31.10.2008

Персональные данные. Что делать рынку?

img_small_106

Автор: Михаил Емельянников

Должность: Директор по развитию бизнеса

Тем предприятиям и организациям, которые не готовы принять риски, связанные с санкциями государственных органов, входящих в систему контроля и надзора за обработкой персональных данных, пора принимать неотложные меры, которые схематично можно свести к следующему.

Во-первых, начать надо с выявления наличия информационных систем, обрабатывающих персональные данные, и определения оснований для их обработки, особенно в вопросе передачи третьим лицам, если  письменное согласие субъектов на это отсутствует. А это так и будет в большинстве случаев!

Для выявленных информационных систем придется определить всех пользователей и документально оформить их допуск к работе с ПДн в виде утвержденного руководителем организации (предприятия) списка.

Там, где это требуется (т.е. где нет согласия субъекта, или договора с ним, или прямого основания для обработки в одном из федеральных законов), придется искать способы получения согласия субъектов, и добывать эти самые согласия.

Во-вторых, весьма целесообразно было бы определить конкретный состав персональных данных для каждой ИСПДн, т.е. сформировать перечни ПДн применительно к особенностям их обработки каждым оператором.

Следующими шагами должны стать классификация ИСПДн  и анализ существующих мер защиты, используемых в системе, определение того, что нужно сделать для приведения их в соответствие с требованиями закона, Постановления Правительства РФ 2007 г. № 781, требованиями регуляторов – ФСБ и ФСТЭК, а также практическая реализация таких мер. Системы первого, второго и распределенные третьего класса защищенности надо готовить к аттестации (сертификации) по требованиям безопасности, а операторам систем  первого и второго класса получать лицензии ФСТЭК на техническую защиту конфиденциальной информации или отдавать ее лицензиатам на аутсорсинг.

Если конкретный оператор не подпадает под исключения, предусмотренные законом, придется  подготовить и направить в Россвязькомнадзор уведомление об обработке персональных данных.

Конечно, можно всего этого не делать и ждать, пока система заработает в полную силу. Но для некоторых операторов это чревато. Чревато санкциями, вплоть до уголовной ответственности. В уполномоченном органе говорят, что жалоб граждан для начала судебного преследования уже накопилось достаточно.