На главнуюКарта сайтаКонтакты

115419, Москва, 2-й Рощинский пр-д, д. 8, 
тел.:  +7(495) 777-84-45, +7(499) 391-41-71

 

 

 

 

Новости
Аналитика
Законодательство
Письма Регулятора
О компании
Контакты
Наша команда
В начало

 


|

 

Система защиты персональных данных

В последнее время Оператором связи всё чаще получаются запросы на приведение деятельности оператора связи в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных).

В частности обсуждение есть например здесь http://forum.nag.ru/forum/index.php?showtopic=127606

Связано это, на наш взгляд, со вступлением с 1 июля 2017 г. в силу поправок в Кодекс РФ об административных правонарушениях, которые ощутимо расширяют ответственность операторов за несоблюдение условий обработки персональных данных. Так, размер максимальной ответственности повысился с 10 000 до 75 000 рублей, также выросло и количество возможных нарушений в этой области.  Подробности см. http://www.consultant.ru/document/cons_doc_LAW_212391

Учитывая относительную новизну сферы персональных данных в России, хотелось бы осветить основные моменты, показать некоторые подводные камни для того, чтобы помочь сформировать мнение о безопасности персональных данных, минимально необходимых действиях для обеспечения такой безопасности.

Для начала следует разобраться с тем, что же представляют собой персональные данные. В упомянутом законе определено, что персональные данные, это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Довольно широкое понятие, охватывающее всю информацию, начиная с ФИО человека, его даты рождения и заканчивая религиозными убеждениями. Закон обязывает всех, кто обрабатывает персональные данные (операторов персональных данных) обеспечивать надлежащую безопасность такой обработки. Это выражается в предъявлении требований к операторам персональных данных относительно способов обработки, гарантий нераспространения и недопущения утечек персональных данных. Роскомнадзором могут проводиться проверки соблюдения таких требований, а в случае нарушения законодательства налагаться административная ответственность.

Что же необходимо, и что требует надзорный орган на практике?

Во-первых, субъект, данные которого обрабатываются, должен быть осведомлён о подобной обработке, равно как и об условиях, на которых обрабатываются данные. Это выражается в получении однозначно определённого согласия субъекта на обработку его персональных данных, а также в опубликовании политики (т.е. условий) обработки персональных данных организацией. Подобная политика должна быть опубликована в свободном доступе на веб-сайте оператора либо в местах работы с абонентами. В том случае, если персональные данные собираются посредством веб-сайта – то такая политика обязательно должна быть опубликована именно на этом веб-сайте. Нарушения в данной области легче всего выявляются и фиксируются, путём систематического наблюдения за ресурсами организации. В частности за неопубликование политики следует штраф 15-30 тыс. руб. Учитывая постоянные изменения законодательства в области персональных данных очень важно размещать только актуальную версию документа, так как претензии предъявляются не только к наличию самого документа, но и к его качеству.

Во-вторых, обработка персональных данных внутри организации должна быть максимально безопасной. Это означает, что в случае обработки персональных данных с использованием информационных систем (читай – на любом электронном устройстве) необходимо разработать модель потенциальных угроз в отношении персональных данных. В соответствии с моделью необходимо все эти угрозы устранить или минимизировать. Здесь и встаёт вопрос о том, как доказать Роскомнадзору соблюдение установленных законодательством требований. Учитывая специфику проведения проверки (документарная) – необходимо максимально качественно составить комплект локальной и технической документации, который не оставит надзорному органу ни малейшего шанса придраться к оператору связи.

Основываясь на многолетнем опыте и профессионализме наших сотрудников, разработан, успешно применяется и систематически обновляется уникальный пакет документов, помогающих максимально соблюсти требования законодательства и успешно пройти проверку в любом регионе Российской Федерации.

             В рамках подготовки соответствия Системы защиты персональных данных (далее - "ПеДн") Оператора связи законодательству РФ, ОрдерКом готовит нижеследующие документы:

• Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области ПеДн
• Положение о комиссии по приведению в соответствие с требованиями законодательства в области ПеДн
• План мероприятий по приведению в соответствие с требованиями законодательства в области ПеДн
• Приказ об утверждении списка лиц, имеющих доступ к обработке ПеДн
• Форма Обязательства о неразглашении ПеДн
• Приказ о проведении внутренней проверки в области ПеДн
• Перечень ПеДн, подлежащих защите
• Форма согласия абонента на обработку ПеДн
• Форма согласия сотрудника на обработку персональных данных
• Приказ о выделении помещений для обработки ПеДн
• Перечень информационных систем ПеДн
• Технический паспорт информационных систем ПеДн
• Приказ о назначении ответственного администратора информационной безопасности
• Инструкция администратора информационной безопасности
• Приказ об утверждении Положений в области ПеДн
• Положение об обработке ПеДн (Политика)
• Положение о защите ПеДн
• Положение о хранении ПеДн
• Приказ о классификации информационных систем ПеДн
• Акт классификации информационных систем ПеДн
• Приказ об утверждении Инструкции пользователя информационных систем ПеДн
• Инструкция пользователя информационных систем ПеДн
• Порядок резервирования и восстановления ПеДн
• План внутренних проверок в области ПеДн
• Регламент по реагированию на запросы субъектов ПеДн
• Инструкция о порядке обращения с носителями ПеДн
• Правила внутреннего контроля в области ПеДн

Если у Вас существуют пробелы в области обеспечения безопасности персональных данных или Вы хотите получить консультацию по любому интересующему вопросу из этой области - обращайтесь к нам по телефону +7 (495) 642-73-77 (доб. 01) или на эл. почту нашего специалиста - andrey@ordercom.ru