Есть и другие трудности. Одна из них – организационно-финансовая. Так, многие компании и организации не включили в свой бюджет на 2009 год затраты на создание систем по защите ПДн. Поэтому в текущем году они могут не успеть их создать. Особенно с учетом финансового кризиса.

Еще хуже обстоит ситуация с органами власти и бюджетными организациями. При разработке и утверждении закона «О персональных данных» Правительство РФ не рассматривало выделение бюджетным организациям средств на приведение своих информационных систем в соответствие с требованиями закона.

В результате существует два возможных варианта развития ситуации. Первый вариант – если ряд существенных поправок не будет урегулирован до конца 2009 года, то, возможно, придется сдвинуть крайний срок приведения информационных систем персональных данных в соответствие с требованиями ФЗ № 152 с 1 января 2010 года на более поздний срок.

Второй вариант – закон вступит в действие с 1 января 2010 года, а все коллизии будут решаться в судебном порядке, персонально.

– Кто и как будет осуществлять контроль над его выполнением?

– Контроль операторов персональных данных осуществляется тремя регуляторами. ФСБ России отвечает за лицензирование деятельности операторов ПДн, при использовании ими при защите ПДн криптографических средств защиты. ФСТЭК России контролирует требования при категорировании и в части технической защиты ИСПДн, а также лицензирование деятельности операторов ПДн при осуществлении ими технической защиты конфиденциальной информации. И, наконец, Россвязькомнадзор контролирует деятельность оператора в части обеспечения организации защиты ПДн, регистрацию операторов ПДн и ведение реестра операторов.

Будем надеяться, что контролирующие организации будут производить проверки не по очереди, а одновременно.

– С чего начать разработку системы защиты персональных данных?

– Всем операторам нужно, в первую очередь для себя, закрепить документально основные понятия обработки конкретных персональных данных субъектов.

Единый документ об обработке персональных данных в организации должен предвосхитить все вопросы, которые могут возникнуть у уполномоченного органа. Поэтому необходим предварительный анализ документации оператора, которая содержит персональные данные субъектов.

При проведении такого анализа и составлении текста «Положения» важно учитывать возможность типизации ПДн. К примеру, когда оператор обрабатывает персональные данные субъектов с единой целью, например, для предоставления услуги связи, в «Положении» должны быть четко сформулированы понятия цели, способов, перечня обрабатываемых персональных данных и прочее.

Если оператор обрабатывает ПДн работников, преследуя различные цели, к примеру, для начисления заработной платы, установления пропускного режима, учета в кадровом делопроизводстве, возникает потребность их типизировать относительно цели обработки, и это должно быть отражено в «Положении».