27 июля 2006 года был принят Федеральный закон «О персональных данных». 27 января 2007 года (за исключением отдельных положений) он вступил в силу.
 

  Под персональными данными в законе понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
  А любое юридическое или физическое лицо, а также государственный или муниципальный орган, организующий и/или осуществляющий обработку персональных данных, а также определяющие цели и содержание такой обработки, получили статус операторов персональных данных.
  С 1 января 2008 года деятельность операторов считается легализованной при наличии регистрации этих операторов в реестре, который ведется Уполномоченным органом по защите прав субъектов персональных данных. В настоящее время таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Уже предусмотрена уголовная и административная ответственность за нарушение положений вышеназванного Закона.
  В соответствии с вышеназванным законом оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий (статья 19 Федерального закона).
  Операторы персональных данных оказываются той категорией, которая в большей степени должна задуматься об организации своей деятельности и привести свои информационные системы, в которых обрабатываются персональные данные, в соответствие с существующим законодательством. Ведь 1 января 2010 года истекает последний из упоминаемых в законе «О персональных данных» сроков, по достижении которого деятельность операторов должна в полной мере соответствовать требованиям закона, а уполномоченные органы государственной власти вправе включать в планы проведения контрольно-надзорных мероприятий полный перечень требований, которые предъявляются к оператору персональных данных.
  Требования к техническим мерам защиты персональных данных, обрабатываемых в информационных системах, определены постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 и детализированы ФСБ России и ФСТЭК России, которые и будут проверять наличие именно технических мер защиты персональных данных у оператора. Необходимо ли их применять? Если да, то какие? Можно ли обойтись без применения таких мер? Ответы на эти вопросы обычно ищут специалисты, которые отвечают в компании за использование информационных технологий и информационную безопасность.
  Помочь найти ответы, а зачастую оказывается, что и снизить финансовые затраты на защиту персональных данных можно, если оператор начнет применять комплекс организационно-правовых мер защиты.
  Эта статья посвящена именно «нетехнической» стороне вопроса защиты оператором обрабатываемых персональных данных, которая, на наш взгляд, наряду с технической, имеет немаловажное значение при соблюдении требований Федерального закона.
  Мы обобщили результаты нашей практической деятельности, и анализ этих результатов предлагаем Вашему вниманию.
  Итак, для соответствия требованиям Федерального закона оператору необходимо провести комплекс мероприятий по организации работы с персональными данными.
  С чего следует начинать?
  Отнюдь не с уведомления, упоминаемого в Законе, и не с выбора мер и средств защиты. Начинать необходимо с четкого определения трех позиций, от которых в основном и будет зависеть соблюдение требований Федерального закона «О персональных данных» и, кстати, и величина затрат на защиту персональных данных.
  Это, во-первых, категории обрабатываемых персональных данных, во-вторых, их объем и, в-третьих, цели обработки.
  В результате во всех организациях должен появиться новый, достаточно объемный пласт документации. Основным документом должно стать Положение об обработке персональных данных компании-оператора, то есть документ, аккумулирующий информацию о персональных данных, обрабатываемых оператором.
  Практика создания такого документа уже существует. Статья 88 Трудового кодекса определяет, что «передача персональных данных работника должна осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись».
  Однако мы рекомендуем иметь такой документ всем операторам, в том числе и операторам-работодателям, которые обрабатывают только персональные данные своих сотрудников. Ведь даже для подачи уведомления в Уполномоченный орган оператор должен определить целый ряд вопросов: сформулировать цель обработки, категории обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, правовые основания обработки, перечень действий с персональными данными, описание способов их обработки, мер, которые оператор осуществляет с целью обеспечения безопасности, должен зафиксировать дату начала обработки, срок или условие ее прекращения.
  Кстати, в связи с тем, что эти критерии изменяемы с течением времени, такой документ в организации должен находиться в актуальном состоянии, то есть быть изменяемым.
  Помимо этой информации, настоятельно рекомендуем включить в такой документ информацию об основаниях и порядке уничтожения персональных данных, а в качестве приложения включить форму согласия субъекта персональных данных на обработку таких данных, разработанную с учетом требований Федерального закона «О персональных данных».
  Следующим документом должен стать документ, закрепляющий порядок обработки персональных данных, то есть описание всех бизнес-процессов компании, связанных с обработкой персональных данных, с участием конкретных должностных лиц, персональных данных и используемых мер и средств защиты.
  Поскольку нормативная правовая база упоминает два способа обработки – с использованием средств автоматизации и без использования таких средств, то целесообразно на основании анализа деятельности компании разработать либо Инструкцию о порядке обработки персональных данных без использования средств автоматизации, либо Инструкцию о порядке обработки персональных данных с использованием таких средств. В компании могут применяться и оба документа одновременно.
  Практика показывает, что только тогда, когда компания смогла сформулировать и принять эти документы, уведомление будет содержать фактическую и осознанную самим оператором информацию о действительном положении дел в компании. Что позволит избежать жалоб и судебных тяжб с субъектами персональных данных, чьи права нарушены, а также недоразумений при общении с уполномоченными органами и при проведении контрольных мероприятий.
  При отправке уведомления не забудьте оставить у себя в деле копию с отметкой о его получении Уполномоченным органом.
  И последний блок – блок административно-распорядительных документов компании.
  Какие они могут быть?
  Во-первых, это приказ о назначении должностного лица, ответственного за организацию работы с персональными данными. Именно в комплексе. Включая организационно-правовое направление и направление технической защиты информации. Именно это лицо будет нести ответственность за осуществление компанией деятельности в качестве оператора персональных данных.
  Еще одним приказом мы настоятельно рекомендуем назначить лиц, ответственных как за автоматизированную обработку персональных данных, так и за обработку персональных данных без использования средств автоматизации. Это могут быть специалисты совершенно разных областей: специалист в области защиты информации и юрист или лицо, отвечающее за работу с персоналом.
  В этом же приказе можно определить и непосредственно те должности, при занятии которых специалист принимает участие в обработке персональных данных.
  Как только эти должности будут закреплены в приказе по компании, в должностные инструкции должны быть внесены дополнения, касающиеся работы с персональными данными каждого специалиста.
  Одновременно, с этими специалистами компании-оператору необходимо заключить соглашения о неразглашении персональных данных клиентов компании.
  Перечень предлагаемых документов далеко не полон, но отражает в целом структуру организации работы с персональными данными компании-оператора, работающей с персональными данными клиентов. Это в определенной степени типовое решение.
  Для каждой организации такая система должна учитывать особенности сферы деятельности, бизнес-процессов и структуру компании. Иногда организации бывает сложно разработать самостоятельно полный пакет документов. В таких случаях следует привлекать специалистов, работающих в сфере персональных данных. В любом случае это обойдется дешевле, чем последствия от приостановления деятельности компании-оператора или длительной судебной тяжбы.
  Соответствовать требованиям Закона или не соответствовать – решать каждому оператору самостоятельно. Эта статья для тех операторов, кто не просто страхуется от нежелательных проверок, а уважает сотрудников своей компании и заботится о своих клиентах.