– Центр не первый год занимается разработкой и ведением сайтов, а также обеспечением защиты их данных. Выявление проблем и тенденций в этой области – часть вашей деятельности. Какие бы вы выделили в числе самых важных?
– Актуально всё, что так или иначе регулирует процессы информационной безопасности, – это, например, SSL-ключ, защищающий передачу данных на сайтах, сюда же можно отнести отечественную аналитическую систему «Спутник», которая позволяет мониторить информацию о количестве посетителей и обращений граждан через сайт. Эти разработки появились в IТ-пространстве относительно недавно, поэтому повышенный интерес к ним закономерен, в том числе со стороны наших клиентов. Отдельная история – локальные акты по персональным данным. Казалось бы, тема не нова: закон № 152-ФЗ, регламентирующий процессы защиты такого рода информации, появился еще в 2006-м. Но год назад в него были внесены поправки, существенно ужесточающие ответственность за нарушения в работе с персональными данными, и это усугубило ситуацию в сфере информационной безопасности.
– О чьей конкретно ответственности идет речь?
– Посыл, содержащийся в обновленном документе, касается каждой без исключения организации, действующей на территории страны и являющейся юридическим лицом. Все они фактически операторы обработки персональных данных и, следовательно, должны разработать документы, обеспечивающие контроль за процессами в этой сфере, прежде всего локальные акты. А вот это совсем непростая задача. Трудность заключается в том, что обязательного комплекта локальных актов по персональным данным не существует, даже их количество в законе не прописано. Каждому учреждению предоставлена свобода действий в этом направлении, но воспользоваться ею весьма проблематично: далеко не везде на местах есть владеющие необходимыми знаниями специалисты, которые могли бы подсказать руководителям учреждений, как разрабатываются подобные документы.
– Я правильно понимаю: предоставлена свобода действий, но не свобода законотворчества?
– Именно так. Разработка пакета локальных актов по персональным данным нацелена на выполнение общей для всех, типовой задачи, заключающейся в обеспечении контроля за процессами защиты персональных данных всех участников деятельности организации (включая работников, потребителей услуг и посетителей сайта). Есть нормативные документы, которые этой задаче отвечают. Другое дело, что, например, какая-то важная информация может быть зафиксирована в приложении к положению об обработке персональных данных, а может существовать в виде самостоятельного документа. Поэтому количество локальных актов варьируется. Но хочу подчеркнуть: дело не в их количестве или формате.
Главный критерий, на основании которого делают свои выводы те же проверяющие органы, заключается в следующем: комплект документов должен в полной мере отражать политику организации в отношении персональных данных и при этом полностью соответствовать новой редакции закона «О персональных данных» № 152-ФЗ, а также Трудовому кодексу и другими нормативам. Поэтому в такого рода работе обязательно должны быть задействованы юристы, причем специализирующиеся именно в области трудового права и защиты персональных данных.
– На всех сайтах используется ключ безопасности, ведется политика конфиденциальности. То и другое направлено на предотвращение разглашения персональной информации. «Зачем нам еще и локальные акты?» – согласитесь, может прозвучать и такой вопрос.
– Прежде всего уточню: на созданных нами сайтах политику конфиденциальности мы сделали автоматизированной. И она должна быть именно там. Локальные акты по персональным данным – это другое. Наличие их полного комплекта в любой организации является обязательным условием. Закон № 152-ФЗ гласит: все юридические лица вне зависимости от их организационно-правовой формы должны разработать комплексную систему защиты персональных данных, разместить на официальном сайте разработанную документацию (это и есть локальные акты по ПД) и подать заявление в Роскомнадзор для получения статуса официального оператора обработки персональных данных. А исполнение любого закона обязательно для всех, вне зависимости от собственного взгляда на предмет и без каких-либо указаний сверху.
– Что грозит нарушителям?
– В новой редакции закона «О персональных данных» расширен перечень оснований для привлечения к административной ответственности и прописано увеличение размеров штрафов. Сейчас они могут достигать 75 тысяч рублей. В чем нарушения могут заключаться? В частности, в том, что локальные акты есть, но не в полном объеме. Или их нет вообще. Как правило, на «исправление ошибок» дается от месяца до полугода, в зависимости от количества нарушений и их видов. Выявление повторных нарушений уже предусматривает наложение штрафов.
– Напрашивается вывод: организациям следует выполнить поставленные законом задачи в кратчайшие сроки и только на отлично. Чем им может помочь Центр информационных технологий и систем?
– Компания разработала свой, уникальный, пакет локальных актов по персональным данным, максимально снижающий риски. Ни у одной проверяющей комиссии не должно возникнуть замечаний к нашим клиентам по вопросу обеспечения информационной безопасности – вот та задача, которую мы перед собой ставили.
Но хотела бы подчеркнуть важный момент: процесс подготовки этих документов небыстрый и довольно трудоемкий. В комплект входит более пятнадцати актов (это порядка ста листов), и каждый должен быть адаптирован к внутренней ситуации в учреждении. Немало времени, иногда до месяца, может занять регистрация документов в Роскомнадзоре. Поэтому откладывать этот процесс на потом, когда в дверь уже постучатся с проверкой, не стоит. Локальные акты по персональным данным столь же важны, как правила внутреннего трудового распорядка работников или режим работы учреждения. А потому интерес и к тому, и к другому, и к третьему проверяющие органы проявят одинаково пристальный.
– Мы много говорили о том, как защитить от любопытства третьих лиц персональные данные, но хотелось бы о такой «персоне», как Центр информационных технологий и систем, знать больше. Какие его особенности вы бы отметили?
– Стоит подчеркнуть то, что наши усилия направлены прежде всего на поддержку государственных бюджетных организаций культурной, образовательной и социальной сфер, а также то, что многие из наших сотрудников – люди, так или иначе связанные с этими сферами. Нам близки проблемы наших клиентов. И всякий раз, думая над тем, как эффективнее решить их, мы хотим надеяться, что таким образом вносим свою маленькую лепту в развитие культуры.
На снимке: Е. Мигунова
***
ЗАХОТЕЛОСЬ ПРОДОЛЖИТЬ СОТРУДНИЧЕСТВО...
Говорит заместитель директора ДШИ города Нижний Ломов Пензенской области Наталья Борисовна Селиверстова:
– Закон есть закон, и, конечно, мы попытались бы сделать всё, что он предписывает в отношении локальных актов по персональным данным, сами. Но теперь понятно, что это нам вряд ли бы удалось. Где почерпнуть информацию о том, сколько актов должно быть и какие конкретно нужны нам? В интернете искать сложно, к тому же не всякий найденный ответ или образец документа может оказаться правильным. А подсказать некому – в школе нет юриста. До контактов с Центром информационных технологий у нас было только два локальных акта по ПД – положения о персональных данных учащихся и о персональных данных работников с соответствующими приложениями. И те, как выяснилось, были составлены не совсем корректно. После того как компания подготовила для нас полный комплект таких актов, захотелось продолжить сотрудничество, и сейчас мы работаем уже над другими нормативными документами.
***
ПОТОМУ ЧТО ЕСТЬ ДОВЕРИЕ...
Говорит директор ДШИ Любытино Новгородской области Виктор Леонидович Смирнов:
– Больше пяти лет назад компания разрабатывала для нас сайт, и это сотрудничество нам запомнилось как очень креативное. Мы даже вошли во вкус – настолько интересным оказался этот процесс. С тех пор мы находимся в постоянном взаимодействии: спустили нам приказ о необходимости размещения на сайте версии для слабовидящих, появилась необходимость защитить сайт от рекламы – мы обращаемся в компанию. Потому что есть доверие: здесь толково разъяснят любые сложные вопросы (иной раз удивишься, как всё, оказывается, просто!) и предложат оптимальное соотношение цена/качество, а это для любой школы важно. Поэтому мы не искали других путей, когда встал вопрос о локальных актах по персональным данным. Собственных знаний в этой сфере нам очень не хватает, а пока вникнешь – дело и до штрафов может дойти.
***
В РЕЗУЛЬТАТЕ Я УВЕРЕНА...
Говорит директор ДМШ им. В.В. Магдалица поселка Ахтырский (Краснодарский край) Александра Анатольевна Терехова:
– У нас, безусловно, был пакет локальных актов по персональным данным, но минимальный, и вопрос о его доукомплектации уже стоял на повестке дня. Если бы не звонок из вашей компании, я сама обратилась к вам. Дело в том, что здесь мне уже помогли с аудитом, проведя мониторинг сайта школы на соответствие требованиям действующего законодательства. Были выявлены проблемы, нам дали немало дельных советов, например, подсказали, каких локальных актов не хватает и что следует написать в разделах, где не может быть никакой информации (скажем, если в школе нет платных услуг). Работу над локальными актами по персональным данным мы только начали, но в результате я уверена: профессиональный уровень специалистов компании и уровень ее услуг – это то, что мне понравилось с самого начала. И если возникнет еще необходимость, я знаю, куда обратиться.
Поделиться:
