Организация защиты персональных данных работников
Содержание:
- Меры по обеспечению безопасности ПДн
- Ответственное лицо
- Как регулировалось распространение ПД до 1 марта 2021 г.?
- Подача уведомления в уполномоченный орган
- Особенности защиты персональных данных в ЕС
- Организационные меры защиты персональных данных
- Меры по обеспечению безопасности ПДн
- Классическая ситуация: реализовать своими силами, или приглашать консультантов?
- Почему закон поменялся?
- Возможно ли сохранить свои персональные данные от утечки?
- Какая информация относится к персональным данным?
- Уровни защиты
- Суть закона
- Как защитить персональную информацию на ПК
- В каких случаях необходимо проходить аттестацию и сертификацию?
- Что делать операторам персональных данных?
- Выполнение требований 152-ФЗ в банковской сфере
- Что грозит за нарушение закона
Меры по обеспечению безопасности ПДн
Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:
- Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
- Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
- Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
- Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.
Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:
- предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
- предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
- клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.
Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.
На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.
Основные документы
- Уведомление об обработке ПДн (для Роскомнадзора).
- Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
- Согласие субъекта на обработку его персональных данных.
- Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).
- Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
- Документы по организации приема и обработки обращений и запросов субъектов.
- Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.
Внедрение системы защиты
К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.
- Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
- Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
- Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
- Разграничить права доступа к ПДн в ИС.
Технические средства защиты
Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:
- средства защиты от несанкционированного доступа;
- антивирусные программы;
- межсетевые экраны;
- криптографические средства.
Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России
Не последним моментом является и правильная настройка приобретенного ПО.
Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн. При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах. То есть и документальную, и техническую части необходимо периодически актуализировать.
Ответственное лицо
Можно ли назначить нескольких лиц, ответственных за обработку ПД?
В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.
Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?
Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.
Как регулировалось распространение ПД до 1 марта 2021 г.?
1. Законность распространения ПД подтверждалась несколькими способами.
- Оформление согласия на обработку ПД. Оно могло оформляться как письменно, так и путем заполнения формы на сайте4.
Пример: предоставление согласия на обработку ПД на сайте объявлений о продаже автомобилей. Сайт получает согласие продавца, размещает его имя и номер телефона, чтобы с ним могли связаться покупатели.
- Заключение договора с лицом, по которому компания распространяла ПД в его интересах. В этом случае согласие не требовалось5.
Пример: заключение договора с рекрутинговым агентством, по которому оно размещает на своем сайте анкету с ПД соискателя и к ней получает доступ неограниченное число лиц.
2. Если оператор незаконно получил и распространил ПД, то «пострадавшее» лицо доказывало факт незаконности получения оператором его ПД. Оператор обязан был уничтожить ПД, если лицо предоставляло сведения, подтверждавшие, что ПД были получены оператором незаконно6.
Подача уведомления в уполномоченный орган
Обработка персональных данных без уведомления
Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:
- если предприятие обрабатывает персональные данные граждан, которых связывают с предприятием трудовые отношения;
- при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются предприятием исключительно для исполнения указанного договора;
- если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
- если персональные данные являются общедоступными;
- если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
- если персональные данные необходимы для однократного пропуска на территорию предприятия;
- персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
- персональные данные обрабатываются без использования средств автоматизации.
Если один или несколько из перечисленных пунктов относится к вашему предприятию, подавать уведомление в Роскомнадзор не нужно.
Подача уведомления в Роскомнадзор
Во всех остальных случаях предприятие обязано подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления предприятие регистрируется в реестре операторов, осуществляющих обработку персональных данных.
Форма уведомления утверждена Приказом Роскомнадзора № 8 от 17.07.2008 года и содержит следующие основные положения: наименование и адрес местонахождения предприятия; цель обработки персональных данных; категории персональных данных и субъектов персональных данных; правовое основание и способы обработки персональных данных. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Особенности защиты персональных данных в ЕС
25 мая 2018 года вступил в силу Регламент о защите персональных данных. Его действие распространяется на все компании, которые обрабатывают персональные сведения о лицах, находящихся в ЕС.
На что стоит обратить внимание:
- расширился список персональных данных (добавлены данные о местонахождении, IP-адреса, cookies);
- увеличились правовые возможности субъектов ПД (право на перемещение данных из одной компании в другую, право на ликвидацию всех сведений о себе из БД компании);
- появились новые обязательства для операторов (доказательство законности обрабатывания данных, защита ПД по умолчанию, назначение для компаний-нерезидентов представителя в ЕС, определение ответственного лица по защите данных);
- детально прописано согласие субъекта на обрабатывание ПД (согласие выражается активным действием: письменным сообщением, в том числе, и через электронные средства, или же устно);
- описано, какие должны быть приняты меры, если утеряны ПД либо к ним произошел несанкционированный доступ (компания должна послать уведомление контролирующему органу на протяжении 72 часов после произошедшего инцидента, а если утечка данных является существенной, то проинформировать об этом и субъекта ПД для предупреждения о возможной опасности);
- расширена территория действия Регламента за границы ЕС.
Организационные меры защиты персональных данных
Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации. Организационные меры по защите персональных данных включают в себя:
- Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например): положение об обработке персональных данных, положение по защите персональных данных, регламент взаимодействия с субъектами персональных данных, регламент взаимодействия при передаче персональных данных третьим лицам, инструкции администраторов безопасности персональных данных, инструкции пользователей по работе с персональными данными.
- Перечень мероприятий по защите персональных данных: определение круга лиц, допущенного к обработке персональных данных; организация доступа в помещения, где осуществляется обработка ПДн; разработка должностных инструкций по работе с персональными данными; установление персональной ответственности за нарушения правил обработки ПДн; определение продолжительности хранения ПДн и т. д.
Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных: чем выше категория, тем выше требования их защиты.
Меры по обеспечению безопасности ПДн
Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:
- Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
- Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
- Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
- Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.
Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:
- предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
- предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
- клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.
Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.
На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.
Основные документы
- Уведомление об обработке ПДн (для Роскомнадзора).
- Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
- Согласие субъекта на обработку его персональных данных.
- Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).
- Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
- Документы по организации приема и обработки обращений и запросов субъектов.
- Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.
Внедрение системы защиты
К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.
- Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
- Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
- Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
- Разграничить права доступа к ПДн в ИС.
Технические средства защиты
Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:
- средства защиты от несанкционированного доступа;
- антивирусные программы;
- межсетевые экраны;
- криптографические средства.
Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России
Не последним моментом является и правильная настройка приобретенного ПО.
Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн. При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах. То есть и документальную, и техническую части необходимо периодически актуализировать.
Классическая ситуация: реализовать своими силами, или приглашать консультантов?
- Готов ли руководитель компании взять на себя ответственность за успешную реализацию проекта по защите персональных данных?
- Есть ли у компании квалифицированные сотрудники, обладающие глубоким пониманием требований законодательства, а также необходимыми юридическими и техническими знаниями и навыками?
- Может ли руководство компании оценить сроки и стоимость такого проекта?
- Как выполнить требования закона по защите персональных данных и при этом не нарушить деятельность критических бизнес-процессов компании?
- Каким образом необходимо подавать уведомление в регулирующие органы?
Компания “Pointlane” оказывает полный цикл услуг по консультационным вопросам в области соответствия требованиям законодательства о персональных данных:
- Консультации по вопросам требований законодательства и определения их действия применительно к Вашей организации (в том числе консультации по вопросам соответствия требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, касающимся вопросов обработки ПДн граждан РФ с использованием баз данных, находящихся на территории РФ);
- Обследование процессов и информационных систем обработки персональных данных, формирование рекомендаций по обработке и защите персональных данных;
- Подготовка необходимой организационно – распорядительной документации по вопросам обработки и защиты персональных данных;
- Определение уровня защищенности ИСПДн (информационных систем персональных данных) и формирование необходимых требований к их защите в соответствии с выбранным уровнем защищенности;
- Построение модели угроз и модели нарушителя безопасности персональных данных;
- Проектирование системы защиты персональных данных;
- Закупка и внедрение средств защиты;
- Подготовка ИСПДн к аттестации (для государственных или муниципальных органов) либо декларирование соответствия требованиям законодательства о персональных данных (для всех остальных организаций);
- Подготовка уведомления в Роскомнадзор для регистрации Вашей организации в качестве оператора персональных данных;
- Сопровождение проверок Роскомнадзора;
- Аутсорсинг обязанностей лица, ответственного за обработку и защиту персональных данных.
Почему закон поменялся?
Специалисты уверены, что дело в кибермошенниках, которые активны в последнее время. Например, в 2020 году они украли у россиян 10 миллиардов рублей, а это на 52, 2 % больше, чем в 2019 году. Это происходит и потому, что пользователи активно оставляют данные в сети. Они соглашаются на обработку данных, но затем информация утекает в третьи руки.
Данные используют для обзвона, но это не самое страшное. Плохо, если информация попадает в руки хакеров, которые с ее помощью крадут деньги. В итоге власти решили, что надо ужесточить правила работы с данными, чтобы сайты не раздавали их направо и налево.
Возможно ли сохранить свои персональные данные от утечки?
Конечно, если следовать определенным правилам:
- Не раздавать свою конфиденциальную информацию посторонним.
- При регистрации на неизвестном ресурсе придумывать уникальный и сложный пароль для входа.
- Не применять одинаковые пароли к разным сайтам – так учетную запись будет проще взломать.
- Использовать многоуровневую защиту: привязка одного или нескольких адресов электронной почты и действующего номера мобильного.
- Требовать документ с запретом на разглашение вашей конфиденциальной информации, если она передается третьим лицам (банки, организации).
- Не выкладывайте слишком личную информацию в сеть, даже в частной переписке. Подобные диалоги часто взламываются и могут стать достоянием общественности.
Подумайте о том, что в скором времени конфиденциальной информации может попросту не стать. Мы сами создаем обстановку, когда вся информация о нашей жизни становится общедоступной. Позаботьтесь о себе сами, и знайте свои права.
Какая информация относится к персональным данным?
Закон № 152 указывает, что к ПД можно отнести любые данные, с помощью которых определяется физическое или юридическое лицо. Зачастую предоставление ПД необходимо для оформления документов, в том числе гражданского паспорта, ИНН и т.д.
Закон позволяет вести обработку персональных данных физическим, юридическим лицам, муниципальным органам и государственным учреждениям.
К перечню основных персональных данных относятся:
- ФИО субъекта;
- место постоянного (временного) проживания;
- дата рождения;
- любые данные о семейном, финансовом положении;
- любые данные, связанные с родом деятельности, заработком, образованием.
Все персональные данные принято делить на четыре группы:
1. К первой относятся сведения общего характера, – национальность, приверженность к религии, наличие инвалидности и т.п. Такую информацию часто вносят при заполнении анкет для приема на работу, она также может содержаться в медицинских справках.
2. Ко второй относятся данные, позволяющие выполнить идентификацию лица. К ним причисляют ФИО, адрес, занимаемую должность, место работы и т.д.
3. Третья группа ПД включает биометрику: снимок сетчатки глаза, отпечатки пальцев, данные анализа ДНК.
4. В четвертую входят общедоступные персональные данные. Это сведения, которые не позволяют идентифицировать лицо. Согласно закону, их нельзя причислять к конфиденциальным данным. Например, уровень дохода представителей муниципалитетов, государственных учреждений.
Персональными данными физических лиц по закону считаются:
- ФИО;
- ИНН и дата рождения;
- гражданство согласно гражданскому паспорту и место рождения;
- данные о регистрации и фактическом месте жительства;
- данные о родственниках и супругах;
- данные о дееспособности, свидетельство о смерти;
- сведения о наличии образования;
- сведения о пенсионных доходах;
- данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
- данные о налоговых платежах;
- информация о воинской обязанности.
Персональными данными юридических лиц по закону считаются:
- наименование юрлица;
- юрадрес и организационно-правовая форма;
- местоположение юрлица;
- ОГРН;
- ИНН и КПП;
- номер расчетного счета.
К данному перечню также можно причислить сведения о руководителе.
Уровни защиты
Согласно требованиям нормативно-правовых актов, для СЗПД компаний выделяется несколько уровней безопасности, обусловливающих применение тех или иных средств защиты. Всего их четыре:
- максимальный;
- высокий;
- средний;
- низкий.
В целях упрощения указания уровней в технической документации они маркируются литерами «У» с цифрой, означающей класс защиты: 1 – наиболее высокий, 4 – низкий. Для каждого оператора требованиями устанавливается свой уровень защиты. Его выбор определяется, исходя из следующих характеристик:
- количества субъектов, чьи данные подлежат обработке;
- класса и степени ценности обрабатываемой информации;
- используемых видов обработки, выбранных из перечня, установленного законом;
- актуальности и типа угроз.
Учет этих параметров помогает разработать эффективную систему мер, способную справиться с угрозами сохранности данных всех предполагаемых уровней. В выборе класса средств можно сориентироваться, изучив п. 4-16 Постановления Правительства № 1119. Оператор разрабатывает систему безопасности персональных данных и выбирает меры и средства или самостоятельно, или привлекая специализированную организацию. Такая компания должна иметь лицензию, позволяющую ей заниматься разработкой и внедрением СЗПД
При выстраивании отношений с такой организацией особое внимание необходимо уделить документированию поставки всех элементов системы по защите персональных данных, наличию как эксплуатационной, так и финансовой документации. Оба эти момента могут стать объектом проверки, проводимой Роскомнадзором или ФСТЭК.
Суть закона
Требования постановления заключаются в следующих аспектах:
- Организация обрабатывает персональные данные только при заключении письменного соглашения с владельцем.
- Биометрические сведения не разглашаются третьим лицам.
- Хранить информацию можно только на территории России. Это условие соблюдается для всех видов носителей, в том числе и хостингов интернет-сайтов.
- Оператор использует частные данные исключительно при процессах, оговоренных в соглашении. С ними владелец информации ознакомлен.
- При завершении работы организация обязана уничтожить данные.
Контролируют соблюдение всех условий закона государственные организации:
- Роскомнадзор;
- Федеральная служба по техническому и экспортному контролю;
- трудовая инспекция.
У законопроекта три действующие стороны: организация, использующая ПДн, лицо, которому они принадлежат, и исполнительные органы, следящие за правоотношениями участников.
Как защитить персональную информацию на ПК
Выполнение нижеприведенных шагов позволит защитить персональные данные на ПК максимально эффективно.
Шифрование
Защитить информацию поможет ее шифрование – на жестких дисках, USB-накопителях содержится огромное количество ПДн. Учетные данные, конфиденциальная информация могут стать достоянием сторонних лиц в случае утери этих носителей. Чтобы защитить эти данные, необходимо не только установить надежный пароль, но и зашифровать диски, что закроет к ним доступ, если неизвестен пароль.
Корпоративные, максимальные версии Windows 7, Windows Vista содержат в себе инструмент шифрования BitLocker. Другие ОС могут использовать бесплатную TrueCrypt (tryecrypt.org), чтобы зашифровать часть данных или полностью весь диск.
Обладателям ОС Mac OS X можно использовать FileVault. Этот инструмент шифрует папки на рабочих столах. Новая версия Mac OS X шифрует весь рабочий стол Lion.
Сегодня можно приобрести внешние диски, накопители, имеющие встроенные средства шифровки, включая сканирование отпечатков пальцев владельца.
Обновление ПО
Это самый простой способ защиты ПК. Обновлять нужно не только саму операционку, но и иные установленные на компьютере программы. Разработчики постоянно обновляют версии собственных продуктов, улучшают их функционал, исправляют недочеты, закрывают слабые места, через которые возможна утечка данных. Часто обновленные версии содержат новые компоненты и наделяются новыми функциями.
Во многих программах есть специальная функция автообновления, оповещения о появившемся обновлении. Если такое сообщение поступает, нужно немедленно установить предлагаемое обновление. Это позволит снизить риск хищения персональных данных и другой конфиденциальной информации.
Следить за обновлениями поможет довольно популярная программа SUMo.
В каких случаях необходимо проходить аттестацию и сертификацию?
Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс. Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов.
Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия. Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.
Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.
Что делать операторам персональных данных?
Основное изменение в том, что раньше брали разрешение на обработку персональных данных, а теперь нужно разрешение и на распространение. Поэтому юристы рекомендуют переписать соглашения с клиентами, с пользователями или сотрудниками, которые подписали до этого. Потому что даже отправка информации в банк, чтобы оформить зарплатную карту — это распространение персональных данных, а для этого нужно согласие. Вот. что еще лучше сделать, чтобы не нарушить закон:
-
На сайте у каждой формы регистрации лучше поставить кнопку, что пользователь дает согласие на обработку персональных данных.
-
Далее разместите на ресурсе политику конфиденциальности. Ссылку на документ поставьте около каждой формы обратной связи и кнопок регистрации. Единого образца для этой формы нет. Пока это делается в свободном виде.
-
В законе написано, что персональные данные необходимо использовать по назначению бизнеса. Например, кадровому агентству понадобятся ФИО и сведения об образовании, а вот паспортные данные не нужны. Сотрудники Роскомнадзора на вебинарах говорят, что это главная ошибка предпринимателей. Поэтому компании лучше разработать нормативные документы, чтобы указать, как собирают данные и с какой целью.
-
Кроме этого, закон требует назначить сотрудника, который отвечает за то, как в компании собираются и хранятся персональные данные. Назначение оформляют с помощью приказа.
После этого каждая компания обязана направить в Роскомнадзор информацию, что она — оператором персональных данных. По закону это делают до того, как начался сбор данных. Для уведомления зайдите на сайт Роскомнадзора и заполните специальную форму. С 1 июля ведомство обещает сделать специальный электронный сервис для отправки уведомлений.
Роскомнадзор не уведомляют в нескольких случаях:
-
Вы используете только фамилию, имя и отчество;
-
Персональные данные нужны для оформления договора;
-
Данные нужны для заключения трудовых отношений;
-
Обработка данных выполняется без автоматизированных сервисов.
Выполнение требований 152-ФЗ в банковской сфере
Именно изменение закона в 2011 году позволило Российскому Центробанку иметь дело с документами, которые тем или иным образом касаются обработки личных данных. Однако в связи с этим возникло несколько законодательных конфликтов. Дело в том, что условия ФЗ-152 начали конфликтовать с некоторыми положениями «Стандарта Банка России».
Основной конфликт двух государственных документов произошел в связи с методами безопасного хранения конфиденциальной информации. ФЗ-152 приемлет только те виды защиты данных, которые прописаны в его регламенте. В то время как Банк России пользуется совершенно иными средствами. К этому следует добавить также понятийное несоответствие. Так, под определение клиентских сведений попадают все платежные процессы, что делает их совершение более затруднительным.
Поэтому до сих пор выполнение требований закона «О персональных данных» структурами банка не до конца регламентировано и ждет более четких сводов прав и обязанностей.
Что грозит за нарушение закона
При несоблюдении аспектов закона, согласно его 21 статье, операторы данных будут наказаны следующими штрафами:
- 40 000 рублей за несвоевременное удаление личных данных;
- 50 000 рублей за хранение информации в открытом доступе;
- 75 000 рублей за сбор персональных данных без уведомления об этом владельца.
Суммы штрафов суммируются при нарушении нескольких пунктов одновременно, притом физическое лицо, которому принадлежала информация, может подать на организацию в суд для возмещения морального ущерба. Помимо наказания рублем, Роскомнадзор вправе заблокировать сайт оператора персональных данных. Уголовное наказание отсутствует.