4 сентября 2011 г.

Со мною вот что происходит

Бойцам кадрового фронта, медицинских регистратур, учебных отделов посвящается
Мой лучший друг ко мне не ходит. А ходят в праздной суете разнообразные не те: Роскомнадзор (план заходов), ФСБ (план) и ФСТЭК (план). Захаживает также, обычно по приглашению вышеуказанных гостей, прокуратура, без плана, но «в рамках надзора за соблюдением прав и свобод человека и гражданина органами власти, местного самоуправления, а также органами управления и руководителями коммерческих и некоммерческих организаций».
Какие потенциальные угрозы национальной безопасности может создать обработка персональных данных в чувашском ООО «Шупашкартранс-К», заинтересовавшем Роскомнадзор, утечка персональных данных за счет побочных электромагнитных излучений в Новочеркасском техническом университете, озаботившем ФСТЭК, применение несертифицированной криптографии или ее полное отсутствие в Кызылском Муниципальном родильном доме № 1, тревожащее ФСБ, могут знать только регуляторы, включившие эти объекты в свои планы.
Ну нет в школе, вузе, техникуме, районной больнице, кожно-венерическом диспансере и фирме по установке пластиковых окон службы безопасности, не только информационной безопасности, на которую, при ее наличии, почему-то свалили все проблемы обработки персональных данных и соответствия ФЗ-152, но вообще никакой. И даже отдела автоматизации нет, а уж ИТ-департамента или, что совсем круто, CIO, тем более нет.
А вот персональные данные есть. Работников, пациентов, учащихся, брачующихся и даже жильцов. И компьютеры тоже есть. И сетку талантливый выпускник перед выходом поднял. И домен построил. Потому как у нас в нашем Нижнем Высоковольтске «Электронный город» построили и строго-настрого наказали только в нем и жить. Компы приказали самим найти (а родители вам на что? А молодоженов вне очереди как вы в сентябре регистрируете? А что, пациентов нормальных нет, одни нищие?). Мы люди сообразительные, компы теперь есть. И даже один сервер. На нем 1С с областного радиорынка стоит. А вот софт для «Электронного Н.Высоковольтска» дали бесплатно, что было, то было. Правда, сначала прислали в пакетике Linux, и сказали, что ничего другого ставить нельзя, иначе, как у пермского учителя, тюрьма будет ваш дом. А вот ту часть «Электронного города», которая обеспечивает единый учет трудоспособного населения,сделали под Windows, потому как тендер другой был.
Про персональные данные нам вообще никто ничего не рассказывал. Потом слухи стали всякие доходить про какой-то Роскомнадзор, о котором на нашем трубопрокатном заводе никто вообще не слышал. Я у приятеля с телефонной станции спросил, он говорит, знаю, нашему главному в областном центре лицензию на связь дает и следит, чтобы с сотового телефона в соседней области через нас позвонить нельзя было. А про персональные данные слышал? Да, говорит, слышал. Нас тут проверяли недавно. Называется «мультитерриториальная проверка оператора связи, осуществляющего деятельность в нескольких субъектах Российской Федерации». А тут с этого самого Роскомнадзора письмо приходит. А в нем: «Все юридические лица, не направившие уведомление в территориальное управление Роскомнадзора и не подпадающие под исключения, предусмотренные частью второй статьи 22 ФЗ «О персональных данных», будут привлечены к административной ответственности...» ну, и дальше такими же словами.
Вызывает меня, начальника отдела кадров, наш генеральный и говорит: «У тебя там трудовые книжки всякие и личные дела лежат? Вот ты и разбирайся, что с ними делать. На «Кадровые системы» для компьютеров у меня деньги просил? Просил! Я дал? Дал! Пользуетесь? Вот и отвечай по закону!». Я к юрисконсульту, ну, а она мне дорогу нарисовала – не хуже слесаря из сборочного. Теми же словами.
Деваться некуда. Взял я этот закон «О персональных данных». Стал сам читать. Операторы, прямо или косвенно, трансграничная передача, уточнение (обновление, изменение), данные подлежащие обязательному раскрытию. Черт ногу сломит. Но генеральный у нас суровый мужик. Сказал, что если предписание прокуратура выпишет или в суд по поводу штрафа вызовут – он меня первым уволит. А он у нас серьезный: сказал, значит сделал, уволит. Так что разбираться придется. Тем более, что дочка в Интернете посидела и в плане Роскомнадзора на 2011 год наш заводик нашла. Придут, значит…
Ну, а теперь не от лица начальника отдела кадров, а от себя. Ситуация печальная, но, к сожалению, типичная. Тем более, что происходит то, чего все опасались. На многочисленных ресурсах Интернета начали обсуждаться варианты «наездов» на операторов персональных данных в связи с невыплаченной премией, плохим качеством связи дома или тухлой колбасой в магазине. Оказалось, про премию качать права – безнадега, а вот нажаловаться на невыполнение ФЗ-152 в родном НИИ – проще некуда. И не только варианты наездов обсуждаются, но и детальные сценарии.
Ситуация усугубляется тем, что появилось огромное количество доброхотов, закон первый раз прочитавших или только слыхавших о нем и начавших не только комментировать, но и советовать.
А теперь – рекламная пауза. Специально для кадровиков, юристов и прочих, оказавшихся помимо воли в центре коллизий с персональными данными,  особенно для тех, у кого на предприятии службы безопасности нет, а юрисконсульты не вылезают из проблем выбивания дебиторки в судах, создан учебный курс «Информационная безопасность для специалиста кадровой службы», в котором детально, и что очень важно, в объеме, рассчитанном именно на специалиста по работе с персоналом, юрисконсульта, инспектора учебного отдела, рассматриваются вопросы выполнения законодательства о персональных данных с учетом последних изменений, внесенных ФЗ-261 в закон «О персональных данных». Детально обсуждаются проблемы государственного контроля и надзора, применительно опять-таки к персональным данным.
В качестве бонуса слушателям курса – анализ появляющихся у кадровиков и смежных специалистов проблем в связи с установлением на предприятии режима коммерческой тайны, общее представление о государственном регулировании проблем информационной безопасности (кто, за что и как отвечает, определяет, устанавливает), а также типовые документы, без которых не обойтись при организации работы с персональными данными и регулировании отношений с работниками, связанных с коммерческой тайной. Ближайший общедоступный курс – в Учебном центре «Информзащита» 23 сентября.

2 комментария:

  1. Михаил, хотелось бы задать вопрос и не обидеть.

    В Ваших заметках, публикациях и комментариях вы очень много пишете проблемных местах, спорных моментах в ФЗ, произволе регуляторов и т.п.

    Так какой смысл Заказчику приходить на обучение чтобы узнать о 50 проблемных местах, которые придется решать самостоятельно?

    Если бы я шел на обучение, мне хотелось бы получить от эксперта четкие и однозначные ответы на все вопросы и четкие сценарии "что делать в каких случаях".

    Как вы решаете эту проблему на Ваших учебных курсах?

    ОтветитьУдалить
  2. 2Сергей Борисов. Да какие здесь могут быть обиды. За вопрос спасибо.
    Вы справедливо отметили, что в публикациях я действительно больше говорю о проблемах. Потому что иного способа привлечь внимание к их наличию и необходимости решать не вижу. А на курсах основной акцент - на том, что же надо делать, причем я предлагаю свое экспертное мнение по решению, которое здесь же, в классе, можно обсудить, и, что очень важно - коллективно. Честно говорю о том, что в терминах нынешнего ФЗ решать нельзя, где и какую соломку стелить.
    Однозначные ответы по каким-то вопросам невозможны, как Вы прекрасно понимаете, зная закон. Но вот определить алгоритм, сценарий поведения (стратегию управления риском и реакции на его реализацию) выработать можно, что, как мне кажется, сильно облегчает жизнь оператора.
    Пр таком подходе пока ни одного недовольного курсами, во всяком случае, сказавшего об этом, не было. А обучены уже тысячи людей.

    ОтветитьУдалить