На выездной конференции LETA в конце прошлой недели в банковской секции активно обсуждался вопрос про техническую защиту ПДн согласно закону. Проблема этой части закона связана с разными правками, которые предлагались перед вторым и третьим чтением в ГД. В результате мы получили что имеем:Статья 18.1 гласит, что "Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами..."
И указывает, что к таким мерам "могут, в частности, относиться" применение правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со статьей 19 настоящего ФЗ.
В статье 19 мы видим формулировку: "Обеспечение безопасности персональных данных достигается, в частности" и далее идет перечень из 9 пунктов, того что нужно сделать.
Формально мы видим два раза слово "в частности", что делает содержание этих статей рекомендательными. Получается, что перечень мер в статье 19 рекомендации. Однако регуляторы на всех последних мероприятиях утверждают, что 19-я статья это полный перечень того что должно быть выполнено.
Спорить можно бесконечно, поэтому выбор какую же позицию занять, каждый должен сделать сам.
