Тринадцать лет назад, когда в России вступил в силу закон «О персональных данных», мало кто задумывался о защите личной информации. Спустя время ситуация поменялась кардинально. Тема становится все популярнее, в закон принимаются новые поправки, их  активно обсуждают регуляторы, участники рынка и граждане.

Главный специалист отдела организационных методов и средств защиты информации «Центра информационных технологий» Наталья Ботнару рассказала о сложностях работы закона и последних изменениях, произошедших в этой сфере.

- Если вернуться немного назад, в чем была причина принятия закона «О персональных данных»?

- В 2006-ом году Постановлением Европейского союза был принят Общий регламент по защите данных. С помощью этого документа Европейский парламент, Совет Европейского союза и Европейская комиссия усилили и унифицировали защиту персональных данных в Европейском союзе. На основе регламента в России появился свод законов и подзаконных актов по вопросам защиты персональных данных. В 2006 году были выработаны принципы контроля за обработкой персональных данных, выявления нарушений и наказания за эти нарушения.

- Каковы главные итоги применения закона?

- За 13 лет в нашей стране буквально с нуля была создана система защиты прав субъектов ПДн. Я могу приводить здесь много разных цифр, но дело не в них. В начале реализации закона мало кто знал о том, что такое персональные данные, почему их нужно защищать и куда обращаться в случае нарушения прав. На сегодняшний день картина поменялась очень сильно: граждане все больше уделяют внимания законности обработки персональной информации, а организации уже не считают эти вопросы второстепенными.

- Закон претерпел огромное количество изменений. С чем они связаны?

- С 2006 года закон «О персональных данных» претерпел порядка 20 изменений. Были уточнены права субъекта, перечень контролирующих ведомств, меры наказания за нарушения закона. В итоге сегодня оператор может выстроить цепочку конкретных действий, чтобы выполнить все требования и не получить штраф.

- Какое место в этой цепочке отводится «Центру информационных технологий»?

- Наша задача на уровне региона – обеспечить комплексную безопасность ПДн. Для этого разрабатываются документы, определяющие порядок защиты персональных данных и устанавливающие требования к их защите, проводятся обучающие курсы и семинары. Быть на 100% погруженными в тему информационной безопасности — наша обязанность.

- Какие типичные нарушения характерны для операторов персональных данных?

- В каждом сегменте они свои. К типичным нарушениям можно отнести: отсутствие пользовательских соглашений о передаче персональных данных третьим лицам и политик конфиденциальности защищаемой информации, излишний сбор персональных данных, несоответствие заявленным целям обработки и несоблюдение требований хранения.

- Онлайн-магазины, электронные дневники, запись к врачу через портал Госуслуг – все это, бесспорно, очень удобно. Но для использования благ информационных технологий необходимо указывать в интернете свои персональные данные. Как их защитить?

- Защита персональных данных требует комплексного подхода. Задача государства – регламентировать деятельность по обработке ПДн и контролировать выполнение требований законодательства со стороны операторов. Но и мы с вами должны заботиться о сохранности личной информации.  Используйте надежные пароли, устанавливайте программы защиты и своевременно обновляйте их, сводите к минимуму объем персональной информации, которую выкладываете в социальные сети, в том числе в личных сообщениях. Конечно, очень сложно полностью исключить соцсети из жизни, но можно ограничить их использование по возрасту и осознавать последствия размещения информации о себе.

- Как будет дальше развиваться система регулирования защиты персональных данных?

- Взрывное развитие интернета и информационных технологий требуют постоянного обновления систем регулирования защиты персональных данных. С 2018 года возможна регистрация в единой системе идентификации и аутентификации и единой биометрической системе. Это связано с принятием закона, предусматривающего оказание банковских услуг без личного присутствия клиента - через интернет. Также в 2019 году планируются внесение изменений в закон «о персональных данных», в части уточнения определения «биометрические персональные данные».