Читать книгу Защита персональных данных курс лекций - Группа авторов - Страница 2

Обработкой персональных данных в той или иной форме занимаются все предприятия, организации, учреждения (далее, просто предприятие) независимо от форм собственности, деятельности, размеров и других отличительных факторов. Даже, если предприятие не оказывает услуги населению (физическим лицам), не взаимодействует с другими предприятиями (контрагентами), оно все же имеет в своем штате собственных сотрудников. Соответственно, предприятие обязано в соответствии с законодательством РФ вести кадровый учет, начислять и выплачивать вознаграждение сотрудникам, а также отчитываться перед государственными службами о тех или иных сторонах деятельности (например, перед пенсионным фондом).

Люди, физические лица в повседневной жизни для удовлетворения своих потребностей получают услуги от предприятий (услуги жизнеобеспечения, банковские, страховые и т.д.), становятся их клиентами и передают им сведения о себе (персональные данные – ПДн). Аналогично, поступая на работу, человек обязан передать работодателю некоторый перечень персональных данных, который определен в Трудовом Кодексе РФ.

Современные информационные технологии позволяют получать определенные услуги удаленно, т.е. без физического присутствия и физического взаимодействия клиента с представителем поставщика услуг. Для совершения сделки, например, в Интернет-магазине, персональные данные будут переданы от клиента к поставщику через не безопасную сеть международного доступа.

Если персональные данные физического лица становятся известными злоумышленнику, то они могут быть использованы им в корыстных или иных целях с нанесением материального или морального ущерба данному лицу. Следовательно, персональные данные, полученные предприятием, должны быть защищены от неправомерного использования. Это требование вытекает и из 2 статьи основного закона – Конституции РФ, и из соответствующих статей трудового кодекса РФ, и, наконец, из Федерального Закона № 152 «О персональных данных».

Казалось бы, что после выхода закона РФ № 152 в далеком 2006 году, соответствующих постановлений Правительства РФ, приказов федеральных служб, ответственных за методическое обеспечение и контроль выполнения данного закона, законопослушные предприятия должны были принять необходимые меры по защите персональных данных. Однако в полной и должной мере этого не случилось и по сей день.

Существует несколько причин, по которым этот Закон практически не выполняется:

Закон противоречив, некоторые его положения были абсурдны в момент его выхода при соотнесении с другими действующими правовыми документами и таковыми остались после многочисленных редакций. Есть положения Закона, которые логически находятся вне компетенции предприятий и не могут быть выполнены.

Защита персональных данных относится к сложной области информационной безопасности (персональные данные – это просто конкретный вид информации), малые и средние предприятия не могут позволить себе содержать специалистов в этой области. Даже при наличии специалистов техническая защита персональных данных требует дорогостоящей лицензии на проведение работ по защите конфиденциальной информации.

Привлечение системных интеграторов, имеющих лицензии на защиту конфиденциальной информации и защиту данных с помощью криптографических методов (шифрование данных), непомерно дорого в сравнении с действующими наказаниями для предприятий и должностных лиц за неисполнение закона.

Правовой нигилизм руководителей предприятий, четко понимающих необязательность исполнения Законов в современной России.

Двойные стандарты государственных органов, с одной стороны требующих выполнения закона подведомственными государственными и муниципальными учреждениями, а с другой стороны не обеспечивающих их бюджетными финансовыми средствами для его выполнения.

Не смотря на вышесказанное руководителям и собственникам предприятий все же придется принимать непростые решения:

Продолжать игнорировать требования закона. В этом случае они должны тщательно оценить принимаемый риск, так как неисполнение закона может привести к административному или уголовному преследованию именно руководителей. Адекватная оценка риска, выражаемая в вероятности полноценной проверки предприятия контролирующими органами, поможет выбрать правильную стратегию из двух возможных: что эффективнее, вложить средства в защиту персональных данных или в выплату штрафов государству и возможно в компенсацию нанесенного вреда физическим лицам.