ОрдерКом

Пн-Пт с 09.30 до 18.00
Telegram info@ordercom.ru

115419, Москва, 2-й Рощинский пр-д, д. 8, стр.4, комн. 411а

Система защиты персональных данных

В последнее время Оператором связи всё чаще получаются запросы на приведение деятельности оператора связи в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных).

Связано это со вступлением с 1 июля 2017 г. в силу поправок в Кодекс РФ об административных правонарушениях, которые ощутимо расширяют ответственность операторов за несоблюдение условий обработки персональных данных. Так, размер максимальной ответственности повысился с 10 000 до 75 000 рублей, минимальной с 1 до 15 тыс. руб. также выросло и количество возможных нарушений в этой области. Подробности см.ЗДЕСЬ

Наиболее частыми нарушениями, выявленными Роскомнадзором за 1 полугодие 2017 года являются:
• не приняты меры, необходимые и достаточные для выполнения требований 152-ФЗ (9%)
• несоответствие типовых форм документов требованиям законодательства РФ (7%)
• несоблюдение требований по информированию граждан об обработке их персональных данных (6%)

Укажем минимально необходимые действия для обеспечения защиты персональных данных.

Для начала следует разобраться с тем, что же представляют собой персональные данные. В упомянутом законе определено, что персональные данные, это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Довольно широкое понятие, охватывающее всю информацию, начиная с ФИО человека, его даты рождения и заканчивая религиозными убеждениями. Закон обязывает всех, кто обрабатывает персональные данные (операторов персональных данных) обеспечивать надлежащую безопасность такой обработки. Это выражается в предъявлении требований к операторам персональных данных относительно способов обработки, гарантий нераспространения и недопущения утечек персональных данных. Роскомнадзором могут проводиться проверки соблюдения таких требований, а в случае нарушения законодательства налагаться административная ответственность.

        Что же необходимо, и что требует надзорный орган на практике?

Во-первых, субъект, данные которого обрабатываются, должен быть осведомлён о подобной обработке, равно как и об условиях, на которых обрабатываются данные. Это выражается в получении  однозначно определённого согласия субъекта на обработку его персональных данных

Нарушения в данной области легче всего выявляются и фиксируются, путём систематического наблюдения за ресурсами организации и наказываются штрафом 30-500 тыс. руб. Учитывая постоянные изменения законодательства в области персональных данных очень важно размещать только актуальную версию документа, так как претензии предъявляются не только к наличию самого документа, но и к его качеству.

Во-вторых, обработка персональных данных внутри организации должна быть максимально безопасной. Это означает, что в случае обработки персональных данных с использованием информационных систем (читай – на любом электронном устройстве) необходимо разработать модель потенциальных угроз в отношении персональных данных. В соответствии с моделью необходимо все эти угрозы устранить или минимизировать. Здесь и встаёт вопрос о том, как доказать Роскомнадзору соблюдение установленных законодательством требований. Учитывая специфику проведения проверки (документарная) – необходимо максимально качественно составить комплект локальной и технической документации, который не оставит надзорному органу ни малейшего шанса придраться к оператору связи.

Основываясь на многолетнем опыте и профессионализме наших сотрудников, разработан, успешно применяется и систематически обновляется уникальный пакет документов, помогающих максимально соблюсти требования законодательства и успешно пройти проверку в любом регионе Российской Федерации.

В рамках подготовки соответствия Системы защиты персональных данных (далее — «ПеДн») Оператора связи законодательству РФ, ОрдерКом готовит нижеследующие документы:

  • Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области ПеДн
    • Положение о комиссии по приведению в соответствие с требованиями законодательства в области ПеДн
    • План мероприятий по приведению в соответствие с требованиями законодательства в области ПеДн
    • Приказ об утверждении списка лиц, имеющих доступ к обработке ПеДн
    • Форма Обязательства о неразглашении ПеДн
    • Приказ о проведении внутренней проверки в области ПеДн
    • Перечень ПеДн, подлежащих защите
    • Форма согласия абонента на обработку ПеДн
    • Форма согласия сотрудника на обработку персональных данных
    • Приказ о выделении помещений для обработки ПеДн
    • Перечень информационных систем ПеДн
    • Технический паспорт информационных систем ПеДн
    • Приказ о назначении ответственного администратора информационной безопасности
    • Инструкция администратора информационной безопасности
    • Приказ об утверждении Положений в области ПеДн
    • Положение об обработке ПеДн (Политика)
    • Положение о защите ПеДн
    • Положение о хранении ПеДн
    • Приказ о классификации информационных систем ПеДн
    • Акт классификации информационных систем ПеДн
    • Приказ об утверждении Инструкции пользователя информационных систем ПеДн
    • Инструкция пользователя информационных систем ПеДн
    • Порядок резервирования и восстановления ПеДн
    • План внутренних проверок в области ПеДн
    • Регламент по реагированию на запросы субъектов ПеДн
    • Инструкция о порядке обращения с носителями ПеДн
    • Правила внутреннего контроля в области ПеДн

Если у Вас существуют пробелы в области обеспечения безопасности персональных данных или Вы хотите получить консультацию по любому интересующему вопросу из этой области — обращайтесь к нам по телефону или по электронной почте info@ordercom.ru.

Список документов обновляется согласно обновлению Законодательства Росиии