Рубрика:
БИТ. Бизнес & Информационные технологии /
Закон есть закон
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
ВИКТОР МИНИН, сопредседатель комитета по информационной безопасности Российского союза ИТ-директоров
Пять шагов к системе Персональные данные на рынке СМБ
ФЗ №152 вступил в силу еще 26 января 2007 года и распространяется на всех юридических и физических лиц, деятельность которых связана с обработкой персональных данных, как с использованием средств автоматизации, так и без использования таких средств, за исключением случаев, оговоренных в п. 2 ст. 1 Закона
Есть ли персональные данные в среднем и малом бизнесе?
Да есть, и особенно у тех компаний, которые ведут бизнес, ориентированный на физических лиц.
Напомню, что все существующие информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2011 года. А вновь создаваемые информационные системы сразу должны строиться в соответствии с уже действующими требованиями.
Что же делать собственнику бизнеса, работающему на рынке СМБ?
Рекомендуется самостоятельно выполнить эту работу, если нет лишних финансов (а их, как правило, в этом секторе всегда не хватает).
Второй подход – привлечь внешних консультантов, выбрав консалтинговую компанию.
Итак, с чего начать? С главной истины, заложенной в законе. Основой организации работ с персональными данными является внутренняя нормативная документация, определяющая и регламентирующая все виды деятельности по обработке персональных данных в компании независимо от того, ведется ли обработка персональных данных с использованием средств автоматизации или без них.
Операторы персональных данных должны задуматься об организации своей деятельности в соответствии с существующим законодательством и провести комплекс определенных мероприятий.
Первый шаг
Начинать надо отнюдь не с уведомления, упоминаемого в Законе, и не с выбора мер и средств защиты информационной системы, в которой обрабатываются персональные данные. Начинать надо с четкого определения трех позиций, от которых в основном и будет зависеть соблюдение требований ФЗ (кстати, и величина затрат на защиту персональных данных). Это категории обрабатываемых персональных данных, их объем и цели обработки.
В результате в организациях должен появиться новый, достаточно объемный пласт взаимосвязанной документации, регулирующей все вопросы обработки персональных данных.
Основным должно стать «Положение об обработке персональных данных компании-оператора», т.е. документ, аккумулирующий информацию о персональных данных, обрабатываемых оператором.
Практика его создания уже существует: статья 88 КЗОТ РФ определяет, что «передача персональных данных работника должна осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись».
Впрочем, такой документ полезно иметь всем операторам, а не только тем, кто обрабатывает данные лишь своих сотрудников.
Ведь даже для подачи уведомления в уполномоченный орган оператор должен:
- сформулировать правовые основания, цель и способы обработки персональных данных;
- определить категории обрабатываемых персональных данных и субъектов, чьи данные обрабатываются;
- составить перечень действий с персональными данными;
- изложить меры, которые оператор осуществляет в целях обеспечения безопасности;
- зафиксировать дату начала обработки, срок или условие ее прекращения.
Кстати, в связи с тем, что эти критерии изменяемы с течением времени, такой документ в организации должен поддерживаться в актуальном состоянии.
Помимо этого, настоятельно рекомендуется включить в Положение информацию об основаниях и порядке уничтожения персональных данных, а в качестве приложения добавить форму согласия субъекта персональных данных на обработку таких данных, разработанную с учетом требований ФЗ №152.
Второй шаг
Далее нужно закрепить порядок обработки, т.е. описать все бизнес-процессы компании, связанные с обработкой персональных данных, с указанием конкретных должностных лиц, персональных данных и используемых мер и средств защиты.
Поскольку нормативная правовая база упоминает два способа – с использованием средств автоматизации и без них, то целесообразно на основании анализа деятельности компании разработать две Инструкции о порядке обработки персональных данных. В компании могут применяться оба документа одновременно.
Третий шаг
Обязательно необходим блок административно-распорядительных документов компании. Что в него войдет?
Для начала издайте приказ о назначении должностного лица, ответственного за организацию работы с персональными данными в комплексе, включая организационно-правовые действия и направление технической защиты информации. Именно этот сотрудник будет нести ответственность за осуществление компанией деятельности в качестве оператора персональных данных.
Еще одним приказом настоятельно рекомендуем назначить лиц, ответственных как за автоматизированную обработку персональных данных, так и за обработку без использования средств автоматизации.
Они могут быть из разных областей: специалист по информационной безопасности, юрист или лицо, отвечающее за работу с персоналом.
В этом же приказе можно определить и те должности, при занятии которых сотрудник непосредственно участвует в обработке персональных данных.
Как только эти позиции будут закреплены в приказе по компании, в должностные инструкции каждого специалиста должны быть внесены дополнения, касающиеся работы с персональными данными.
Одновременно с этим компании-оператору необходимо заключить соглашения с работниками о неразглашении персональных данных клиентов компании.
Четвертый шаг
Практика показывает, что только тогда, когда компания смогла сформулировать и принять эти документы, уведомление в Роскомнадзор будет содержать фактическую и осознанную самим оператором информацию о действительном положении дел в компании.
Это позволит избежать жалоб и судебных тяжб с субъектами персональных данных, чьи права могут быть нарушены, а также недоразумений при общении с уполномоченными органами и при проведении контрольных мероприятий. При отправке уведомления не забудьте оставить у себя в деле копию с отметкой о его получении уполномоченным органом.
Безусловно, перечень вышеназванных документов далеко не полон, но в целом отражает структуру организации работы с персональными данными оператора персональных данных. В некотором смысле это типовое решение. Для каждой организации такая система должна учитывать особенности сферы деятельности, бизнес-процессов и структуру компании. При этом следует помнить, что все типовые документы, которые вы сможете отыскать на бескрайнем информационном пространстве Интернета, не выдерживают критики.
Полагаю, что следует начинать с методических пособий, размещенных на существующих легитимных источниках. К примеру, учебно-методическое пособие по курсу повышения квалификации «Обеспечение безопасности персональных данных» издательского дома «Афина» на ресурсах www.shop.inside-zi.ru и www.i-security24.ru.
Пятый шаг
Когда выполнены все шаги, то, как правило, приходит понимание сложившейся картины не только с персональными данными, но и со всей информационной системой, что позволяет руководителю оптимизировать процессы обработки информации в целом и выстроить после этого процессы защиты информации комплексно, а не только персональных данных.
Операторам персональных данных предлагается следующая схема организации защиты персональных данных: при наличии единого управленческого звена в организации необходимо создать техническое направление по формированию обеспечения защиты персональных данных и направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки. Это может быть, например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при учете договоров с субъектами персональных данных). При этом внутренним документом (должностной инструкцией) должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту персональных данных.
В тех случаях, когда компания немногочисленна, как правило, вся ответственность возлагается на руководителя компании, но это не означает, что документацию нет смысла делать.
***
В русском языке много емких и красочных пословиц: «пока гром не грянет…», «работа – не волк…». Но призываю вспомнить не их, а уместную в данной ситуации народную мудрость: «не откладывай на завтра то, что можно сделать сегодня». Только на «первые шаги» с помощью экспертной организации уйдет в среднем три-четыре месяца. Самостоятельно справиться с задачей можно за полгода.
Ответственность при невыполнении требований Закона достаточно серьезна. Кодекс об административных правонарушениях РФ предусматривает за нарушение требований по защите персональных данных административный штраф на должностных и юридических лиц в среднем от 5000 до 500 000 рублей вплоть до приостановления деятельности компании до 90 суток.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|