Сложно, но можно Как защитить персональные данные на предприятии?

С 1 января 2010 года все информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

Было бы очень интересно увидеть в «СА» статью, касающуюся подразделений ИТ,
в связи с вступлением в силу ФЗ №152 «О персональных данных».
Алексей, г. Санкт-Петербург

Плюсы и минусы

В Законе «О персональных данных» есть ряд плюсов и минусов. К числу плюсов можно отнести то, что на законодательном уровне определено понятие «персональные данные». Установлены их защита, а также порядок обработки персональных данных. И наконец, закон должен сыграть положительную роль в борьбе с утечками информации в организациях и на предприятиях.

К числу минусов закона относится, во-первых, отсутствие какой бы то ни было практики по данному вопросу. Поэтому не исключается различное трактование положений закона, как операторами, так и государственным органом, уполномоченным осуществлять контрольные функции, а следовательно, неизбежно наличие споров. Во-вторых, необходимо наличие лицензии на техническую защиту конфиденциальной информации во всех случаях, включая те, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений). Это фактически распространяет действие закона на любое лицо, собирающее сведения не для личных, семейных нужд. В-третьих, понадобится модернизация информационно-технической инфраструктуры компании, а также внедрение новых продуктов информационно-технической безопасности, что потребует дополнительных затрат трудовых и финансовых ресурсов.

Кто есть who?

Согласно закону под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В соответствии с положениями закона оператор - это государственный орган, муниципальный орган, юридическое и физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных, т.е. к числу операторов фактически можно отнести любое юридическое лицо и физическое лицо, обрабатывающее персональные данные.