Первые шаги к январю. О соблюдении требований №152-ФЗ операторами

	ЕЛЕНА ГОЛОВАНОВА, генеральный директор компании «ИнфоТехноПроект»
	ВИКТОР МИНИН, член правления МОО СОДИТ

Первые шаги к январю
О соблюдении требований №152-ФЗ операторами

Члены Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) решили проинформировать ИТ-сообщество о тех шагах, которые необходимо выполнить, независимо от назначения новой критической даты – 1 января 2011 года

В соответствии с Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» оператор при их обработке обязан предпринимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст. 19).

Операторы ПДн оказываются той категорией, которая в большей степени должна задуматься об организации своей деятельности в соответствии с существующим законодательством и провести комплекс определенных мероприятий. При этом первый шаг не должен быть связан с информационными системами, в которых обрабатываются персональные данные. Он должен быть направлен на бизнес-процессы, т.е. внутрь самой организации – оператора персональных данных. Как говорится, надо войти в организацию и ответить на основные вопросы: кто, что и когда.

Кто?

Независимо от того, будет ли приглашен для выполнения данного проекта сторонний исполнитель или нет, руководству компании придется создавать внутреннюю комиссию (рабочую группу), в состав которой войдут руководители направлений (отделов) – владельцы информационных ресурсов, в которых потенциально есть персональные данные. Пример таких подразделений – бухгалтерия, кадры, юридический отдел, отдел по работе с клиентами. Таким образом, в состав комиссии должны войти: руководитель финансового блока, начальник кадров, юрист, начальник по работе с клиентами, руководители ИТ-службы и ИБ-службы (если таковая имеется), начальник службы безопасности. Руководство этой комиссией возлагается на первое лицо компании или на одного из его замов, курирующих ИТ или безопасность.

Что?

С чего же следует начинать? Отнюдь не с уведомления, упоминаемого в законе, и не с выбора мер и средств защиты информационной системы, в которой обрабатываются ПДн. Начинать надо с четкого определения трех основных позиций, от которых в основном и будет зависеть соблюдение требований ФЗ (кстати, и величина затрат на защиту персональных данных): категории обрабатываемых ПДн, объема и цели их обработки. В результате во всех организациях должна появиться документация, регулирующая все вопросы обработки персональных данных.

Первый шаг

Основным должно стать «Положение об обработке персональных данных компании-оператора», т.е. документ, аккумулирующий информацию о ПДн, обрабатываемых оператором. Практика его создания уже существует: так, пункт 8 статьи 86 ТК РФ определяет, что «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Впрочем, такой документ полезно иметь всем операторам, а не только тем, кто обрабатывает данные лишь своих сотрудников. Ведь даже для подачи уведомления в уполномоченный орган оператор должен: сформулировать правовые основания, цель и способы обработки ПДн; определить категории обрабатываемых ПДн и субъектов, чьи данные обрабатываются; составить перечень действий с персональными данными; изложить меры, которые оператор осуществляет с целью обеспечения безопасности; зафиксировать дату начала обработки, срок или условие ее прекращения.

Кстати, в связи с тем, что эти критерии меняются с течением времени, такой документ в организации тоже должен быть изменяемым. Помимо этого настоятельно рекомендуем включить в положение информацию об основаниях и порядке уничтожения персональных данных, а в качестве приложения включить форму согласия субъекта персональных данных на их обработку, разработанную с учетом требований ФЗ №152.

Второй шаг

Далее нужно закрепить порядок обработки, т.е. описать все бизнес-процессы компании, связанные с обработкой ПДн, с указанием конкретных должностных лиц, персональных данных и используемых мер и средств защиты. Поскольку нормативная правовая база упоминает два способа – с использованием средств автоматизации и без них, то целесообразно на основании анализа деятельности компании разработать две инструкции о порядке обработки ПДн. В компании могут применяться и оба документа одновременно.

Третий шаг

Обязательно необходим блок административно-распорядительных документов компании. Что в него войдет?

Для начала издайте приказ о назначении должностного лица, ответственного за организацию работы с персональными данными – в комплексе, включая организационно-правовые действия и направление технической защиты информации. Именно это лицо будет нести ответственность за осуществление компанией деятельности в качестве оператора персональных данных.

Еще одним приказом настоятельно рекомендуем назначить лиц, ответственных как за автоматизированную обработку ПДн, так и за обработку персональных данных без использования средств автоматизации. Они могут быть из разных областей: специалист по ИТ или ИБ, юрист или лицо, отвечающее за работу с персоналом. В этом же приказе можно определить и те должности, при занятии которых сотрудник непосредственно участвует в обработке персональных данных. Как только эти позиции будут закреплены в приказе по компании, в должностные инструкции каждого специалиста должны быть внесены дополнения, касающиеся работы с ПДн. Одновременно с этим компании-оператору необходимо заключить соглашения с работниками о неразглашении персональных данных клиентов компании.

О мелочах

Практика показывает, что только тогда, когда компания смогла сформулировать и принять эти документы, уведомление будет содержать фактическую и осознанную самим оператором информацию о действительном положении дел в компании. Это позволит избежать жалоб и судебных тяжб с субъектами персональных данных, чьи права нарушены, а также недоразумений при общении с уполномоченными органами и при проведении контрольных мероприятий надзорными органами. При отправке уведомления не забудьте оставить у себя в деле копию с отметкой о его получении уполномоченным органом.

О схемах работ

Перечень предлагаемых документов далеко не полон, но в целом отражает структуру организации работы с персональными данными оператора ПДн. В некотором смысле это типовое решение. Для каждой организации такая система должна учитывать особенности сферы деятельности, бизнес-процессов и структуру компании.

Подводя итог, предлагаем операторам следующую схему организации защиты персональных данных: при наличии единого управленческого звена в организации необходимо создать техническое направление по формированию обеспечения защиты ПДН – и это, как правило, ИТ- и ИБ-подразделения. И направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки. Это может быть, например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при учете договоров с субъектами ПДн). При этом внутренним документом (должностной инструкцией) должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту персональных данных.

Когда?

Призываем не откладывать, по русской традиции, «на потом» первый шаг, потому как выполнение данной работы с привлечением экспертной организации занимает в среднем три-четыре месяца. При выполнении этих работ собственными силами процесс может занять от трех до шести месяцев, а до обозначенной законом даты осталось не так много.

Комментарии могут оставлять только зарегистрированные пользователи