Разработка документов по защите персональных данных

В данной публикации мне хотелось бы продолжить тему о защите персональных данных, начатую моим соавтором в предыдущем посте.

Высказывание «страшно далеки они от народа» в отношении людей, принимающих решения на государственном уровне, актуально во все времена. Вот и с законом 152-ФЗ «О защите персональных данных» получилось так же. Казалось бы, идея сама по себе неплохая и даже очень своевременная. Действительно, практически у каждого из нас сегодня есть мобильный телефон, электронная почта, дисконтные карты,  кредиты, банковские карты, электронные кошельки и другие «удобства» современной цивилизации. Собственно, напрягает не тот факт, что для  обладания любым из этих достижений человечества нам приходится в добровольно-принудительном порядке предоставлять свои персональные данные, а тот, что эти данные непонятным образом оказываются совершенно не у тех субъектов, которым они были собственноручно нами предоставлены. С этой точки зрения, закон просто необходим. Но выполним ли он с точки зрения практического применения? Давайте порассуждаем.

Любой работодатель, имеющий в своем подчинении хотя бы одного сотрудника, будет предпринимать определенные действия, чтобы из его организации не было «утечки» информации любого рода. Наверняка, в любой организации, имеющей хотя бы один компьютер с или без выхода в Интернет, существует какая-либо система защиты, исключающая несанкционированную «утечку» данных. Если же такая «утечка» все же произойдет, работодатель сам предпримет необходимые меры по предотвращению в последующем аналогичных ситуаций. А если подобная «утечка» санкционирована самим работодателем, то, согласитесь, подобный закон вряд ли удержит человека, желающего заработать нечестным путем (мало, что ли, у нас пиратских видео и аудио дисков? Или с ними не пытаются бороться?).

Закон 152-ФЗ должна применять любая организация независимо от ее размера и вида деятельности. В любой организации есть сотрудники, персональные данные которых необходимы для начисления им заработной платы, исчисления налогов и т.п. А уж если ваши клиенты — физические лица, то, скорее всего, ваша информационная система, обрабатывающая персональные данные, относится к классу, требующему вполне конкретного уровня защиты в соответствии с данным законом. Представьте себе малое предприятие с минимальным количеством сотрудников (директор, бухгалтер, менеджер) и оборотами, еле покрывающими издержки (кризис, как-никак!). Кто должен заниматься реализацией закона 152-ФЗ?

Для реализации закона 152-ФЗ были приняты документы, описывающие механизмы его применения (в частности, Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России 14.02.2008, и Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России 15.02.2008). Казалось бы, учитывая их назначение,  эти документы должны разъяснять закон 152-ФЗ и показывать способы реализации его требований. Однако, думаю, со мной многие согласятся, эти документы только еще больше запутывают и делают закон 152-ФЗ практически невозможным для применения человеком, не являющимся специалистом в области защиты информации. Отсюда следует вполне закономерный вывод: каждым делом должен заниматься специалист, а не дилетант. Значит, в каждой организации должен быть специалист, обладающий соответствующей квалификацией и знаниями. (Мне это напоминает историю начала 2000-х годов о необходимости наличия инженера по технике безопасности в любой организации, использующей в своей деятельности хотя бы один инструмент или технический прибор, например, компьютер.) Либо организация может заказать (купить) услугу по разработке системы защиты персональных данных у другой организации, имеющей соответствующих сотрудников (удовольствие, надо сказать, не из дешевых!). Таким образом, даже если работодатель уверен в отсутствии угрозы безопасности  информационной системы в своей организации, он все равно может попасть на штраф (причем, немалый!) за то, что не предпринимал никаких действий, направленных на выявление и устранение возможных угроз.

Получается, законодатели хотели «как лучше» — защитить нашу персональную информацию от незаконного распространения, а получилось «как всегда» — очередной закон-профанация, кормушка для проверяющих и тысяча первый способ честного отъема денег у предпринимателей консалтинговыми фирмами.

Отсюда напрашивается вывод: спасение утопающих – дело рук самих утопающих. Применительно к рассматриваемой теме: не считаешь нужным платить деньги другим (в виде штрафа или в виде оплаты за навязанные услуги), самостоятельно разработай и оформи документально комплекс мер по защите персональных данных в соответствии с требованиями закона 152-ФЗ.

Честно говоря, я сама начала действовать только после того, как в очередной раз прочитала об уголовной ответственности руководителя за невыполнение требований закона 152-ФЗ. К сожалению, при всем разнообразии публикаций на эту тему, практических рекомендаций и примеров по оформлению необходимых документов я нашла очень мало. Поэтому, надеюсь, мой опыт и мои документы окажутся кому-то полезными.

Читайте продолжение: Документальное оформление мероприятий по обеспечению защиты персональных данных

Статьи по теме:

Расходы на разработку документов по обеспечению безопасности обработки персональных данных учитываются при УСН

Еще об одном примере непродуманного закона читайте:

Подайте на домик для бездомных поросят, или Где взять юридический адрес

А вот положительный пример внесения «правильных» изменений в первоначально непродуманный закон:

Изменен порядок проведения аттестации рабочих мест

2 комментария to “Разработка документов по защите персональных данных”

Leave a Reply

Advertisement
Рубрики
Страницы
Архивы
Счетчики
Яндекс.Метрика