Вчера была массовая дискуссия о борьбе с ФЗ152 и способах выполнения регуляций, как фактических, так и формальных (для галочки и вовочки).
Вкратце приведу несколько ключевых вопросов, которые обсуждались:
1) А что, собственно, регулирует ФЗ 152?
ФЗ говорит, что пришла пора защищать персональые данные в части хранения и обработки. К персональным данным относится (укрупненно) любая информация, персонифицирующая ваших сотрудников или клиентов.
2) Что будет с 1 января 2010?
Причем пора пришла уже три года как. То есть, ФЗ действует. Банки, страховщиков и гос. компании трясут с ним вовсю. А с 1 января 2010 будет ужесточение санкций за неисполнение. Вплоть до уголовной ответственности генерального директора.
3) Что государство будет делать после 1 января?
С наступлением нового года государство имеет формальное право прийти в вашу компанию провести аудит руками своих полномочных представителей.
4) Кто попал больше всех и почему?
Все, кто обрабатывает чужие персональные данные в промышленных масштабах: страховщики, банки, мед.учереждения, гос.компании, поставщики телеком усоуг.
А вообще так или иначе попали все. Просто стоимость решения будет для всех разной.
5) Что делать, чтобы спастись выполнить требования регуляторов?
Для начала прочитать ФЗ и понять, какая его часть относится к вам. А потом...:
а) Получить от всех сотрудников подпись под разрешение обработки данных (форму см.в ФЗ)
Внимание: если вы- ритейлер и по разным акциям собираете с людей в анкетах ФИО И паспортные данные, то вам надо письменное согласие каждого из них на хранение и обработку данных. С 1 января базы с данными без заявлений о согласии - ваше прямое нарушение ФЗ.
б) Понять, какие именно данные у вас хранятся. Вчера обсуждалось 4 разных категории "строгости" применения ФЗ. Соответственно, чем строже категория, тем сложнее и масштабнее решение вам надо будет реализовать.
Если вы еще не знаете, какая у вас категория, то точно не самая суровая. Иначе вас бы уже навестили. Так что самое время озадачиться.
в) Понять, в каких бизнес-процессах и информационных системах хранятся и обрабатываются эти самые данные. И либо сертифицировать всю ИС, либо ее часть, которая непосредственно работает с персональными данными. Тут, как было сказано вчера, есть большая засада: если вы в сертифицированной системе меняете хотя бы 1 байт, то ее надо ресертифицировать. Поэтому лучше сертифицировать "куски".
Если у вас личные данные только на бумаге, то к вам относится часть требований только по обеспечению "физических" условий сохранности.
в) Написать требуемые документы и провести обучение сотрудников.
6) А что если я им скажу, что не храню и не обрабатываю персональные данные?
- Попробуйте налоговой сказать, что не пользуетесь деньгами и не имеете к ним отношение.
7) А что, если я отдам процессы, обрабатывающие персональные данные, на аутсорсинг компании, которая сертифицирована?
Вам нужно будет в договоре прописать условия, гарантирующее ИХ исполнение ФЗ152. Поиграть в страуса не получится..
Вместо послесловия. В общем и целом интересный ФЗ. Есть, над чем подумать...А уж работы с ним - до горизонта.
Уже есть ряд консультантов, которые вам помогут решить возникающие с этим ФЗ вопросы. (и даже покажут, куда деньги складывать)