Под угрозой ФЗ-152
Лилия Павлова, «ИнформКурьерСвязь» № 12, 2010
С комментарием Владимира Чугунова, компания «Аладдин Р.Д.»
Лилия Павлова, «ИнформКурьерСвязь» № 12, 2010
Истекает срок, отпущенный на приведение информационных систем, обрабатывающих персональные данные субъектов, в соответствие с требованиями Федерального закона № 152-ФЗ «О персональных данных» (как известно, он был передвинут с 1 января 2010 г. на 1 января 2011 г.). Этот «дамоклов меч» особенно ощутимо покалывает к концу года.
Если к вам пришли с проверкой
Административный регламент проведения проверок при осуществлении государственного контроля и надзора зарегистрирован в Минюсте России в январе этого года. В этом документе, описывающем процедуру проверки операторов обработки персональных данных, Роскомнадзор расширил перечень оснований для проведения внеплановой проверки – в случае выявления факта нарушения прав и законных интересов граждан действиями либо бездействием оператора и в случае нарушения оператором требований ФЗ-152 и других нормативных актов. Кроме того, напомнил И. Хайров, у ФСТЭК России есть общий административный регламент проведения проверки лицензиата, у ФСБ – типовой регламент проведения проверок выполнения требований по защите персональных данных с помощью криптосредств.
Трепет перед проверками, особенно внеплановыми, испытывают все операторы обработки персональных данных. В. Чугунов («Аладдин») провел на Infosecurity Russia мастер-класс по выбору правильной стратегии и тактики в работе с проверяющими. Во-первых, необходимо освежить в памяти все законодательные и нормативные акты, которые имеют отношение к предмету проверки, и особое внимание уделить изменениям, внесенным в нормативно-правовую базу за время, прошедшее после последней проверки. Во-вторых, обязательно отследить выполнение требований и условий, которые предъявляются к лицензиату (в частности, договоры аренды на недвижимость, на оборудование). В-третьих, важно придерживаться собственной жесткой схемы проверки. «Это уже искусство и мастерство, но тем не менее есть ряд приемов, позволяющих это сделать», – заметил В. Чугунов. В частности, необходимо назначить ответственных по направлениям (информационные системы, литература, нормативная база), проанализировать свои «слабые звенья«, предоставлять проверяющим только те документы, которые имеют отношение непосредственно к предмету проверки, – и стремиться к доброжелательному диалогу с контролерами.