Система защиты персональных данных
В последнее время Оператором связи всё чаще получаются запросы на приведение деятельности оператора связи в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных).
Связано это со вступлением с 1 июля 2017 г. в силу поправок в Кодекс РФ об административных правонарушениях, которые ощутимо расширяют ответственность операторов за несоблюдение условий обработки персональных данных. Так, размер максимальной ответственности повысился с 10 000 до 75 000 рублей, минимальной с 1 до 15 тыс. руб. также выросло и количество возможных нарушений в этой области. Подробности см.ЗДЕСЬ
Наиболее частыми нарушениями, выявленными Роскомнадзором за 1 полугодие 2017 года являются:
• не приняты меры, необходимые и достаточные для выполнения требований 152-ФЗ (9%)
• несоответствие типовых форм документов требованиям законодательства РФ (7%)
• несоблюдение требований по информированию граждан об обработке их персональных данных (6%)
Укажем минимально необходимые действия для обеспечения защиты персональных данных.
Для начала следует разобраться с тем, что же представляют собой персональные данные. В упомянутом законе определено, что персональные данные, это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Довольно широкое понятие, охватывающее всю информацию, начиная с ФИО человека, его даты рождения и заканчивая религиозными убеждениями. Закон обязывает всех, кто обрабатывает персональные данные (операторов персональных данных) обеспечивать надлежащую безопасность такой обработки. Это выражается в предъявлении требований к операторам персональных данных относительно способов обработки, гарантий нераспространения и недопущения утечек персональных данных. Роскомнадзором могут проводиться проверки соблюдения таких требований, а в случае нарушения законодательства налагаться административная ответственность.
Что же необходимо, и что требует надзорный орган на практике?
Во-первых, субъект, данные которого обрабатываются, должен быть осведомлён о подобной обработке, равно как и об условиях, на которых обрабатываются данные. Это выражается в получении однозначно определённого согласия субъекта на обработку его персональных данных…
Нарушения в данной области легче всего выявляются и фиксируются, путём систематического наблюдения за ресурсами организации и наказываются штрафом 30-500 тыс. руб. Учитывая постоянные изменения законодательства в области персональных данных очень важно размещать только актуальную версию документа, так как претензии предъявляются не только к наличию самого документа, но и к его качеству.
Во-вторых, обработка персональных данных внутри организации должна быть максимально безопасной. Это означает, что в случае обработки персональных данных с использованием информационных систем (читай – на любом электронном устройстве) необходимо разработать модель потенциальных угроз в отношении персональных данных. В соответствии с моделью необходимо все эти угрозы устранить или минимизировать. Здесь и встаёт вопрос о том, как доказать Роскомнадзору соблюдение установленных законодательством требований. Учитывая специфику проведения проверки (документарная) – необходимо максимально качественно составить комплект локальной и технической документации, который не оставит надзорному органу ни малейшего шанса придраться к оператору связи.
Основываясь на многолетнем опыте и профессионализме наших сотрудников, разработан, успешно применяется и систематически обновляется уникальный пакет документов, помогающих максимально соблюсти требования законодательства и успешно пройти проверку в любом регионе Российской Федерации.
В рамках подготовки соответствия Системы защиты персональных данных (далее — «ПеДн») Оператора связи законодательству РФ, ОрдерКом готовит нижеследующие документы:
- Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области ПеДн
• Положение о комиссии по приведению в соответствие с требованиями законодательства в области ПеДн
• План мероприятий по приведению в соответствие с требованиями законодательства в области ПеДн
• Приказ об утверждении списка лиц, имеющих доступ к обработке ПеДн
• Форма Обязательства о неразглашении ПеДн
• Приказ о проведении внутренней проверки в области ПеДн
• Перечень ПеДн, подлежащих защите
• Форма согласия абонента на обработку ПеДн
• Форма согласия сотрудника на обработку персональных данных
• Приказ о выделении помещений для обработки ПеДн
• Перечень информационных систем ПеДн
• Технический паспорт информационных систем ПеДн
• Приказ о назначении ответственного администратора информационной безопасности
• Инструкция администратора информационной безопасности
• Приказ об утверждении Положений в области ПеДн
• Положение об обработке ПеДн (Политика)
• Положение о защите ПеДн
• Положение о хранении ПеДн
• Приказ о классификации информационных систем ПеДн
• Акт классификации информационных систем ПеДн
• Приказ об утверждении Инструкции пользователя информационных систем ПеДн
• Инструкция пользователя информационных систем ПеДн
• Порядок резервирования и восстановления ПеДн
• План внутренних проверок в области ПеДн
• Регламент по реагированию на запросы субъектов ПеДн
• Инструкция о порядке обращения с носителями ПеДн
• Правила внутреннего контроля в области ПеДн
Если у Вас существуют пробелы в области обеспечения безопасности персональных данных или Вы хотите получить консультацию по любому интересующему вопросу из этой области — обращайтесь к нам по телефону или по электронной почте info@ordercom.ru.
Список документов обновляется согласно обновлению Законодательства Росиии