Поделиться
Где узнать все о персональных данных?
Операторам персональных данных приходится искать баланс между требованиями регулятора и защитой прав клиентов на конфиденциальность. Чтобы всегда быть в курсе последних новостей в этой области, поможет лишь одно - специализированный журнал "Персональные данные".В последние годы повсеместная автоматизация сбора и обработки данных социально-экономического характера поставила на первый план такую проблему, как защита персональных данных. Необходимо разделять позиции законодателя в отношении операторов, которые обязаны обрабатывать персональные данные согласно требованиям федерального закона №152-ФЗ "О персональных данных" и в отношении субъектов персональных данных, права которых должны быть защищены посредством, в первую очередь, законопослушности операторов, а во вторую - обеспечением контроля и надзора за защитой прав субъектов персональных данных уполномоченным органом.
Таким образом, операторы персональных данных (операторы ПД) оказываются той категорией, которая в большей степени должна задуматься об организации своей деятельности в соответствии с существующим законодательством. Вполне вероятно, что проблемы охраны персональных данных с каждым годом будут приобретать все большее общественное значение. Активисты движения в защиту неприкосновенности частной жизни во многих странах лоббируют законодательство, требуют установления все более и более строгих правил обращения с персональной информацией. Причем именно "нетехническая" сторона вопроса защиты обрабатываемых оператором персональных данных, на наш взгляд, имеет, наряду с технической, немаловажное значение при соблюдении требований вышеуказанного закона.
Именно с целью соблюдения таких требований во всех организациях должен появиться новый, достаточно объемный пласт документации.
Документы для оператора
Какие же документы нужны оператору для организации работы по защите персональных данных, чтобы быть, в том числе, готовым к проверкам, которые проводятся Уполномоченным органом? Во-первых, это документы, связанные с получением согласия физических лиц на обработку их персональных данных, за исключением случаев, предусмотренных законом. Другой важный аспект, связанный с защитой персональных данных, - наличие в организации нормативного документа, аккумулирующего информацию о персональных данных, обрабатываемых оператором. Его необходимость объясняется тем, что всем операторам нужно, в первую очередь, для себя, закрепить документально основные понятия обработки конкретных персональных данных субъектов. Для этого есть несколько причин. Во-первых, у него есть обязанность представить субъекту персональных данных на основании обращения, запроса информацию, касающуюся обработки его персональных данных. Во-вторых, существование такого документа необходимо в связи с требованиями, предъявляемыми к технической защите обрабатываемых оператором персональных данных. Приказом ФСТЭК, ФСБ и Мининформтехнологии от 13.02.08 №55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных" при классификации информационных систем с целью определения уровня их защиты и степени расходования средств организации на техническую защиту персональных данных субъектов учитываются категории обрабатываемых персональных данных и их объем. Соответственно, возникает необходимость такую информацию фиксировать и документировать.
В-третьих, формулирование, в частности, понятия цели обработки поможет оператору обосновать в спорных случаях отсутствие согласия субъекта персональных данных в случаях, когда такая возможность предусмотрена Федеральным законом №152-ФЗ "О персональных данных" (ч. 2 ст.6), потому что законодатель, описывая такие случаи, привязывает их описание к понятию "цель обработки".
В-четвертых, проверяющий уполномоченный орган, выясняя причину нарушения тех или иных положений законодательства в сфере персональных данных, будет ориентироваться, в первую очередь, на соблюдение принципов Федерального закона №152-ФЗ "О персональных данных" (ст.5), которые могут быть проверены только на основании документа (документов) по организации защиты персональных данных.
Конечно, это лишь малая часть требований, предъявляемых к "нетехнической" стороне защиты персональных данных. В рамках одной статьи описать все нюансы, которые необходимо знать оператору ПД для того, чтобы осуществлять свою деятельность на законных основаниях, просто невозможно. Также невозможно в двух словах рассказать и о том, как оператор ПД должен обеспечивать сохранность используемых им в информационных системах данных, с помощью каких технических средств защищать их от взлома.
Необходимо знать
Мы все чаще сталкиваемся с тем, что нарушение целостности информационных баз происходит не из-за атак хакеров или целенаправленного взлома информационных систем, а из-за халатности сотрудников организации, элементарного незнания ими правил информационной безопасности работы с персональными данными. Это человеческий фактор, который не поддается полному и безусловному контролю. Конечно, никто не говорит о том, что внутренние риски информационной безопасности опаснее внешних. Но именно недостаток внимания к процессу работы с персональными данными внутри организации приводит как раз к разного рода утечкам, а иногда и к судебным разбирательствам, которые могут окончиться весьма плачевно. Лишение лицензии, гражданская, административная и даже уголовная ответственность – именно такими могут быть последствия невнимательного отношения к вопросам защиты персональных данных, обрабатываемых организацией.
Поэтому именно сейчас, спустя два года после вступления в силу профильного закона о персональных данных, когда накоплен определенный опыт работы с персональными данными, когда субъекты персональных данных уже начали обращаться за защитой своих прав в суды, стало очевидно, что на рынке СМИ должны появиться издания, которые будут призваны ликвидировать все пробелы, связанные с нехваткой информации о нормативно-правовом регулировании процессов хранения и обработки персональных данных субъектов, о средствах и мерах технической защиты персональных данных и т.д.
Первым и на данный момент единственным изданием, полностью посвященным проблемам обработки и хранения персональных данных, стал информационно-аналитический журнал "Персональные данные".
Какую полезную информацию оператор персональных данных может найти на страницах журнала? Это публикации мнений экспертов-аналитиков, представителей операторов персональных данных и уполномоченных федеральных органов исполнительной власти. Что контролирующие органы потребуют от оператора в случае проверки, как она будет осуществляться, к каким вопросам необходимо быть готовыми? Об этом можно будет узнать из постоянных рубрик: "Тема номера", "В коридорах власти", "Защищая свои права". Безусловно, читателям, которые только начинают свой путь в качестве оператора ПД будут интересны и практические рекомендации тех, кто уже непосредственно работает в сфере персональных данных. Компании-разработчики программного обеспечения расскажут, как с помощью их продукции можно обеспечить безопасность информационной системы, вариантов построения которой очень много.
Журнал "Персональные данные" открыт для диалога – это поможет сделать журнал полезным любому оператору персональных данных, независимо от того, в какой сфере он работает, и какой объем персональных данных им обрабатывается.
Редакция журнала "Персональные данные"
Контактная информация:
Тел.: (495) 931-62-55
E-mail.: redaktor@privacy-journal.ru
На правах рекламы
Поделиться
Короткая ссылка
