Главная \ Руководителю \ Защита персональных данных
РУКОВОДИТЕЛЮ
 CRM  MS  
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
26 января 2007 г. вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», который определил необходимость защиты персональных данных (ПДн) субъектов. Информационные системы, обрабатывающие ПДн, должны быть приведены в соответствие с требованиями Федерального закона.
 
Информации по этой теме очень много, но количество вопросов только увеличивается. Уверены, они есть и у вас:
 
  • Распространяется ли 152-ФЗ на вашу компанию?
  • Что конкретно нужно сделать для защиты персональных данных?
  • Как избежать карательных санкций со стороны регулирующих органов?
 
Мы поможем разобраться в этих вопросах!

 
Являетесь ли вы обработчиком персональных данных?

Если в Вашей компании работает более одного сотрудника – Вы являетесь оператором персональных данных, а, значит, попадаете под действие Федерального закона № 152-ФЗ «О персональных данных».
 
Цитата из закона (ст. 3, п. 2):
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
 

Что такое персональные данные?

Если избежать определения, данного в законе (статья 3, п. 1), и сказать проще, то персональные данные – это любая информация, относящаяся к физическому лицу – сотрудникам компании, клиентам, партнерам и пр. Например: ФИО, паспортные данные, номер пенсионного свидетельства, номер телефона, ИНН, семейное положение, имущественное положение, образование, профессия, доходы и т. д.
 
 
Что понимается под обработкой персональных данных?

Обработкой считается любое действие с персональными данными (с использованием автоматизированных систем или без них): сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3, п. 3).
 
По своей сути закон обязывает операторов персональных следовать установленным требованиям и вводит достаточно жесткие ограничения. Особенно это касается автоматизированной обработки персональных данных.
 

Последствия несоблюдения закона

Цель закона 152-ФЗ – обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
За невыполнение требований закона предусмотрена административная и уголовная ответственность. Проанализировав КоАП РФ и УК РФ можно выделить ряд статей, определяющих ответственность в области обработки персональных данных. И если просмотреть публичные доклады Роскомнадзора о деятельности в области персональных данных за последние пару лет, то увидим, что для привлечения операторов к ответственности фактически применяются следующие статьи.
 
КоАП статья 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Ответственность – штраф на граждан в размере от 300 до 500 рублей; на должностных лиц - от 500 до 1000 тысячи рублей; на юридических лиц - от 5000 тысяч до 10 000 тысяч рублей. В ближайшем времени штрафы за нарушение данной статьи вырастут в десятки раз.
 
КоАП статья 13.12 «Нарушение правил защиты информации». Ответственность - штраф на граждан в размере от 500 до 1000 рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от 1000 тысячи до 2000 рублей; на юридических лиц - от 10 000 до 20 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой.
 
КоАП статья 19.7 «Непредставление сведений (информации)». Ответственность – штраф на граждан в размере от 100 до 300 рублей; на должностных лиц - от 300 до 500 рублей; на юридических лиц - от 3000 до 5000 рублей.
 

Регуляторы и персональные данные

Кто такие регуляторы? Это государственные органы, регулирующие обработку персональных данных в пределах своих полномочий.
 
  • Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
  • Является основным исполнительным и надзорным органом по защите прав физических лиц чьи персональные данные обрабатываются. В настоящее время Роскомнадзором проводятся проверки по результатам проверки выдаются предписания об устранении выявленных нарушений, материалы проверок отправляются в органы прокуратуры.
  • ФСТЭК России – Федеральная служба по техническому и экспортному контролю.
  • Осуществляет контроль защиты информации с применением технических средств.
  • ФСБ России – Федеральная Служба Безопасности.
Традиционно курирует вопросы защиты информации с использованием средств шифрования.
 
 
Реализация требований законодательства

В соответствии с требованиями законодательства оператору рекомендуется выполнить следующие действия:
  1. Определить ответственного за организацию обработки персональных данных, а также структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн (ст. 18.1 п. 1, Приказ ФСТЭК №58 п. 1.3).
  2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить основания обработки и срок хранения ПДн (ст. 3, п.2). Провести внутреннюю проверку (аудит).
  3. Определить необходимость получения согласия субъекта на обработку его ПДн, в том числе в письменной форме (ст. 9, п.1).
  4. Определить необходимость уведомления уполномоченного органа по защите прав субъектов персональных данных о начале обработки ПДн (ст. 22).
  5. Выделить и классифицировать ИСПДн (ст. 19).
  6. Разработать модель угроз для ИСПДн (ст. 19).
  7. Спроектировать и реализовать систему защиты персональных данных (СЗПДн) (ст. 19).
  8. Принять организационные меры защиты ПДн.
  9. Разработать организационно-распорядительную документацию.
  10. Определить перечень мероприятий по защите ПДн.

Услуги ГК «Пилот»

ГК «Пилот» предлагает полный комплекс услуг по приведению обработки персональных данных в соответствии с действующим законодательством.
 
Проект по внедрению системы защиты персональных данных реализуется в несколько этапов:
 
1.       Обследование информационных ресурсов и выработка рекомендаций.
2.       Проектирование СЗПДн и разработка нормативной базы по защите ПДн.
3.       Внедрение и запуск в эксплуатацию СЗПДн.
4.       При необходимости проводится подтверждение соответствия ИСПДн требованиям безопасности информации.
 
Подход ГК «ПИЛОТ» к оказанию услуг в области защиты персональных данных в соответствии с требованиями Закона №152 – ФЗ «О персональных данных» позволяет получить:
 
  • Снятие рисков применения карательных санкций со стороны регулирующих органов (ФСБ России, ФСТЭК России, Роскомнадзора)
Все работы выполняются в соответствии с федеральным законодательством, подзаконными актами и нормативными документами, регулирующими вопросы защиты персональных данных.

  • Снижение затрат оператора на внедрение решений по защите персональных данных
Решения ГК «ПИЛОТ» по защите персональных данных направлены на нахождение разумного баланса, обеспечивающего выполнение как необходимых требований регулирующих органов, так и требований бизнеса.
 
  • Поддержание работы бизнес-процессов компании
ГК «ПИЛОТ» стремится сохранить в целостности основные бизнес-процессы компании Заказчика, обеспечив при этом выполнение необходимых требований регулирующих органов.

По любым вопросам, связанным с обеспечением защиты персональных данных, вы можете обращаться в Группу компаний «Пилот» по тел. (8512) 645-745!



НОВОСТИ
21.08.2017
Мы получили статус Кандидат в 1С: Центры ERP!
11.01.2017
У вашей компании время от времени возникает потребность в юридических услугах, но держать ради этого штатную единицу нецелесообразно?
10.01.2017
Не все знают, что «Пилот» регулярно реализует крупные отраслевые проекты.


 

  414024, г. Астрахань, ул. Бакинская
, 79   |   (8512) 63-16-00 © 2010 Группа компаний «Пилот»