ОрдерКом

Пн-Пт с 09.30 до 18.00
info@ordercom.ru

115419, Москва, 2-й Рощинский пр-д, д. 8, стр.4, комн. 411а

Система защиты персональных данных

В последнее время Оператором связи всё чаще получаются запросы на приведение деятельности оператора связи в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных).

Выросло и количество статей КоАП РФ (возможных нарушений в области Перс. данных.) Подробности см. ЗДЕСЬ

Связано это со вступлением силу поправок в Кодекс РФ об административных правонарушениях (КоАП РФ), которые ощутимо расширяют ответственность операторов за несоблюдение условий обработки персональных данных. Также выросло и количество возможных нарушений в этой области.

Типичным нарушением является отсутсвие политики обработки перс. данных на сайте, и лишь за такое нарушение Штраф по ч.3 ст. 13.11 КоАП РФ = 30-60 т.р.

При этом с 2024 г. в ст. 13.11 КоАП РФ вводится ч. 10 , по который ответственность за отсутствие в реестре Операторов персональных данных составит для Юрлиц и ИП: 100-300 тыс. руб., для Должностных: 30-60 тыс. руб., вводится также иная ответственность:

Наиболее частыми нарушениями, выявленными Роскомнадзором, являются:

• не приняты меры, необходимые и достаточные для выполнения требований 152-ФЗ (9%)

• несоответствие типовых форм Политики Персональных данных и согласий на их обработку требованиям законодательства РФ (7%)

• несоблюдение требований по информированию граждан об обработке их персональных данных (6%)

Укажем минимально необходимые действия для обеспечения защиты персональных данных.

Для начала следует разобраться с тем, что же представляют собой персональные данные. В упомянутом законе определено, что персональные данные, это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Довольно широкое понятие, охватывающее всю информацию, начиная с ФИО человека, его даты рождения и заканчивая религиозными убеждениями. Закон обязывает всех, кто обрабатывает персональные данные (операторов персональных данных) обеспечивать надлежащую безопасность такой обработки. Это выражается в предъявлении требований к операторам персональных данных относительно способов обработки, гарантий нераспространения и недопущения утечек персональных данных. Роскомнадзором могут проводиться проверки соблюдения таких требований, а в случае нарушения законодательства налагаться административная ответственность.

        Что же необходимо, и что требует надзорный орган на практике?

Во-первых, субъект, данные которого обрабатываются, должен быть осведомлён о подобной обработке, равно как и об условиях, на которых обрабатываются данные. Это выражается в получении  однозначно определённого согласия субъекта на обработку его персональных данных

Нарушения в данной области легче всего выявляются и фиксируются, путём систематического наблюдения за ресурсами организации и наказываются штрафом 30-500 тыс. руб. Учитывая постоянные изменения законодательства в области персональных данных очень важно размещать только актуальную версию документа, так как претензии предъявляются не только к наличию самого документа, но и к его качеству.

Во-вторых, обработка персональных данных внутри организации должна быть максимально безопасной. Это означает, что в случае обработки персональных данных с использованием информационных систем (читай – на любом электронном устройстве) необходимо разработать модель потенциальных угроз в отношении персональных данных. В соответствии с моделью необходимо все эти угрозы устранить или минимизировать. Здесь и встаёт вопрос о том, как доказать Роскомнадзору соблюдение установленных законодательством требований. Учитывая специфику проведения проверки (документарная) – необходимо максимально качественно составить комплект локальной и технической документации, который не оставит надзорному органу ни малейшего шанса придраться к оператору связи.

Основываясь на многолетнем опыте и профессионализме наших сотрудников, разработан, успешно применяется и систематически обновляется уникальный пакет документов, помогающих максимально соблюсти требования законодательства и успешно пройти проверку в любом регионе Российской Федерации.

Уведомление в Роскомнадзор об обработке персональных данных должно содержать:

  • наименование (фамилия, имя, отчество), адрес оператора;
  • цель обработки персональных данных (для каждой цели обработки персональных данных указываются категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных);
  • описание мер по обеспечению безопасности персональных данных, предусмотренных законом, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  • ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • дату начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
  • фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

В рамках подготовки соответствия Системы защиты персональных данных (далее — «ПеДн») Оператора связи законодательству РФ, ОрдерКом готовит нижеследующие документы:

  • Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области ПеДн
    • Положение о комиссии по приведению в соответствие с требованиями законодательства в области ПеДн
    • План мероприятий по приведению в соответствие с требованиями законодательства в области ПеДн
    • Приказ об утверждении списка лиц, имеющих доступ к обработке ПеДн
    • Форма Обязательства о неразглашении ПеДн
    • Приказ о проведении внутренней проверки в области ПеДн
    • Перечень ПеДн, подлежащих защите
    • Форма согласия абонента на обработку ПеДн
    • Форма согласия сотрудника на обработку персональных данных
    • Приказ о выделении помещений для обработки ПеДн
    • Перечень информационных систем ПеДн
    • Технический паспорт информационных систем ПеДн
    • Приказ о назначении ответственного администратора информационной безопасности
    • Инструкция администратора информационной безопасности
    • Приказ об утверждении Положений в области ПеДн
    • Положение об обработке ПеДн (Политика)
    • Положение о защите ПеДн
    • Положение о хранении ПеДн
    • Приказ о классификации информационных систем ПеДн
    • Акт классификации информационных систем ПеДн
    • Приказ об утверждении Инструкции пользователя информационных систем ПеДн
    • Инструкция пользователя информационных систем ПеДн
    • Порядок резервирования и восстановления ПеДн
    • План внутренних проверок в области ПеДн
    • Регламент по реагированию на запросы субъектов ПеДн
    • Инструкция о порядке обращения с носителями ПеДн
    • Правила внутреннего контроля в области ПеДн

Если у Вас существуют пробелы в области обеспечения безопасности персональных данных или Вы хотите получить консультацию по любому интересующему вопросу из этой области — обращайтесь к нам по телефону или по электронной почте info@ordercom.ru.

Список документов обновляется согласно обновлению Законодательства Росиии