Закон просвистел мимо, но скоро вернется
В конце прошлого года для российского бизнеса обозначились перспективы немалых дополнительных расходов.
С 1 января 2010 года должен был вступить в силу закон 152-ФЗ «О персональных данных». Однако пронесло, в декабре это событие отложили на год. Но перспективы остались в силе, и помнить о них надо.
Еще в 1981 году Россия присоединилась к Европейской Конвенции «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах. Не буду утверждать, что у них на рынке нельзя как у нас купить базы данных с конфиденциальной информацией о гражданах, но там это уже считается дурным тоном. Затем в 2005 году осторожные европейцы запретили своим гражданам и бизнесу передавать свои персональные данные в страны, где законодательно не обеспечена их охрана. А это как раз к нам! Из-за этого сразу оказался заблокирован ряд транснациональных проектов с участием российского бизнеса.
Наши законодатели для успокоения европейских партнеров 27 июля 2006 года приняли закон 152-ФЗ, а для своего спокойствия оставили в нем условие, что вступает он в силу с 01.01.2010. На том о проблеме и забыли.
Вспомнили только в конце прошлого года организации, которым поручено контролировать выполнение закона – ФСБ и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Не без удовольствия объяснили, какие штрафы придется платить и за что. До конца года есть, о чем подумать.
Что надо защищать
Защищать надо всю информацию о любом человеке, степень защиты зависит от разных факторов. Прежде всего от категории информации. Таких четыре:
категория 1 (самая секретная) - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни (к примеру, документы медицинских учреждений);
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных (паспорт, ИНН и т.п.);
категория 4 - обезличенные и (или) общедоступные персональные данные (попросту ФИО).
Еще требования к защите зависят от объема обрабатываемых персональных данных, но для наших читателей к счастью интересна лишь самая простая категория – с данными на менее чем 1000 человек.
Защищать персональные данные надо независимо от того, находятся они в компьютерах или в бумажном виде. Причем не только от несанкционированного доступа, но и от утери (уничтожения).
Как защищать
В простейшем случае, если в бухгалтерском компьютере хранится лишь информация о работниках, можно обойтись организационными мерами:
- обычные бюрократические дела – назначить ответственного, разработать план мероприятий, возложить контроль, и т.п.,
- утвердить акт классификации своих информационных систем, составленный ответственным лицом,
- получить от каждого человека письменное разрешение на обработку его персональных данных,
- издать приказы о допуске к этим данным ограниченного круга лиц,
- организовать хранение, двери железные, компьютерные пароли, резервное копирование.
Случай перестает быть простейшим, если персональные данные передаются по компьютерной сети. Тогда потребуется система шифрования этих данных. Если из локальной сети есть выход в Интернет, то ее нужно обезопасить от внешнего врага специальными программами.
Позже мы расскажем о более конкретных требованиях, которые обещают разработать и опубликовать контролирующие органы. Однако следует помнить, что их интерес к вам обострится к началу следующего года.