Как правило, закон действует только при наличии нормативных актов, принятых для его реализации. Не является исключением и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон). Для того чтобы он заработал, Правительство РФ Постановлением от 17.11.2007 № 781 утвердило Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее — Положение). Этот нормативный акт начал действовать 29 ноября 2007 года и касается всех, кто осуществляет такую обработку.
Любопытству — бой!
Народ всегда относился отрицательно к излишнему любопытству. Тем не менее не в столь далекие времена кадровик мог запросто по телефону рассказать солидно представившемуся «голосу» всю подноготную работника, а бухгалтер — сообщить размер зарплаты. Кроме моральных норм (признаваемых далеко не всеми), других препятствий для распространения информации о личности не существовало.
С появлением информационных технологий возник и нелегальный рынок персональных данных. Очевидно, что диски со сведениями о миллионах граждан приобретаются отнюдь не для праздного любопытства… Кстати, скандалы, связанные с утечкой информации, сотрясают не только наше Отечество.
Для борьбы с подобного рода безобразиями и был принят Закон, вступивший в силу 26 января 2007 г. Его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст. 2 Закона).
Одна из причин появления этого правового акта — принятие Федерального закона от 19.12.2005 № 160 «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Отметим, что в соответствии с подп. «а» п. 2 ст. 9 указанной Конвенции Российская Федерация оставила за собой право устанавливать ограничения права субъекта персональных данных на доступ к сведениям о себе в целях защиты безопасности государства и общественного порядка.
Трудные роды
Однако Закон является лишь основой, на которой еще предстоит «возвести» механизм, позволяющий перекрыть каналы утечки информации.
Согласно п. 2 ст. 19 Закона Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне указанных систем.
На основании этого и было утверждено настоящее Положение. Как видим, «вынашивало» его Правительство РФ довольно долго — почти 16 месяцев, если считать с даты принятия Закона. Однако есть основания полагать, что появившееся «дитя» не лишено недостатков.
Законодатель, поручив Правительству РФ установить требования, видимо, имел в виду, что в результате появится нормативный акт, полностью решающий весь комплекс соответствующих вопросов. Но этого не произошло.
Так, из п. 6 Положения следует, что порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности, Министерством информационных технологий Российской Федерации.
Конечно, можно сослаться на особую специфику затрагиваемых вопросов. В то же время где гарантия, что ведомственные документы, которые, видимо, еще только предстоит разработать, не исказят направленность Закона и не приведут к осложнению и так нелегкой жизни хозяйствующих субъектов? Ведь Правительство РФ могло бы поручить указанным ведомствам разработать порядок проведения классификации информационных систем, а затем включить его в Положение.
Зона контроля
К техническим средствам, позволяющим осуществлять обработку персональных данных, Положение относит средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие техническое средства обработки речевой, графической, видео- и буквенно-цифровой информации). К ним же относятся программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Безопасность персональных данных предписано достигать путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может быть уничтожение, изменение, блокирование, копирование, распространения указанных данных.
Определим «крайних»
Существуют структуры и организации, которые в силу специфики своей деятельности хранят информацию о гражданах. Но Закон касается, конечно, не только их. Ведь на любом предприятии есть по крайней мере два подразделения, концентрирующих сведения о работниках, — кадровая служба и бухгалтерия.
Положение предусматривает, что для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение такой безопасности.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к ним на основании списка, утвержденного оператором или уполномоченным лицом.
При этом запросы пользователей информационной системы на получение персональных данных, а также факты их представления следует регистрировать автоматизированными средствами указанной системы в электронном журнале обращений.
Содержание этого журнала должно периодически проверяться соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
Появятся и новые «внешние» проверяющие. В соответствии с п. 3 Закона контроль и надзор за выполнением требований, установленных Правительством РФ, осуществляются федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности и в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах.
ВНИМАНИЕ
Согласно Положению размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима безопасности в них должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
СПРАВКА
Согласно ст. 3 Закона оператор — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание их обработки.