Вступление в силу новых требований закона «О защите персональных данных» откладываются. Не расслабляйтесь!
Судя по всему, вступление в силу законопроекта № «О внесении изменений в статьи 19 и 25 федерального закона "О персональных данных"», о котором мы уже , будет отложено на год – до 1 января 2011 г. Во всяком случае, в пятницу 11 декабря законопроект принял во втором чтении. Но это вовсе не значит, что турбизнес может облегченно вздохнуть и расслабиться. Используйте это время для подготовки. Подготовлен – значит, защищен!
Напомним, что согласно требованиям законопроекта, который 11 декабря принят Госдумой РФ во втором чтении, все предприятия, в той или иной степени участвующие в обработке персональных данных своих клиентов или работников, обязаны привести информационные системы в соответствие с требованиями в сфере защиты информации. К персональным данным закон относит любые сведения, позволяющие определить физическое лицо – фамилия, имя, отчество, адрес, год, месяц, дата и место рождения, социальное, семейное, имущественное положение и др. Соответственно все предприятия, получающие такие сведения, относятся к категории «оператор персональных данных» и должны выполнять требования закона в процессе любых операций, включая сбор данных, накопление, систематизацию, уточнение (обновление, изменение), хранение, использование, распространение (в том числе передачу), блокирование, обезличивание, уничтожение.
В целях исполнения закона осуществляются мероприятия по защите информации – разрабатывается комплекс организационно-распорядительных документов, отражающих регламенты защиты информации, действующие на предприятии: такие, как доступ к информации, процедура защиты информации от несанкционированного копирования, обязанности сотрудников и порядок их допуска к информации и прочее. Кроме того, должен быть соблюден ряд технических требований к применяемым автоматическим системам хранения информации и обеспечение инженерно-технической защиты помещений, в которых расположены системы.
Напомним, что уровень необходимой защиты информации и «серьезность» требований, зависят от категории, определяемой исходя из способов и объема обработки персональных данных. Закон выделяет следующие категории:
категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 – обезличенные и (или) общедоступные персональные данные.
Предприятие, являющееся оператором персональных данных, обязано уведомить федеральный орган в сфере связи и массовых коммуникаций - Роскомнадзор - о намерении осуществлять такую обработку и указать ее цели. Закон предусматривает ряд исключений, при которых уведомление Роскомнадзора не требуется, в частности, когда данные получены и обрабатываются в связи с исполнением договора и далее не распространяются. Но это не избавляет от необходимости соблюдать требования закона к порядку обработки и хранения персональных данных.
Как подготовиться к вступлению в силу новых требований?
Для начала руководителям предприятий туриндустрии необходимо изучить закон. Затем заполнить и отправить в Роскомнадзор уведомление об обработке персональных данных. Форма, а также рекомендации по заполнению специально для турфирм размещены на п, отправлять уведомление теперь можно в электронном виде. На этом же сайте можно ознакомиться с реестром операторов, осуществляющих обработку персональных данных.
По словам специалистов Роскомнадзора, некоторые организации присылают уведомления в том виде, в котором они предложены на сайте, практически, не правя и не вчитываясь в содержание. Просто ставят свою подпись и печать. Подобные документы в службе расценивают как отписку. Таким организациям в дальнейшем не избежать проблем. Поэтому, коллеги, подойдите вдумчиво к заполнению уведомления, уберите все лишнее и заполнены только те графы, за которые вы действительно можете отвечать. На сегодняшнем этапе самое главное – грамотно оформленные документы.
Правовая комиссия Российского союза туриндустрии намерена разработать и утвердить в Роскомнадзоре отраслевые стандарты, которые помогут турбизнесу разобраться, какие информационные системы и как надо применять в деятельности турфирм. Об этом RATA-news сообщил глава Правовой комиссии, генеральный директор юридического агентства «Персона Грата» Георгий Мохов.
Проверять соблюдение закона предприятиями турбизнеса будут осуществлять Роскомнадзор, ФСБ, ФСТЭК. Кстати, на п в ближайшее время появится план проведения проверок на 2010 год.
С целью совершенствования закона № 152-ФЗ «О персональных данных» в Роскомнадзоре создан Консультативный совет, в который вошли не только регуляторы (Роскомнадзор, ФСБ, ФСТЭК), но и представители разных отраслей экономики, юристы. Совместными усилиями совет разрабатывает рекомендации по исполнению закона с учетом специфики каждой отдельно взятой отрасли.
За нарушение правил защиты информации в Кодексе РФ «Об административных правонарушениях» в статье 13.12 подробно прописано пять степеней ответственности. Штрафные санкции для юридических лиц колеблются от 5 000 до 35 000 рублей с конфискацией несертифицированных средств информации. А вообще за нарушение требований закона «О персональных данных» предусмотрена не только гражданская и административная, но и уголовная ответственность.