Право

Защита персональных данных: кто виноват и что делать?

1 января 2010 года закончился срок, отведенный 152-ФЗ на выполнение требований, предъявляемых законом к работе с персональными данными, обеспечивающему защиту интересов субъектов этих персональных данных. Вкратце разобраться в двух сакральных вопросах – «Кто виноват?» и «Что делать?» мы попробуем при помощи данной статьи.
5,5 тыс. 2

Источник: компания «ГЭНДАЛЬФ»

1 января 2010 года закончился срок, отведенный 152-ФЗ на выполнение требований, предъявляемых законом к работе с персональными данными, обеспечивающему защиту интересов субъектов этих персональных данных. Вкратце разобраться в двух сакральных вопросах – «Кто виноват?» и «Что делать?» мы попробуем при помощи данной статьи.

КТО ВИНОВАТ?
Вопрос о конфиденциальных данных впервые возник в Указе Президента РФ 6.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера». Там впервые персональные данные физических лиц были идентифицированы как конфиденциальные данные на законодательном уровне.
Закон 152 ФЗ «О персональных данных» был принят в 2006 году. В нем оговорены основные позиции государства насчет вопросов персональных данных и их защиты. Основные моменты этого закона:

  • Персональные данные – это любая информация, относящаяся к конкретному физическому лицу.
  • Любая организация или физическое лицо, имеющее дело с персональными данными в процессе профессиональной деятельности является оператором персональных данных. Т. е., если по-русски, ВСЕ организации и индивидуальные предприниматели в той или иной степени затрагиваются этим законом.
  • Всем операторам нужно предпринять меры по юридическому оформлению и технической защите обрабатываемых персональных данных до 2010 года.

Законом также обозначаются регуляторы – государственные органы, которые уполномочены контролировать выполнение положений 152-ФЗ, этими регуляторами стали следующие органы:

  • РОСКОМНАДЗОР. СФЕРА ОТВЕТСТВЕННОСТИ – ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛОМ.

Роскомнадзор отвечает за выполнение операторами юридических требований законодательных актов:

  • Регистрацию оператора в специальном реестре операторов персональных данных.
  • Создание «Положения об обработке персональных данных» – основного документа, определяющего, какие персональные данные, с какими целями и в течение какого срока обрабатывает оператор.
  • Создание административно – распорядительных документов, определяющих права и обязанности сотрудников или подразделений по работе с персональными данными.
  • Наличие бумажных разрешений субъектов персональных данных на их обработку в виде конкретных прописанных действий с их данными.
  • ФСТЭК. СФЕРА ОТВЕТСТВЕННОСТИ – ТЕХНИЧЕСКИЕ СРЕДСТВА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА ИСКЛЮЧЕНИЕМ КРИПТОГРАФИЧЕСКИХ СРЕДСТВ

ФСТЭК отвечает за выполнение операторами требований по технической защите данных:

  • Классификацию информационных систем, обрабатывающих персональные данные в зависимости от полноты данных и количества субъектов.
  • Использование сертифицированных средств защиты информации.
  • Сертификацию информационных систем операторов в случае потенциально опасных для субъектов и технологически сложных информационных систем.
  • Физическую защиту информации, в том числе, защиту от кражи информации при помощи считывания злоумышленниками электромагнитных наводок и звуковых колебаний.
  • ФСБ

Федеральная служба безопасности отвечает за использование сертифицированных средств шифрования в случаях, когда информационная система содержит большое количество потенциально опасной информации о людях, например, информации о состоянии здоровья.

ПОЛНОМОЧИЯ И ТРЕБОВАНИЯ РЕГУЛЯТОРОВ ОПИСАНЫ В СЛЕДУЮЩИХ НОРМАТИВНЫХ ДОКУМЕНТАХ:

  • Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

РУКОВОДЯЩИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСТЭК РОССИИ:

  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

РУКОВОДЯЩИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСБ РОССИИ

  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не составляющей государственной тайны, в случае их использования в информационных системах персональных данных с использованием средств автоматизации.
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.

ЧТО ДЕЛАТЬ?
Начинать следует с выполнения требований Роскомнадзора по юридическому оформлению обработки персональных данных. Действовать будем по алгоритму:

1. ПРОВЕДЕНИЕ АУДИТА ДАННЫХ, ХРАНИМЫХ О СОТРУДНИКАХ, КЛИЕНТАХ, ПОСЕТИТЕЛЯХ, ПАРТНЕРАХ И ДРУГИХ ФИЗИЧЕСКИХ ЛИЦАХ
Без жалости убрать все данные, обработка которых не является необходимой! Например, хранение характеристики на сотрудников, содержащих сведения о политических, религиозных взглядах, возможно, следует упразднить, если нет реальной бизнес–ценности в этих данных. По итогам аудита необходимо документировать перечень персональных данных, цели и сроки обработки и хранения персональных данных. Аудит поможет определить способы обработки персональных данных, от которых зависят дальнейшие действия.

2. НУЖНО ЛИ ПОДАВАТЬ УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОСКОМНАДЗОР?
Закон «О персональных данных» разрешает обработку без уведомления, если обрабатываются только данные сотрудников и данные по договорным отношениям с юрлицами, если данные являются общедоступными и обрабатываются без использования средств автоматизации, а также еще в ряде случаев. Однако нужно понимать, что организация, работающая только с внутренними данными,  закрытая от внешнего мира – это, все-таки, абстракция. Следует еще раз все оценить, если Вы приходите к такому выводу. Во всех остальных случаях предприятие обязано подать уведомление на внесение в реестр операторов персональных данных. Форма уведомления доступна в Интернете. Уведомление должно быть направлено в письменной форме с подписью уполномоченного лица или в электронном виде с цифровой подписью.

3. КОМПЛЕКС МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Необходимо разработать организационно-распорядительные документы, которые будут регламентировать работу с персональными данными на Вашем предприятии.
Среди них:

  • положение о персональных данных (инструкции администраторов и пользователей, регламенты взаимодействия с субъектами персональных данных и передаче данных третьим лицам и т.д.),
  • приказ об утверждении списка лиц, обрабатывающих ПД,
  • приказ о назначении лица, ответственного за организацию мер по защите ПД,
  • приказ об утверждении мест хранения материальных носителей ПД,
  • доверенность на физ.лицо, представляющее интересы организации при проверке.

Также должны быть в наличие:

  • книга учета обращений субъектов ПД об обработке их ПД,
  • журнал учета проверок.

Перечень документов можно продолжить. Здесь представлено только самое необходимое. Примеры таких документов доступны в Интернете. Напомним, что данный этап обязателен для всех организаций без исключений!

4. ДЛЯ ОРГАНИЗАЦИИ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ПД НУЖНО ПРИСТУПИТЬ К РАБОТЕ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
Начать нужно с понимания, доступ к персональным данным с каких компьютеров является необходимым для целей бизнеса? Если есть возможность упразднить доступ к данным для всей сети или для большей ее части, то это стоит сделать – чем более простой будет информационная система, в которой производится обработка, тем более надежной она будет и тем меньше требований регуляторов, удовлетворение которых стоит больших денег, к системе будет предъявляться.
На этом этапе стоит оценить свои силы – способна ли ваша организация самостоятельно удовлетворить всем техническим требованиям или стоит привлечь стороннюю организацию, специализирующуюся на предоставлении услуг такого типа. Этот выбор может быть не всегда очевидным и стоит оценивать и соотносить риски и затраты очень ответственно.
Если Вы решили выполнять работы самостоятельно – стоит вооружиться методическими документами ФСТЭК и ФСБ для более полного понимания требований и процессов. Работы и затрат на этом этапе будет много, но это тема для отдельной статьи.

СВЕТ В КОНЦЕ ТОННЕЛЯ ИЛИ ОТСРОЧКА?
На момент написания статьи Государственная Дума практически единогласно приняла поправки к закону об отсрочке некоторых требований закона и смягчении некоторых положений. Единство взглядов, продемонстрированное депутатами, позволяет надеяться на то, что закон пройдет дальнейшие этапы согласования и будет принят. Что он меняет? Он дает всем еще один год, чтобы все привести в порядок. Но это не повод вздохнуть с облегчением и забыть про все до 2011 года!

Заниматься обеспечением безопасности персональной информации необходимо уже сегодня, так как, во-первых, отсрочиваются только требования по технической защите, юридические требования будут проверяться по все строгости. Во–вторых, требований к техническим средствам довольно много и год позволит распределить финансовые затраты более–менее равномерно и успеть подготовиться к встрече с регуляторами без финансовых и репутационных потерь. Поэтапная работа по реализации закона «О персональных данных» поможет сделать все необходимые действия в назначенный срок и будет залогом стабильного и уверенного бизнеса.

Комментарии

2
  • издеваетесь

    Очередной повод для очередной проверки бизнеса, вот так на деле наша власть заботится о том что бы бизнес не кошмарили. и заметьте у всех право проверять не чаще раз в три года (это планово). а если учесть что таких органов (Проверяюших) наберется около 2-х десятков то бизнес проверяют раза 3 на году. Такое ощющение что законы подписываются слепыми, глухими. Интересно. а власти интересуются что про них говорят. Вот например: в СМИ высшие государственные деятели заявляют не допустимо чтобы бизнес так кошмарили чиновники на местах. И знаете какая реакция на это : "кошмарить" на местах начинают с утроенной силой - они, высшие деятели об этом знают?. Так что бизнес просто боится сейчас этих высказываний.
    И повод для "кошмаров" у чиновников конечно же есть. так как очередной принятый закон расширяет их поле деятельности. Не успели мелкие предприниматели провести на местах аттестацию рабочих мест ( принятый закон обязал) а огонцы от инспекции по охране труда уже на этом собирают урожай (штрафы). А что бы провести эту аттестацию нужно опять заплатиить энную сумму. Об этих нарушениях( аттестациях) охрана труда сообщает прокуратуре, прокуратура в свою очередь по второму кругу "кошмарит" бизнес. Вот только пример по проверке только одного ведомства, а их как указано выше более 2-х десятков. Теперь вот с 2011 года будет еще один повод для поборов.
  • Почему, с 2011? Нас, например, уже проверили. Вчера. Предписаний накатали 6 шт, в т.ч. заключить доп.соглашение с медецинской страховой компанией ОМС. А в этой компании говорят - ну вы придумайте форму - мы подпишем. Короче, они не сном, ни духом. Так и заключают типовые договора, которые роскомнадзор не приемлет. Вот такие дела.

Сотрудник банка отдохнул за границей и обогатился за счет клиентки на 29 млн рублей

Сотрудники управления экономической безопасности и противодействия коррупции МВД по Ростовской области выявили факт многомиллионного мошенничества в особо крупном размере сотрудником банковской организации.

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

Три главных изменения 2024 года для бухгалтера ВЭД

Продавцы из ЕАЭС начнут платить налоги в российскую казну, бизнес освободят от отчетности по мелким сделкам с зарубежными партнерами, а цифровые активы становятся обычным способом расчета.

Иллюстрация: Вера Ревина/Клерк.ру

Обязательную маркировку ювелирных изделий перенесут на 2025 год

Чтобы снизить нагрузку с Пробирной палаты, которая будет ставить клеймо на украшения, Минфин перенесет срок обязательной маркировки на 1 сентября 2025 года.

Лучшие спикеры, новый каждый день

С 1 мая запустят эксперимент по маркировке моторных масел

Для борьбы с контрафактом на рынке Минпромторгу предложили включить в эксперимент по маркировке не только моторные масла для автомобилей, но и свечи зажигания, детали подвески и рулевого управления.

Календарь вебинаров для бухгалтера в апреле 2024. Акцент на проверки

Вебинар — простой способ разобраться в любом важном для бухгалтера вопросе. «Клерк» приглашает на вебинары экспертов-практиков, которые понятно и с примерами разберут любую тему. Вы можете задавать спикеру вопросы и он ответит на них в прямом эфире.

Иллюстрация: freepik/freepik
Экспорт

Минпромторг сократит список экспортеров, которые могут получать транспортные субсидии

Изменения затронут только тех, кто занимается экспортом товаров из высокомаржинальных групп.

Опытом делятся эксперты-практики, без воды

С 01 апреля 2024 года порог беспошлинного ввоза товаров, возможно, вернется к уровню €200 евро

Но подготовка новых документов не началась.

УК РФ

Опасное производство 2 года работало без лицензии и получило доход 26 млн рублей

В Ставропольском крае перед судом предстанет обвиняемый в незаконном предпринимательстве с извлечением дохода на сумму более 26 млн рублей.

Обеспечительные меры при ВНП, предварительные обеспечительные меры + защитный лайфхак

Всегда ли налоговики могут наложить обеспечительные меры (арест) на имущество по результатам проверки?

Иллюстрация: Вера Ревина / Клерк.ру
4
64

Кто имеет право работать неполный день

Если у сотрудников есть основания для неполной занятости, работодатель должен установить удобный для работника график и снизить нагрузку.

Календарь вебинаров для бухгалтера в апреле 2024. Платные и бесплатные

Собрали для вас анонсы вебинаров на апрель 2024 года.

Каким числом выставлять счет-фактуру на аванс: бухгалтеры разбираются с формулировками в НК. «Ночной бухгалтер» № 1652

В телеграм-канале «Клерка» бухгалтеры спорили о том, какую дату указать в счет-фактуре на аванс — день получения аванса или любую из последующих пяти дней, которые даны на выставление документа. Истину нашли (вроде).

Иллюстрация: Вера Ревина/Клерк.ру
Миникурсы, текстовые и видеоинструкции для бухгалтеров
IT-компании

Яндекс запустил линейку нейросетей YandexGPT третьего поколения

Искусственный интеллект нового поколения лучше работает со сложными задачами. Бизнес может самостоятельно дообучить нейростеть.

40
Бесплатно с Архив документов

Сколько лет все-таки хранить кадровые документы? Мини-курс

Разбираемся в мини-курсе, какие типы хранения кадровых документов выделяют и какова продолжительность хранения кадровых документов.

Сколько лет все-таки хранить кадровые документы? Мини-курс
НДФЛ

В 2024 году ФНС разошлет уведомления на НДФЛ с процентов по вкладам за 2023 год

В 2024 году вкладчикам впервые необходимо будет уплатить НДФЛ с процентов от банковских вкладов за 2023 год.

Перерасчет имущественных налогов будут делать по-новому

Физлица будут направлять в ИФНС заявления на перерасчет налога на имущество, земельного и транспортного, к которому можно приложить документы, а можно и не прикладывать. Налоговики будут рассматривать это заявление 30 дней.

Как разработать эффективную программу обучения для новых сотрудников

Обучение персонала — сложный и многогранный процесс. Если проводить его правильно, он может стать ключевым инструментом для усиления корпоративной культуры, увеличения продуктивности и стимулирования мотивации сотрудников.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру
5
41
УК РФ

Поиск бывшего гендира может вылиться в вымогательство

Сотрудники главного управления уголовного розыска МВД совместно с коллегами из Красноярского края задержали подозреваемых в серии вымогательств у бизнесменов.

⚡️Итоги дня: Ozon изменил расчет сбора, Дурова призвали внимательнее следить за Telegram, Камчатку трясет

Подготовили обзор главных событий дня. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Интересные материалы

Селлеры нарастили продажи на Ozon в 2,5 раза

Заметнее всего нарастили обороты предприниматели Дальневосточного федерального округа, которые торгуют на маркетплейсе Ozon. Они стали продавать почти в 5 раз больше товаров.