С 1 января 2011 года в полную силу вступает закон 152 – «О персональных данных». Что он нам сулит? Попытаемся рассмотреть его с точки зрения наших клиентов – компаний, которым разрабатывается программное обеспечение на заказ.
Сам по себе закон призван навести порядок в различных компьютерных системах, которые занимаются обработкой персональных (личных) данных. Не секрет, что на радиорынках можно приобрести самые разные базы: прописку, ГИБДД, телефонные и т.д. Раз такие базы есть – значит где-то произошла утечка информации. Для предотвращения таких случаев необходим ряд мер: как технических, так и административных. Закон 152 как раз и описывает эти меры, а если быть точнее – порядок их применения.
Итак, в вашей организации есть компьютеры и встает вопрос: что вы должны сделать согласно закону?
Ответим последовательно на ряд вопросов.
1. Являетесь ли вы оператором персональных данных? Под персональными данными понимаются личные данные физического лица: ФИО, дата рождения, семейное положение, образование, доходы и другая информация. По оператором персональных данных понимается лицо, ведущее обработку таких данных. В термин «обработка» по закону входит даже хранение данных, так что ответ на этот вопрос, скорее всего, будет утвердительным. А если нет – то вас и не касается этот закон. Подробнее – см. статью 3.
2. Далее необходимо определить, необходимо ли вам «становиться на учет» в контролирующем госоргане. Если да, то вам предстоит немало работы, более подробно см. п. 3. Но, к счастью, согласно статье 22 закона, есть множество ситуаций, в которых это делать не нужно. Приведем выдержку:
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Если вы характер обработки персональных данных относится к одному из описанных случаев – поздравляем! В большинстве организаций в числе персональных данных как раз фигурируют либо личные данные сотрудников (п.1), либо данные контрагентов (п.2).
3. Если вам все же необходимо проходить сертификацию, то вам необходимо будет сначала определить класс системы обработки личных данных, затем подготовить соответствующие документы для подачи их в государственный орган.
Всего предусматривается 4 категории (класса) систем:
- категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
- категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
- категория 4 - обезличенные и (или) общедоступные персональные данные.
Если у в систему входят подсистемы, то общая категория системы присваивается по самому слабому звену: например, если один компонент категории 4, а второй – категории 1, то итоговая категория системы будет 1.
Чем строже категория системы – тем больше регламентных процедур нужно выполнить, чтобы получить сертификат соответствия данному классу.
В качестве компонентов системы фигурирует и программное обеспечение, используемое в них. В этой части все зависит от разработчиков ПО: получили они нужный сертификат или нет. Например, Microsoft получила сертификаты на все основные продукты.
Отдельного внимания заслуживает 2-я категория, а именно – формулировка «дополнительную информацию». К сожалению, трактовать ее можно как угодно. И система 3-й категории запросто может превратиться в систему 2-й категории. Пока закон не вступил в полную силу и сложно сказать, как именно трактовать данную формулировку будут проверяющие лица.
Данная статья является ознакомительной. Мы привели лишь вводную информацию о данном законе. Если вы хотите разобраться во всех определениях и процедурах более детально, приводим дополнительные ссылки:
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных
Приказ об утверждении порядка проведения классификации информационных систем персональных данных - содержит более подробную информацию о том, как определяется категория (класс) системы обработки персональных данных.
Комментарии
Комментариев нет!
Добавить комментарий
