О защите персональных данных
Вспомнилась вдруг история о том как мы несколько лет назад вводили у себя элементы защиты персональных данных. Понятно, что эта тема важная и нужная, но реализация предлагаемая законодательством, как обычно была так себе...
Внедрялся какой-то огромный, в несколько сотен страниц документ, разработанный какими-то вовремя подсуетившимися людьми, содержавший полный набор организационных мероприятий, которые необходимо применять. Хорошо, что по теме информационных технологий там было не очень много, в основном текст касался кадрового учета и обеспечения сохранности оригиналов документов. Так вот, больше всего меня поразили следующие утверждения, взятые из разных статей:
- Необходимо обеспечить периодическое резервирование баз данных, содержащих персональные данные, в том числе на внешнем одноразовом носителе, защищенном от перезаписи.
- При увольнении сотрудника, по его требованию, необходимо удалить все его персональные данные, в том числе во всех резервных копиях.
Как стереть данные на защищенном от перезаписи носителе к сожалению не уточнялось. Но самое веселье начинается, когда задумываешься что делать с обычными архивными копиями, у нас долгосрочно хранятся ежемесячные. Допустим уволился Иванов. Разворачиваем базы данных из всех архивов за время работы Иванова, в каждой удаляем персональные данные Иванова, создаем новые архивные копии измененных баз, заменяем в архивном хранилище старые на новые. Ну красота же. Как же удивительно своеобразно разработчики описываемого текста видят этот мир.
Юридически значимые документы не должны содержать противоречий и невыполнимых инструкций, иначе это превращается в профанацию. Огромные талмуды текста, которые люди не в силах дочитать до конца, плохи тем, что за многочисленной водой скрывается важная информация, которую большинство так и не узнает.