Ну, вот гром и грянул… Защита персональных данных… Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных обязал всех операторов персональных данных (в эту категорию входят практически все государственные и коммерческие организации) принять меры, обеспечивающие защиту персональных данных и привести в соответствие букве Закона ИСПДн, с учетом внесенных поправок в срок до 1 января 2011 года (вместо 1 января 2010 г., уже легче)...
Неожиданно? Нет, конечно.
Целесообразность? С точки зрения субъектов персональных данных (нас с вами в том числе) – безусловная!
Последствия – противоречивые (ИМХО)…
В статье 3 Закона определяются основные понятия, в нем используемые… Читаем:
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Как вам пункты 3 и 4?... Рекомендую с полным текстом Закона ознакомиться…
Что я для себя выделила в качестве ключевых моментов. Оператор персональных данных обязан запрашивать и получать письменное согласие субъекта персональных данных на обработку своих персональных данных (за исключением случаев, предусмотренных Законом). Отдельной категорией выступают биометрические данные (фотографии субъекта персональных данных тоже биометрика…). Также оператор обязан по запросу субъекта предоставить информацию, предусмотренную частью 4 статьи 14 Закона. И еще принять меры по обеспечению безопасности персональных данных при их обработке (статья 19).
Все ИСПДн операторов (информационные системы персональных данных) должны быть аттестованы, а операторы должны иметь соответствующую лицензию ФСТЭК. Подробнее смотрите здесь и здесь. Естественно, процесс платный… И в случае несоответствия грозящий санкциями.
А вот вернемся теперь к Интернету, к его «вебдванольности»… Тегирую: открытость, отдача, взаимодействие, сотрудничество, глобализация и т.д. Хорошо это отражает, например, DashBoard (Личный кабинет) от компании Google. Вводим данные своего аккаунта – и перед нами все «следы» нашего многолетнего пребывания в сервисах системы (более 10 сервисов точно) вместе со всеми персональными данными. Есть и другие сервисы, где представлены такие "агрегаторы сведений", почти шпионские . И защищается (?) все это одним паролем… Засветили его и (как-то даже неуютно стало)… А риск этот полностью наш, пользовательский, так как, будучи компанией западной, Google должен на 100% обезопасить своих клиентов от утечки (слишком велики последствия для самой компании). Больше доверия почему-то к сервисам «не нашим»…
Но это так, субъективизм личностный…
Вот и подумалось, может лучше теперь сто раз взвесить риски, прежде чем запустить «в производственных целях» анкетку какую-нибудь интерактивную, или, например, "украсить" блог фотографиями без спроса… Как бы чего не вышло…
Сядешь опять за бумажки и будешь их переписывать и перекладывать…
Кстати, для современного информационного мира это может стать «новым» качеством (?)…
С уважением и надеждой на сотрудничество, Ольга Подъяпольская
"Размышлизмы" программиста by Olga Podyapolskaya is licensed under a Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License
20 Декабрь 2009, 18:01
А ведь с введением такого закона будет нанесён удар по информатизации всякого рода. Даже ведение электронного абонемента в библиотеке уже попадает под него. И я очень сомневаюсь что каждая библиотека готова все свои рабочие места сертифицировать в соответствии с законом и приложениями - как с административной и технической точек зрения, так и с точки зрения финансовой.
20 Декабрь 2009, 20:56
PapaSasha, Закон в силу введен, и насколько я понимаю, бесповоротно (в соответствии с Конвенцией Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»,ETS №108, 1981 г., которую Россия ратифицировала в 2005 году)... Просто пока дали отсрочку, так что год операторы подышат...
Волнует судьба интернетизации (образования в т.ч.) и всего, что имеет постфикс 2.0... Такой откат может получится...
13 Март 2010, 17:21
«О защите физических лиц при автоматизированной обработке персональных данных» у нас на любой почте при получении заказного письма надо паспортные данные предоставлять, прописку и образец подписи.
13 Март 2010, 17:24
"ФСТЭК выложили решение об отмене двух самых спорных документов: Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных"... Посмотрим, что дальше.