Защита персональных данных: как рынку вырваться из противоречий?
Федеральный закон № 152-ФЗ от 27.07.2006 "О персональных данных" действует уже четыре года, однако в части выполнения технических требований вступление его в силу постоянно откладывается – на сей раз до 1 июля 2011 г. При этом в полном объеме к нему не готовы ни операторы, ни регуляторы. В ближайшее время ожидается принятие поправок, которые сделают его исполнение более реальным. О том, что они изменят, в чем основные сложности, насколько они преодолимы и как компаниям все же "соблюсти букву закона", говорили участники круглого стола "Защита персональных данных: помогут ли отсрочки, организованного CNews Analytics совместно с CNews Conferences.Отсрочки принесли положительные для операторов ПДн изменения. В опубликованных документах ФСТЭК (по сравнению с первоначальными версиями ДСП) отменены требования обязательной аттестации ИСПДн, получения лицензии на ТЗКИ и использования сертифицированных СЗИ, что значительно облегчает и удешевляет для операторов исполнение закона 152-ФЗ.
Можно сэкономить
Поскольку рано или поздно отсрочки исчерпают себя, всем операторам ПДн придется задуматься о том, как выполнить требования 152-ФЗ при минимальных для себя издержках. Своим опытом поделился Сергей Миронов, начальник отдела информационной безопасности "Акадо-Столица".
Возможны различные способы снижения издержек. Например, объединение всех серверных систем в одну информационную систему — тогда защищать и аттестовывать придется только одну.
Другой метод - минимизация объема персональных данных, обрабатываемых на рабочих местах, и объединение их в соответствующие информационные системы. Это позволяет снизить класс аттестуемой системы. Например, ИС операторов call-центра, ИC бухгалтерии.
Уменьшить затраты на эту процедуру также можно за счет обезличивания сведений. Например, в личном кабинете ФИО можно заменить на имя и отчество. Тогда система вообще перестает считаться обрабатывающей персональные данные.
Следует также уделить внимание более точному наименованию информационных объектов, чтобы исключить использование персональных данных. Например, вместо адреса абонента использовать – "адрес установки оборудования", вместо мобильного и домашнего телефона – "контактный телефон".
Несколько спорным показалось предложение г-на Миронова заключать и хранить договоры с абонентами только в бумажном виде. Конечно, при этом в системе никакие персональные данные не обрабатываются, но сможет ли она адекватно выполнять свои задачи? Бизнес-процесс, построенные на бумажных документах не могут быть достаточно оперативными.
ИБ-особенности регистрации доменов
Александр Панов, управляющий партнер компаний Hosting Community, осветил специфику работы с персональными данным в бизнесе регистрации доменных имен. Фактически весь этот бизнес построен на обработке персональных данных, что позволяет установить и защитить права физических лиц на обладание теми или иными доменными именами. Однако это автоматически относит ИС регистратора доменных имен к первой категории.
Он обратил внимание на проблемы для бизнеса, которые возникают вследствие негармонизированности законодательства. Так, например, согласно ГК, договор в форме оферты заключить можно, однако на обработку персональных данных обязательно нужно письменное согласие субъекта ПДн.
Надо отдать должное, что этот процесс совершенствуется, и нам не будут нужны отсрочки тогда, когда количество несоответствий в законодательстве будет минимальным. Кроме того, по его мнению, некоторые противоречия лежат в самой бизнес-модели. Например, архивные копии реестра должны передаваться на хранение в американскую компанию Iron Mountain, т. е. возникает трансграничная передача ПДн.
А иногда дополнительные персональные данные собираются по инициативе правоохранительных органов. В частности, они потребовали собирать сканы паспортов, что сразу усложнило задачу защиты.
По мнению г-на Панова, отсрочки дают время законодателям согласовать требования по защите персональных данных с другими действующими законами. Наименее готовы к выполнению 152-ФЗ школы, больницы, государственные учреждения, которые не имеют в штате специалистов по ИБ и ограничены в своем бюджете.
Малые компании, которые не смогут самостоятельно обеспечить защиту ПДн, начнут пользоваться услугами крупных, и это логично, потому что последние уже инвестировали значительные средства в защиту персональных данный и помогут всем остальным.
Практика покажет
Наталья Долганова, зам. начальника отдела юридического департамента управляющей компании "КапиталЪ", рассказала о реализации организационных мер защиты персональных данных в соответствии с требованиями законодательства.
Ведь закон "О персональных данных" действует с 2006 г., за исключением только части требований по защите информационных систем ПДн, и операторы должны выполнять его требования. Им следует определить состав, цели и условия обработки ПД, уведомить уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку ПД.
Особое внимание стоит обратить на наличие трансграничной передачи ПДн, а также тщательно проработать все юридические вопросы. Поскольку сам закон "О персональных данных" появился вследствие ратификации Конвенции Совета Европы о защите физлиц при автоматизированной обработке ПДн, то отношения с европейскими странами выстраиваются проще. А вот американское или канадское законодательство в области ПДн отличается сильнее.
Нужно учесть и ряд других нюансов, связанных с обработкой ПДн, в частности, провести проверку наличия обработки специальных категорий ПДн, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядов, состояния здоровья, интимной жизни.
В целом можно сказать, что выполнение организационных мер по обработке ПДн и надлежащее документирование этой деятельности значительно снижают риски конфликтов с регулятором и утечки персональных данных.
Презентации участников круглого стола