Защита персональных данных

1 января 2010 года вступают в силу требования Федерального закона №152-ФЗ «О персональных данных», согласно которым все предприятия, в той или иной степени участвующие в обработке персональных данных своих клиентов или работников, обязаны привести информационные системы в соответствие с нормами закона и специальными нормативными документами в сфере защиты информации.

Глава Правовой комиссии Российского союза туриндустрии Георгий Мохов поясняет, что закон относит к персональным данным любые сведения, позволяющие определить физическое лицо – фамилия, имя, отчество, адрес, год, месяц, дата и место рождения, социальное, семейное, имущественное положение и другая информация. Соответственно все предприятия, получающие такие сведения, относятся к категории «оператор персональных данных» и должны следовать закону в процессе любых операций с персональными данными, включая сбор, накопление, систематизацию, уточнение (обновление, изменение), хранение, использование, распространение (в том числе передачу), блокирование, обезличивание, уничтожение персональных данных.

В целях исполнения закона осуществляются мероприятия по защите информации – разрабатывается комплекс организационно-распорядительных документов, отражающих регламенты защиты информации, действующие на предприятии, такие как доступ к информации, процедура защиты информации от несанкционированного копирования, обязанности сотрудников и порядок их допуска к информации и прочее. Кроме того, должен быть соблюден ряд технических требований к применяемым автоматическим системам хранения информации (ПО) и обеспечение инженерно-технической защиты помещений, в которых расположены системы.

Уровень необходимой защиты информации и «серьезность» требований, зависят от категории, определяемой исходя из способов и объема обработки персональных данных.

Закон выделяет следующие категории:

- категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

- категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

- категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;

- категория 4 – обезличенные и (или) общедоступные персональные данные.

Предприятие, являющееся оператором персональных данных, обязано уведомить федеральный орган в сфере связи и массовых коммуникаций – Роскомнадзор, о намерении осуществлять такую обработку и указать цели обработки персональной информации. Закон предусматривает ряд исключений, при которых уведомление Роскомнадзора не требуется, в частности, когда данные получены и обрабатываются в связи с исполнением договора и далее не распространяются, но это не избавляет от необходимости соблюдать требования закона к порядку обработки и хранения персональных данных.