В РКН заявили о необходимости разработать отраслевые стандарты работы с данными

МОСКВА, 26 октября. /ТАСС/. Отраслевые стандарты работы с персональными данными должны быть разработаны в России. Такое мнение выразил в беседе с ТАСС заместитель руководителя Роскомнадзора (РКН) Милош Вагнер.

"В России должны быть разработаны отраслевые стандарты работы с данными. Разрабатываться они должны по итогам тщательного исследования каждой отрасли, изучения обоснованных потребностей субъектов правоотношений в тех или иных персональных данных", - отметил Вагнер.

Как подчеркнули в ведомстве, нередко у организаций происходит необоснованное, избыточное накопление данных о гражданах - "на всякий случай", без четкой цели их дальнейшего использования. Это противоречит одному из ключевых принципов обработки персональных данных: "обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки".

"Профильным ведомствам целесообразно сформулировать и контролировать - какой конкретно набор данных действительно минимально необходимый для достижения тех или иных целей, какие особенности работы именно в каждом конкретном случае", - уверены в РКН.

Стандарты должны предусматривать переход от бесконтрольного получения сведений от самого человека к получению сведений от уполномоченных органов при необходимости. "Нужно предусмотреть использование доверенных посредников, которые будут гарантировать идентификацию человека для оператора, но при этом исключать передачу оператору всех идентификаторов о нем", - добавил Вагнер.

По словам замруководителя ведомства, договоры, исполнение которых предполагает обработку личных данных граждан, не должны давать возможность собирать сведения о человеке в объеме, который не предусмотрен законом или упомянутыми стандартами.

В целом, уверены в РКН, доверить хранение и обработку значительных объемов персональных данных - от 100 тыс. записей - можно только компаниям, действительно подтвердившим способность организовать их безопасную обработку. При этом такие операторы должны соответствовать следующим критериям: быть российским юридическим лицом; иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора; иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн рублей; использовать для обработки персональных данных базы данных только на территории РФ; а также подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.