На тему защиты персональных данных не писал только ленивый. Тема настолько избитая, что большинство специалистов при ее упоминании инстинктивно вздыхают. Что же побудило нас снова обратиться к этой теме?
Вспоминается реакция, которую вызывала данная тема у наших клиентов. Эта реакция неизменно бывает двух видов. Некоторые заказчики, закатывая глаза, произносят что-то вроде «Ооо!.. Опять персональные данные! Нам эта тема не интересна!». В основном этим отличаются представители коммерческих организаций. Реакция же специалистов из государственных организаций чаще всего похожа на это: «Сделайте уже что-нибудь с этой темой».
Реакция представителей госсектора понятна — законодательством предусмотрен особый надзор и контроль за темой осуществления защиты персональных данных. Есть целый Федеральный закон (Федеральный закон РФ от 27.07.2006 №152-ФЗ «О персональных данных») и множество нормативно-методических документов, регулирующих данную сферу. Определено ведомство, которое является регулятором данной сферы. Т.е. законодательно указано, кто может прийти к вам в гости для того, чтобы проверить, все ли вы соблюдаете. Это Роскомнадзор (контроль исполнения организационных мер по защите персональных данных, ведение реестра операторов, осуществляющих обработку персональных данных), ФСТЭК (контролирует исполнение технических мер по защите персональных данных, за исключением использования СКЗИ) и ФСБ (контролирует исполнение технических мер по защите персональных данных, за исключением использования СКЗИ, а ФСБ как раз смотрит на использование криптографии).
Если говорить о проблематике защиты персональных данных в контексте правового регулирования, то, на наш взгляд, эти проблемы корнями уходят в историю возникновения 152-ФЗ.
История закона началась в далеком 1981 году. Совет Европы опубликовал конвенцию о защите персональных данных граждан при их обработке с помощью электронных средств. Конвенция предполагает защиту граждан от коммерческого использования электронных баз персональных данных. В 1999 Конвенция редактировалась для включения в нее новых реалий. Именно в этой редакции Россия и подписала Конвенцию 07.11.2001. Сделано это было как необходимый шаг для вступления в ВТО. Конвенция предполагает, что страна, подписавшая документ, предъявляет собственные технические требования к защите персональных данных. Для реализации этого страна должна принять свой закон о персональных данных, который бы закреплял эти требования. Российский закон «О персональных данных» был принят 27.07.2006 и получил порядковый номер 152.