Согласно новому закону электронные базы персональных данных требуют надежной защиты

12.11.2009

Вернуться к списку новостей

С 2010 года в силу вступают требования федерального закона «О персональных данных». Под его действие подпадает большинство организаций, в том числе муниципальных и государственных.

Сложно представить, сколько информации о горожанах хранится в базах паспортных столов, поликлиник, различных городских управлений. Процесс информатизации, который раньше начался в городах, перевел огромные массивы данных в электронный вид. Ими стало удобнее оперировать и одновременно — легче злоупотреблять. Насколько защищены наши личные сведения, можно судить по количеству баз данных, находящихся практически в свободной продаже в Интернете. Между тем закон обязывает операторов персональных данных не только запрашивать у граждан разрешения на обработку личной информации, но и постоянно заботиться о ее защите.

Отдельный блок всероссийской конференции «Муниципальные информационные системы: достижения, проблемы, перспективы» организаторы посвятили новому закону. Напомним, IT-конференция в Екатеринбурге каждый год собирает представителей российских муниципалитетов: специалистов городских служб информатизации, представителей компаний-разработчиков информационных систем для городов.

Как показало обсуждение, во многих муниципалитетах слабо представляют, как до конца года выполнить требования нового документа. Задачка хитрая. Во-первых, информационные системы нужно классифицировать: определить, какие данные обрабатываются в системе и насколько опасна их утечка. Во-вторых, надо подготовить целый ряд внутренних документов, регламентирующих работу этих систем. В-третьих, нужно их защитить, а также провести их аттестацию, что весьма недешево. Участник конференции, приехавший из маленького городка в Свердловской области, подсчитал, что защита одного рабочего места обойдется и без того небогатому местному бюджету от 30 до 70 тысяч рублей — в зависимости от сложности. И наконец, в-четвертых, желательно уведомить надзорные органы о том, что ваша организация является оператором персональных данных.

Тут сотруднику администрации не может не прийти в голову грустное слово «проверка». Потому очень кстати было выступление представителей тех самых надзорных органов. Они не смогли, конечно, объять необъятное, но поведали главное:

— В Свердловской области 164 тысячи потенциальных операторов персональных данных. В 2010 году мы проверим чуть больше тридцати предприятий и организаций, — сообщил помощник руководителя управления Роскомнадзора по Свердловской области Александр Головихин. — Внепланово будем проверять только по заявлениям граждан. Плановые проверки носят методически-рекомендательный характер, а все основные требования к операторам содержатся в постановлениях 781 и 687. Минимальные меры по защите персональных данных не требуют особых затрат. Нужно подготовить список лиц, допущенных к программному обеспечению, написать правила работы с персональными данными, установить замки на ящиках с личными делами сотрудников.

Начальник отдела управления Федеральной службы по техническо-экспортному контролю по УрФО Олег Чувардин сообщил, что его ведомство также не планирует массовых проверок. Оповещать о контрольном мероприятии будут за два месяца. Олег Чувардин также отметил, что операторы персональных данных могут воспользоваться методическим руководством, разработанным ФСТЭК.

Во многих городах формируют свои подходы к реализации закона. На конференции прозвучало два ключевых тезиса. Прежде всего, нужно сократить использование персональных данных в работе до необходимого минимума. Не всегда муниципальным службам нужно знать всю подноготную человека. И второй момент: если все же приходится обрабатывать персональные данные, нужно постараться получить на это письменные разрешения граждан.

В городе Иваново центр учета регистрации граждан уже собрал 60 тысяч таких разрешений — пятую часть необходимого количества. Центр работает как единый городской паспортный стол, а также сотрудничает с ЖКХ, в частности, выдает справки о регистрации граждан, то есть обрабатывает важную информацию о жителях города. Как рассказал директор центра Владимир Щербаков, уже пришлось участвовать в судебном разбирательстве:

— На нас подал в суд гражданин, имевший большую задолженность по оплате коммунальных услуг. Информацию о нем мы передали в «Водоканал». Суд посчитал, что доказательства получены незаконно, потому что этот человек не давал разрешения на использование своих персональных данных. Правда, и гражданин теперь не сможет воспользоваться услугами нашего центра, пока не даст согласия на обработку своих данных.

В Сургуте пошли еще дальше. В городе более 30 информационных систем работают с персональными данными. Получать для каждой отдельное разрешение от одного и того же человека посчитали нелогичным. Разрешение берется один раз и заносится в специальную базу данных, которая подключена к остальным системам. Начальник управления связи и информатизации Сургута Надежда Артемьева говорит, что на конференции по-новому взглянула на многие аспекты, связанные с реализацией закона:

— Юристам нужно пересмотреть необходимость обработки персональных данных в том виде, как это делается сейчас. Зачем, например, управлению здравоохранения информация по каждому пациенту, которая поступает из поликлиник и больниц? На самом деле управлению нужна только статистика.

Порадовало, что конференция не скатилась до брюзжания по поводу качества закона. IT-сообщество готово искать в документе стимулы к развитию. Возможно, ужесточившиеся требования заставят более активно заняться информатизацией не только «продвинутые» муниципалитеты. Тем более что вдобавок к закону о персональных данных городским администрациям предстоит озаботиться еще и реализацией Федерального закона «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления». Нужно создавать общегородские сайты, реорганизовывать работу с населением. К этому муниципалитеты готовы в разной степени. Бюджетное неравенство никуда не делось, а законодатель, как отметили на конференции, предъявляет одинаковые требования и к городам-миллионникам, и к крошечным поселкам.

Так уж сложилось, что пока фундаментом информационной системы страны остаются региональные столицы: большое городское хозяйство нуждается в информационных технологиях, поэтому находятся и деньги. Впрочем, свои успехи есть и у челябинской Сатки, и у подмосковного Зеленограда, и у южного Майкопа. А значит, дело не только в масштабах решаемых задач.