С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.
Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.
Какие данные сотрудника считаются персональными?
Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.
Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.
Что может считаться персональными данными?
В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.
Как организовать защиту персональных данных в организации?
Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.
Чтобы организовать защиту пнд, необходимо:
1) Начать с приказа о назначения ответственного за организацию обработки персданных.
Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.
2) Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.
Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.
Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.
3) Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.
4) Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.
5) Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.
Какие меры необходимо предпринять по защите персональных данных сотрудников?
При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.
Среди мер защиты выделяют:
-
ограниченное число работников, которые имеют доступ к персданным;
-
принятие нормативных документов;
-
утверждение перечня документов, которые содержат пнд;
-
внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;
-
проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;
-
установление режима по пропускам;
Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.
Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?
1. Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.
Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.
2. Не забывать получать разрешение у сотрудников на сбор и обработку данных.
3. Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После достижения целей сбора или истечению срока по заявлению работников уничтожать.
4. Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.
5. Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.
Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных».
Автор: Алексей Залецкий
Зачем нужно защищать персональные данные
В 2022 году исполняется 16 лет с момента принятия закона «О персональных данных» и 13 лет со вступления его в силу. Казалось бы, за это время персональные данные должны были защитить все, кто обязан это сделать по закону. Но реальность такова, что до сих пор существует большой процент предприятий и организаций, которые либо не выполнили требования, либо выполнили только частично. Об этом свидетельствует нахождение множества нарушений во время проверок регуляторами.
Кому нужно защищать персональные данные
Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.
Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.
Основные этапы защиты ПДн
Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:
-
обследование;
-
моделирование угроз;
-
разработка технического задания;
-
проектирование системы защиты;
-
реализация технической части системы защиты;
-
реализация организационных мер;
-
оценка эффективности принятых мер;
-
аттестация;
-
поддержание необходимого уровня защиты в процессе эксплуатации.
Нулевым этапом назовём осознание необходимости защиты персональных данных. Определите, в каких системах ПДн обрабатываются в вашей организации.
Принимая решение о старте активности по защите персональных данных, ориентируйтесь на информацию от Роскомнадзора о результатах проверок. Максимально возможный штраф в случае нарушений может составлять 8 млн. рублей, также возможна приостановка деятельности юридического лица до устранения несоответствий.
Защита персональных данных: пошаговый план
Этап 1. Детальное обследование бизнес-процессов компании для определения, в каких из них и каким образом обрабатываются персональные данные. Нужно выявить все информационные системы персональных данных: от стандартных бухгалтерии и кадров до заказа визиток и корпоративной оплаты спортзала. Результатом этого этапа должен стать аналитический отчёт с указанием несоответствий закону.
Этап 2. Моделирование угроз. Модель угроз – это основа для построения системы защиты персональных данных. Чтобы защищать свои информационные системы от угроз, нужно понимать, какие из них актуальны. Для этого существует методика определения актуальности угроз. Вместе с моделированием угроз обычно производят оценку уровня защищённости персональных данных, более подробно об этом можно прочитать в нашей статье «Модель угроз». Про моделирование угроз вскоре выйдет отдельная статья, в которой мы рассмотрим обновления законодательства и требований к предприятиям в 2022 году.
Этап 3. Разработка технического задания. Источником требований к системе защиты персональных данных являются модель угроз (МУ) и уровень защищённости информационной системы персональных данных (УЗ). Система призвана нейтрализовать те угрозы, которые будут описаны в вашей МУ, а базовый набор мер защиты определяется 21 Приказом ФСТЭК и зависит от УЗ.
Разработать Модель угроз для вашей ИСПДн.
Этап 4. Проектирование системы защиты персональных данных. В соответствии с техническим заданием разрабатывается технический проект на создание СЗПДн (системы защиты персональных данных). В техническом проекте должны быть определены программные и программно-аппаратные средства защиты информации, к которым могут относиться:
-
средства защиты от несанкционированного доступа, включая средства доверенной загрузки;
-
средства антивирусной защиты;
-
средства анализа защищённости;
-
система обнаружения вторжений;
-
межсетевой экран;
-
ряд других СЗИ.
Этап 5. Внедрение или развёртывание системы защиты персональных данных. Технический проект содержит спецификацию средств защиты информации, которые необходимо закупить либо получить в виде услуги.
Этап 6. Реализация организационных мер. Разрабатываются организационно-распорядительные документы, проводится обучение сотрудников и т.д. На этом этапе будет готова вся необходимая информация для уведомления в Роскомнадзор, его необходимо заполнить и отправить в РКН.
Этап 7. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится после создания системы защиты ПДн и до её ввода в эксплуатацию. Выполняются испытания созданной системы на соответствие техническому заданию, для чего необходимо разработать программу и методики испытаний. Испытания состоят из 3 последовательных стадий: предварительных испытаний, опытной эксплуатации и приёмочных испытаний. По результатам каждого этапа оформляются протоколы и акты. Испытания могут быть проведены в формате услуги, точнее система безопасности как услуга будет предоставляться уже в виде испытанной системы.
Этап 8. Проведение аттестации. Форма аттестации обязательна для госорганов, коммерческие предприятия могут выполнять её по желанию.
Этап 9. Эксплуатация. Техническая поддержка СЗИ – важная часть работы, о которой не следует забывать.
После выполнения всех этапов требуется поддержание системы защиты персональных данных в актуальном состоянии. Для этого выполняются периодические проверки состояния защищённости информационных систем ПДн. Периодичность проверок определяется регламентом контроля за состоянием защищённости и задаётся каждым предприятием самостоятельно, но обычно составляет от раза в неделю до раза в месяц в зависимости от типа проверки.
Например, на существующем сайте появилась форма обратной связи, предполагающая введение ПДн. Нужно проанализировать возможные угрозы, которые возникают в связи с этим и понять, достаточно ли будет простого электронного согласия на передачу персональных данных или нужно будет внедрить дополнительные средства защиты информации.
Итак, подытожим. Если в вашей компании есть хотя бы одна система типа бухгалтерии, кадров или CRM, то вы обязаны защищать персональные данные. Для выполнения требований законодательства необходимо разработать регламенты, политики, приказы, положения, журналы, инструкции и т.д., подписать их, внедрить средства защиты информации и проверить, что всё это эффективно работает. Альтернативным вариантом может быть передача всех этих вопросов на аутсорсинг. Проще всего это сделать, разместив систему в защищённом в облаке, воспользовавшись инфраструктурой, ПО и средствами защиты информации поставщика услуг. Можно также отдать на аутсорсинг и подготовку всех организационных мер. Но компания, которая предоставляет такие услуги, должна обладать лицензиями ФСТЭК и ФСБ и иметь именно те средства защиты информации, которые позволяют выполнить требования закона.
Хостинг ИСПДн с соблюдением требований законодательства.
В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.
Обеспечить защиту данных
Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:
- Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
- Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
- Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
- Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки,
можно получить на него сертификат самостоятельно.
Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.
Если вы храните данные в защищенном облаке от VK Cloud (бывш. MCS), часть требований выполняем мы. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Что будет, если не защитить данные
Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:
- Физлицо — на 700–2000 рублей.
- Должностное лицо — на 4 000–10 000 рублей.
- ИП — на 10 000–20 000 рублей.
- Юрлицо — на 25 000–50 000 рублей.
Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.
Разработать документы, описывающие порядок работы с персональными данными
Публичные документы: их показываем тем, у кого берем персональные данные
Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.
Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.
Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.
Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».
Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».
Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.
Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными
Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.
Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.
Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.
Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.
Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.
Что будет, если не разработать документы
Можно получить сразу два штрафа:
- За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
- За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.
Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.
Уведомить Роскомнадзор
Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.
Отправить уведомление можно онлайн, на сайте Роскомнадзора.
Что будет, если не отправить уведомление
Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:
- 100–500 рублей для физлиц
- 300–500 рублей для должностных лиц.
- 3 000—5 000 рублей для юрлиц.
Получать согласие на хранение и обработку персональных данных
Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.
Получить согласие можно двумя способами:
- Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
- Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.
Что будет, если не спрашивать разрешения
За это нарушение положен большой штраф:
- 3 000–5 000 рублей для физлиц.
- 10 000–20 000 рублей для должностных лиц и ИП.
- 15 000–75 000 рублей для юрлиц.
Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ
- Обеспечить защиту данных: установить антивирус, предотвратить доступ к данным посторонних.
- Разработать пакет документов: соглашение об обработке, политику конфиденциальности, модель угроз.
- Назначить ответственного за обработку персональных данных и составить список тех, кто имеет доступ к данным.
- Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.
- Подготовить форму согласия на обработку персональных данных и получать согласие от каждого человека, чьи данные вы собираете.
Читать по теме:
- Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.
- Соблюдение законов о персональных данных.
- Westwing Russia: мы переехали из AWS в облако VK, чтобы предлагать российским клиентам все необходимое.
Комплексная защита персональных данных
18-миллионным штрафом могут наказать компанию за нарушение законодательства в области персональных данных. И только лишь согласия клиентов, сотрудников и контрагентов на обработку личных данных от ответственности не спасут. Придется продумать комплекс защитных мер правового, организационного и технического характера
Нарушение права на неприкосновенность частной жизни – по закону и вопреки ему
Частная жизнь человека – это личное пространство, которое вбирает его внешний вид, убеждения, профессиональные интересы и религиозные взгляды, отношения с родственниками и многое другое.
Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки и телефонных переговоров (ст. 23 Конституции РФ). Но это право относительно: вторжение в личное пространство человека возможно, когда есть законная цель. Такой целью может быть, например, обеспечение общественной безопасности в торговом центре или соблюдение требований антикоррупционного законодательства.
Читайте также
Персональные данные: изменения и опыт практиков
Эксперты рассказали о новых требованиях в области персональных данных и посоветовали компаниям, как их выполнять
06 апреля 2023
Право на защиту частной жизни признано не только на национальном уровне, но и на международном. Оно охватывает в том числе персональные данные (далее – ПД).
Персональные данные – это информационно-цифровое выражение частной жизни. К ним относятся любые сведения, которые можно прямо или косвенно ассоциировать с человеком: Ф.И.О., номер телефона, данные о состоянии здоровья, месте работы, кредите и т.д.
Если не побеспокоиться о защите ПД, то их могут использовать злоумышленники. Кто-то захочет обманом выманить деньги или завладеть чужой недвижимостью, а кто-то – нанести вред здоровью человека или опорочить его репутацию.
На фоне стойкого риска утечки ПД и их несанкционированного оборота законодательство о персональных данных регулярно уточняется. За этими обновлениями важно следить, чтобы не пришлось расплачиваться за несоблюдение установленных требований.
Реформа в области персональных данных 2022 года
В июле прошлого года значительно изменился Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ):
- этот закон стал применяться экстерриториально, т.е. теперь он распространяется на зарубежные компании, обрабатывающие ПД российских граждан;
- сократился перечень операторов, которые не обязаны уведомлять Роскомнадзор о начале обработки ПД;
- появились новые требования к согласию субъекта на обработку ПД – оно должно быть не только конкретным, информированным и сознательным, но также предметным и однозначным;
- появились новые требования к поручению на обработку ПД – в него надо включать порядок совместного расследования инцидента утечки ПД;
- появилось новое основание для уведомления Роскомнадзора – трансграничная передача ПД, а также разработана форма уведомления;
- сократились сроки взаимодействия оператора с госорганами и субъектами ПД – с 30 дней до 10 и 15 дней;
- появились новые требования к политикам обработки ПД – в них должны быть отражены все перечни обрабатываемых ПД и категории субъектов по целям обработки данных.
Ответственность за нарушения в области персональных данных
За нарушения законодательства в области персональных данных могут привлечь к административной и уголовной ответственности (ст. 13.11, 13.12, 13.14, 19.7 КоАП РФ, ст. 137, ч. 1 ст. 272 УК РФ).
Административные штрафы могут назначить за отсутствие согласий на обработку ПД, за неознакомление субъектов с политикой по защите ПД, за сбор ПД не на территории России. Наказывают как компании-операторов, так и их сотрудников, ответственных за организацию обработки ПД. Штрафы достигают 18 млн руб. – именно столько придется заплатить за повторную нелокализацию баз ПД на территории России (ч. 9 ст. 13.11 КоАП РФ).
Гражданско-правовая ответственность последует за распространение порочащих недостоверных сведений, за нарушение прав гражданина на изображение и неприкосновенность частной жизни (ст. 152, 152.1, 152.2 ГК РФ).
Во время мартовского вебинара представители Роскомнадзора рассказали о дальнейшем ужесточении ответственности в области персональных данных. За утечку ПД и их незаконный оборот для операторов хотят ввести фиксированный и оборотный штрафы.
Репутационные риски компании в случае утечки данных
Мы все чаще слышим об утечках персональных данных. А значит, операторам нужно быть внимательнее при организации работы с ПД, выборе программного обеспечения и технических средств защиты.
Если оператор допускает утечки ПД, он становится объектом пристального внимания Роскомнадзора. В таких случаях ведомство проводит проверочные мероприятия, даже несмотря на действие моратория на проверки.
Более того, информация об утечке больших баз данных сразу появляется в СМИ, что негативно влияет на репутацию оператора. Люди отдают предпочтение тем, кто уважает их права и оберегает их данные.
Способы защиты персональных данных
Защиту персональных данных нельзя назвать просто «бумажной историей». Получение согласия на обработку ПД – лишь малый шаг на пути к обеспечению безопасности данных.
Как только компании переданы персональные данные клиентов, сотрудников или контрагентов, у нее возникает обязанность по их защите, в том числе по соблюдению одного из важнейших принципов обработки ПД – конфиденциальности данных (ст. 7 Закона № 152-ФЗ, ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).
Защита ПД – это комплекс мер правового, организационного и технического характера, направленных на обеспечение сохранности и безопасности ПД (ст. 19 Закона № 152-ФЗ).
Правовые меры защиты предполагают принятие локальных нормативных актов и организационно-распорядительных актов:
- политики обработки и защиты ПД;
- положения о порядке уничтожения ПД;
- политики обработки ПД пользователей сайтов;
- положения о внутреннем аудите работы с ПД;
- приказа о назначении ответственного по работе с ПД.
Правовые меры подразумевают легализованное выстраивание отношений с субъектом ПД и контрагентами. Для этого могут понадобиться:
- соглашения о неразглашении конфиденциальной информации;
- поручения на обработку ПД;
- согласия субъектов ПД.
Взаимодействие с Роскомнадзором – еще один способ обеспечить защиту ПД. Для этого пригодятся:
- уведомление о начале обработки ПД;
- информационное письмо о внесении изменений в ранее поданное уведомление о начале обработки ПД;
- уведомление о намерении осуществлять трансграничную передачу ПД;
- уведомление о прекращении обработки ПД;
- согласия субъектов ПД.
Организационные меры могут включать в себя назначение ответственных лиц, обучение работников, формирование культуры приватности в компании.
Меры технического характера предусматривают выбор надежных поставщиков программного обеспечения и серверных мощностей, средств защиты информации, разработку технической документации в компании (технических заданий, моделей угроз), а также реализацию мер защиты данных при работе с программным обеспечением. Оператор должен отслеживать действия в информационных системах для предотвращения риска утечки ПД.
Правила работы с персональными данными на каждый день
1. Развитие корпоративной культуры бережного отношения к любым персональным данным. Для этого необходимо регулярно напоминать сотрудникам компании о важности ПД и правилах работы с ними.
2. Законная обработка ПД на рабочем месте. То есть соблюдение правил хранения на рабочем столе документов, содержащих ПД. Регулярное обновление пароля на персональном компьютере. Бумажные документы и сменные носители данных, содержащие ПД, должны храниться в сейфах, в отведенных для этого шкафах, тумбочках или на отдельных полках.
3. Внедрение «политики чистого стола». К концу дня на рабочем месте не должны оставаться документы и сменные носители данных. Распечатанные документы с ПД не должны залеживаться на принтере.
4. Контроль допуска посторонних лиц – посетителей, клиентов, контрагентов. Они могут находиться в помещениях, где обрабатываются ПД, только в сопровождении и под контролем сотрудников компании.
5. Обработку ПД с использованием компьютерной техники нужно вести в соответствии с политикой и руководством по информационной безопасности компании.
Фото: фотобанк Freepik/@freepik
Заполните форму ниже, чтобы продолжить.
Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .
Заполните форму ниже, чтобы продолжить.
Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .
Узнайте, какие правовые риски угрожают вашему сайту!
В рабочее время перезвоним
в течение 15 минут!
Статья
Персональные данные
Документы на обработку персональных данных
для сайта и организации
1) для защиты от штрафов (до 6 580 000 ₽ с 27.03.2021 г.);
2) для успешного прохождения проверок и профилактических визитов Роскомнадзора;
3) для соответствия новым требованиям Закона №152-ФЗ (от 01.09.2022 г.
и 01.03.2023 г.), в частности:
- требования к согласиям на обработку ПДн;
- требования к политике конфиденциальности и локальным актам;
- требования к сроку реагирования на запросы субъектов;
- требования к поручению обработки ПДн;
- требования к уведомлению Роскомнадзора об обработке ПДн;
- требования к трансграничной передачи;
- требования к оценке степени вреда и уничтожению ПДн.
На этой странице вы сможете найти перечень необходимых документов для соответствия требованиям Федерального закона №152-ФЗ «О персональных данных» и прохождения проверок Роскомнадзора.
Поможем бизнесу выполнить новые требования 152-ФЗ
Напишите нам, мы свяжемся с вами
и ответим на все ваши вопросы!