Изменения в закон «О персональных данных» перенесли, а требования по их защите – остались

Изменения в закон «О персональных данных» перенесли, а требования по их защите – остались

Государственная Дума приняла 10 декабря закон «О внесении изменений в статью 25 Федерального закона “О персональных данных”». Установлено, что информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями Федерального закона 152-ФЗ не позднее 1 июля 2011 года. Мы попросили Александра Жданова, заместителя генерального директора аккредитованного при Федеральной службе по техническому и экспортному контролю (ФСТЭК) ЗАО «Медианн-Решения», напомнить, в чем состоят требования Федерального закона 152-ФЗ «О персональных данных»?

- Коротко ответить довольно сложно. Важно, что закон 152-ФЗ определяет в основном цели и принципы, а не устанавливает требования по защите информационных систем персональных данных (ИСПДн). Эти требования содержатся в различных подзаконных актах уполномоченных регуляторов – Роскомнадзора, ФСТЭК и ФСБ России. В соответствии с ними все юридические и физические лица, обрабатывающие персональные данные (за исключением личных и семейных нужд), обязаны принять организационные и технические меры по защите персональных данных. Перечень этих мер варьирует в зависимости от количества и характера персональных данных и изложен в нормативных материалах названных регуляторов.

- Так с чем же связан перенос сроков?

- Причин несколько. Во-первых, это высокая стоимость мероприятий по защите информационных систем персональных данных. Ввиду недостаточного финансирования многие операторы оказались не готовы к установленному ранее сроку – 1 января 2011 года. Во-вторых, по разным причинам не состоялось запланированное на 2010 год внесение изменений в некоторые законодательные акты Российской Федерации, обусловленное принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Перенос сроков приведения ИСПДн в соответствие требованиям безопасности позволит Госдуме внести требуемые изменения в соответствующие законодательные акты, а операторам даст возможность еще раз внимательно изучить требования регуляторов и выбрать для себя организационные и технические меры, отвечающие требованиям регуляторов, с одной стороны, и лежащие в рамках допустимой для организации финансовой нагрузки, с другой.

- Вы же сами сказали, что одной из причин переноса сроков является высокая стоимость мероприятий по защите. Разве стоимость систем защиты снизится от переноса срока?

- Перенос срока, действительно, на стоимость не влияет, если не говорить об инфляционных процессах. Однако предоставленное время дает весьма значительные возможности для оптимизации. Наша компания, совместно с юридической компанией «Персона Грата», по поручению Российского союза туриндустрии, внимательно изучает условия работы туроператоров. Накопленный опыт показал, что применение некоторых методических принципов и рациональный подход к созданию систем защиты позволяют снизить их стоимость в разы. В настоящее время мы готовим рекомендации, которые помогут предприятиям туриндустрии создать минимальные по стоимости системы защиты, полностью отвечающие требованиям регуляторов по безопасности.

- Вот так все просто, следуем рекомендациям и проблемы нет?

- На самом деле, все не так просто. Рекомендации – это лишь первый шаг на пути соответствия законодательству. Следует ожидать, что правоприменительная практика обязательно вскроет некоторые проблемы, которые не лежат не поверхности и пока адекватно осознаются. Например, много вопросов по организации защиты персональных данных возникает при трансграничной их передаче через границу РФ. Многим организациям придется менять бизнес-процессы и даже корпоративную культуру, чтобы эффективно противостоять утечке данных по инсайдерским каналам. Вместе с тем, есть очевидные шаги, которые необходимо предпринять в самом ближайшем будущем.

Предприятиям туриндустрии, которые обрабатывают персональные данные туристов и направляют их третьим лицам необходимо уведомить Роскомнадзор. Это законодательное требование, которое не влечет никаких расходов. Зарегистрироваться можно непосредственно на сайте Роскомнадзора. Необходимо соответствующими приказами определить цели и регламенты обработки персональных данных, назначить ответственных. Не буду дальше продолжать перечень необходимых организационных и технических мер. Они изложены в документах регуляторов. Отмечу лишь, что осуществление мер защиты персональных данных приблизит Россию к практике защиты фундаментальных прав и свобод граждан в странах Евросоюза, создаст условия для комфортного межстранового взаимодействия.

РСТ намерено оказывать предприятиям туриндустрии методическую и правовую поддержку. Путь к цивилизованным нормам Европы может оказаться не простым, но кто же не захочет его пройти?

 

АКТУАЛЬНО