Срок выполнения требований закона «О персональных данных» продлен до 1 января 2011 года

Минувший год для операторов персональных данных выдался весьма напряженным. Сформировать систему защиты персональных данных, оптимизировать затраты, оценить возможные риски информационной безопасности согласно ФЗ-152 и при этом уложиться в срок – вот ряд непростых вопросов, стоящих перед операторами ПД.

Федеральный закон № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных был опубликован в «Российской газете» и вступил в силу 29.12.2009 года. Но в конце уходящего 2009 года законодатели преподнесли приятный сюрприз, продлив срок выполнения требований закона «О персональных данных» на один год: «3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года». Помимо этого, изменения коснулись и части 1 статьи 19: «слова «, в том числе использовать шифровальные (криптографические) средства,» исключить».

Требования Закона «О персональных данных» распространяется на все государственные и коммерческие организации, обрабатывающие в своих информационных системах персональные данные физических лиц (сотрудников, клиентов, партнеров и т. п.), независимо от размера и формы собственности. Компания, неисполняющая требования Закона «О персональных данных»  подвергается определенным рискам, среди которых:

• гражданские иски со стороны клиентов или работников;
• приостановление или прекращение обработки персональных данных в компании;
• привлечение компании и (или) ее руководителя к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
• приостановление действия или аннулирование лицензий на основной вид деятельности компании;
• репутационные риски;
• риски недобросовестной конкуренции (приостановления деятельности компании с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных).

Основные понятия

Персональные данные – любая информация, относящаяся к физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, адрес, год, месяц, дата и место рождения, социальное, семейное, имущественное положение, профессия, образование, доходы, другая информация.

Оператор персональных данных – государственный орган или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных (ПДн), а также определяющие цели и содержание обработки персональных данных».

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, накопление, систематизацию, уточнение (обновление, изменение), хранение, использование, распространение (в том числе передачу), блокирование, обезличивание, уничтожение персональных данных.

Деятельность в сфере обработки персональных данных регулируют Уполномоченные Федеральные органы:

• Россвязькомнадзор (Федеральная служба по надзору в сфере связи и массовых коммуникаций) – осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства.
• ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий.
• ФСБ РФ (Федеральная служба безопасности РФ) – устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий (регулирует сферу использования криптографических средств защиты информации).