Будут ли перенесены контрольные сроки приведения в соответствие информационных систем персональных данных требованиям Федерального закона «О персональных данных»?

Роскомнадзор считает нецелесообразным изменение установленных Федеральным законом сроков приведения ИСПДН в соответствие с указанными требованиями.

Вместе с тем, Роскомнадзор полагает, что проблемные вопросы напрямую связаны с существующей методологией защиты ИСПДН, требующей проведения их классификации и использования шифровальных (криптографических) средств защиты информации.

Имеющаяся на сегодняшний день методология является сложной организационно и финансово обременительной для большинства Операторов. В первую очередь, это относится к операторам муниципального уровня – детским садам, школам, больницам. Методология не предусматривает никакой разницы применительно к категориям Операторов и, соответственно, к объемам и видам обрабатываемых ими персональных данных.

Установленные ФСТЭК России требования, изложенные в методических рекомендациях, фактически имеющих обязательную силу, имеют гриф «для служебного пользования» и не являются общедоступными.

По сути, действующая сегодня законодательная база обеспечивает защиту собственно информации, а не прав граждан при обработке их персональных данных в информационных системах.

Роскомнадзор разделяет мнение Операторов относительно затруднений, возникающих в процессе применения норм Федерального закона «О персональных данных», и полагает необходимым для разрешения указанных проблемных вопросов инициировать в установленном порядке внесение изменений в законодательные акты Российской Федерации в области персональных данных в части:

- уточнения перечней информации, обрабатываемой в ИСПДН Операторов различных категорий и подлежащей передаче, в том числе, трансграничной;

- изменения методологии, связанной с определением и применением методов и способов защиты информации в ИСПДН, устанавливаемых ФСБ России и ФСТЭК России, в том числе, изменения критериев и процедуры классификации ИСПДН и требований по обеспечению информационной безопасности с целью снижения финансовых издержек Операторов;

- ужесточения ответственности Операторов за нарушение прав субъектов персональных данных в случае неприменения необходимых организационных и технических мер, предусмотренных статьей 19 Федерального закона «О персональных данных».