Нецензурные заметки Евгения Сивкова о российском консалтинге - Евгений Сивков
Шрифт:
Интервал:
Источники закона:
В ФЗ-152 «О персональных данных» изменения вносились дважды. Сначала корректировке подверглись статьи 19 и 25 (Федеральный закон Российской Федерации от 27 декабря 2009 г. N363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»). Если ст. 19 претерпела лишь технические правки, то ч. 3 ст. 25 была изложена в новой редакции:
Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года».
Чуть позднее еще 9 поправок внес Федеральный занон Российсной Федерации от 25 июля 2011 г. N261-ФЗ г. Моснва «О внесении изменений в Федеральный занон «О персональных данных». И снова корректировки коснулись сроков приведения в соответствие с ФЗ-152 «О персональных данных», ст. 3 п. 2: «Действие положений Федерального закона от 27 июля 2006 года Ν152-Φ3 «О персональных данных» (в редакции настоящего Федерального закона) распространяется на правоотношения, возникшие с 1 июля 2011 года».
Сопутствующие документы, сопровождающие реализацию закона:
Требования к обеспечению безопасности ПД установлены Правительством РФ. (Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»). В Положении установлены требования к обеспечению безопасности ПД при их обработке в ИСПД. в частности, п, 3 закреплено, что методы и способы защиты информации в информационных системах устанавливаются регуляторами в пределах их полномочий.
Регулирует отношения между лицензиатами и лицензирующими органами Федеральный закон Российской Федерации от 8 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности». Там же дан перечень отдельных видов деятельности, которые подлежат обязательному лицензированию, в том числе деятельность по технической защите конфиденциальной информации (п. 11, ч. 1, ст. 17 закона РФ № 128-ФЗ «О лицензировании отдельных видов деятельности»).
Порядок лицензирования деятельности по защите ПД утвержден в Постановлении Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите информации». Там же содержатся требования и условия для соискателя лицензии.
Сроки и алгоритм действий сотрудников Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК) относительно их полномочий по лицензированию устанавливает Административный регламент ФСТЭИ России по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭИ России от 28 августа 2007 г. № 181.
Сразу поставим точки на «ί»; нормы ФЗ-152 «О персональных данных» распространяются только в отношении сбора, хранения и обработки персональных данных граждан (физических лиц). Сфера действия закона не распространяют свое действие в отношении юридических лиц или индивидуальных предпринимателей. Но, не смотря на это, не стоит торопится с выводами. Поводом для срочного исполнения требований закона ФЗ-152 «О персональных данных» может стать любой из нижеперечисленных признаков:
• организация работает с клиентскими базами, содержащими телефоны и адреса;
• в организации есть отдел кадров, где ведутся личные дела сотрудников (ФИО, паспортные данные и т. д.);
• организация ведет для налоговых органов учет доходов своих работников;
• организация развивает бонусные программы и собирает контактные данные клиентов;
• маркетинговые службы организации используют телефонные базы для привлечения новых партнеров и клиентов.
Каждый оператор персональных данных имеет право действовать только на основании лицензии на право осуществления деятельности в порядке, установленном Постановлением Правительства № 504 от 15.08.2006.
К вопросу о терминологии… Необходимо четко понимать, кто же является оператором ПД, а точнее, субъектом ФЗ-152 «О персональных данных».
Под «Операторами» подразумеваются:
• юридические лица и индивидуальные предприниматели, осуществляющие сбор, хранение и обработку персональных данных граждан-физлиц;
• государственные органы всех уровней, осуществляющие сбор, хранение и обработку персональных данных граждан – физлиц (но они под действие закона «О лицензировании» не подпадают).
В отдельную категорию попадают адвокатские и аудиторские и объединения. Они вообще не имеют права заниматься какой-либо другой деятельностью, но вынуждены вести клиентские базы личные дела своих сотрудников, поскольку состоят с ними либо в трудовых, либо в гражданско-правовых отношениях. И в том и в другом случае они оперируют персональными данными граждан. Здесь складывается замкнутый круг: с одной стороны – персональные данные они используют, значит должны получить соответствующую лицензию, иначе им грозит ответственность вплоть до уголовной за незаконное предпринимательство. Но лицензия выдается на конкретный вид деятельности, а он для вышеперечисленных категорий предусмотрен только один – основной.
Ответ на этот ребус дан в Решении Федеральной службы по техническому и экспортному контролю от 5 марта 2010 года в связи с изданием приказа ФСТЭИ России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456;). В соответствии с абзацем 1 п. 1.3 данного Положения, «оператор, заведомо не имеющий возможности получить лицензию на ТЗКИ (госорган, аудиторские, адвокатские образования и пр.) может назначить должностное лицо для работ по защите информации и нормам права.
Безусловно, есть компромиссный способ выхода из ситуации – заключить соответствующий договор со специализированной лицензированной организацией на оказание услуг по сбору, хранению и обработке персональных данных. Их уже сегодня в России насчитывается более полутора тысяч. Но такой способ решения проблемы весьма затратный.
Довольно распространенной российской практикой сегодня является управление по принципу «доживем до следующего месяца», когда усилия руководства сконцентрированы на текущих проблемах, а стратегические решения принимаются лишь в ответ на существенные изменения во внешней среде, как правило, с ощутимым опозданием, скоропалительно и без соответствующей аналитической подготовки.
Поделиться книгой в соц сетях:
Обратите внимание, что комментарий должен быть не короче 20 символов. Покажите уважение к себе и другим пользователям!