрации доменных имен. Фактически весь этот бизнес построен на обработке персональных данных, что позволяет установить и защитить права физических лиц на обладание теми или иными доменными именами. Однако это автоматически относит ИС регистратора доменных имен к первой категории.

Он обратил внимание на проблемы для бизнеса, которые возникают вследствие негармонизированности законодательства. Так, например, согласно ГК, договор в форме оферты заключить можно, однако на обработку персональных данных обязательно нужно письменное согласие субъекта ПДн.

Надо отдать должное, что этот процесс совершенствуется, и нам не будут нужны отсрочки тогда, когда количество несоответствий в законодательстве будет минимальным. Кроме того, по его мнению, некоторые противоречия лежат в самой бизнес-модели. Например, архивные копии реестра должны передаваться на хранение в американскую компанию Iron Mountain, т. е. возникает трансграничная передача ПДн.

А иногда дополнительные персональные данные собираются по инициативе правоохранительных органов. В частности, они потребовали собирать сканы паспортов, что сразу усложнило задачу защиты.

По мнению г-на Панова, отсрочки дают время законодателям согласовать требования по защите персональных данных с другими действующими законами. Наименее готовы к выполнению 152-ФЗ школы, больницы, государственные учреждения, которые не имеют в штате специалистов по ИБ и ограничены в своем бюджете.

Малые компании, которые не смогут самостоятельно обеспечить защиту ПДн, начнут пользоваться услугами крупных, и это логично, потому что последние уже инвестировали значительные средства в защиту персональных данный и помогут всем остальным.

Практика покажет

Наталья Долганова, зам. начальника отдела юридического департамента управляющей компании "КапиталЪ", рассказала о реализации организационных мер защиты персональных данных в соответствии с требованиями законодательства.

Ведь закон "О персональных данных" действует с 2006 г., за исключением только части требований по защите информационных систем ПДн, и операторы должны выполнять его требования. Им следует определить состав, цели и условия обработки ПД, уведомить уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку ПД.

Особое внимание стоит обратить на наличие трансграничной передачи ПДн, а также тщательно проработать все юридические вопросы. Поскольку сам закон "О персональных данных" появился вследствие ратификации Конвенции Совета Европы о защите физлиц при автоматизированной обработке ПДн, то отношения с европейскими странами выстраиваются проще. А вот американское или канадское законодательство в области ПДн отличается сильнее.

Нужно учесть и ряд других нюансов, связанных с обработкой ПДн, в частности, провести проверку наличия обработки специальных категорий ПДн, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядов, состояния здоровья, интимной жизни.

В целом можно сказать, что выполнение организационных мер по обработке ПДн и надлежащее документирование этой деятельности значительно снижают риски конфликтов с регулятором и утечки персональных данных.

Станислав Макаров / CNews


Презентации участников круглого стола

Презентация Легезо Денис, CNews/ CNews Analytics. 152-ФЗ, какие новости и чего ждать дальше?
Презентация Казакевич Олег, Ассоциация Российских Банков. Практический опыт реализации положения 152-ФЗ в повседневной банковской деятельности
Презентация Бабенко Алексей, Информзащита. СТО БР – альтернативный путь выполнения 152-ФЗ для организаций банковской сферы
Презентация Страхов Алексей, Ниеншанц. Соблюдение требований законодательства в области ПДн и реальная защита
Презентация Вернигора Александр, Группа компаний “МАСКОМ”. Защита ПДн - как превратить затраты во вложения
Презентация Минченко Александр, "Группа КапиталЪ Управление Активами". Защита Персональных данных - ждать или действовать?
Презентация Миронов Сергей, АКАДО-Столица. Сокращение издержек на реализацию задач по приведению информационных систем в соответствие с требованиями закона по опыту крупного телеком-оператора
Презентация Панов Александр, группа компаний Hosting Community. Перспективы операторов персональных данных в свете нового закона
Презентация Долганова Наталья, Управляющая компания "КапиталЪ". Реализация организационных мер защиты персональных данных в соответствии с требованиями законодательства о персональных данных
Презентация Скачать все презентации (архив)
страницы: