Але в Законі (ст. 1 з 9) закріплено лише вкрай загальна вимога - вжити організаційні та технічні заходи з охорони від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, поширення персональних даних, а також від інших неправомірних дій. Технічні заходи, які зобов'язаний вжити оператор, можна вважати досить певними, оскільки діють аналогічні нормативні положення, пов'язані із захистом інших видів конфіденційної інформації. Така діяльність по захисту конфіденційної інформації здійснюється шляхом ліцензування і сертифікації засобів захисту інформації Федеральною службою з технічного та експортного контролю, на підставі відповідних положень. Але ось що стосується організаційних заходів, то тут абсолютно відсутні якісь чіткі вказівки на цей рахунок. За аналогією з іншими категоріями інформації обмеженого доступу, такими, як державна таємниця, комерційна таємниця, службова таємниця (у тому числі на підставі перебуває на стадії розгляду в Державній Думі РФ проекту Федерального закону В«Про службову таємницюВ»), до таких дій логічно слід було б віднести:
. Встановлення переліку персональних даних.
. Встановлення кола суб'єктів, що мають доступ до персональних даних.
. Використання спеціального грифа і реквізитів, що дозволяють надалі ідентифікувати інформацію як конфіденційну, - В«КонфіденційноВ».
. Облік (реєстрація) осіб, які фактично отримали доступ до персональних даних.
. Врегулювання відносин з охорони конфіденційності інформації працівниками та іншими особами на підставі трудових та цивільно-правових договорів.
У всіх перерахованих випадках такі дії повинні робитися своєчасно (завчасно), і режим конфіденційності/секретності буде встановлено щодо інформації, виключно після прийняття всіх перерахованих заходів. Відносно ж персональних даних законодавець від такої чіткої регламентації дій оператора з незрозумілих причин відмовився. Зокрема, сформувати перелік персональних даних, обробка яких здійснюється конкретним оператором, видається цілком можливим. Закон в ст. 5 вказує на те, що персональні дані не повинні бути надмірними і перевищувати обсяг, необхідний для досягнення заздалегідь заявлених цілей, а значить, їх конкретний перелік можна і потрібно сформувати завчасно. Те ж стосується персональних даних, обробка яких дозволена на підставі закону (персональні дані працівників) або містяться в договорах між суб'єктом персональних даних і оператором (обробка персональних даних клієнтів, споживачів, абонентів і т.д.). Хоч їх обробка не вимагає відповідного повідомлення органу із захисту прав суб'єктів персональних даних або згоди останнього їх також необхідно було б включити у розглянутий ...
