Федеральный закон № 152-ФЗ «О персональных данных» устанавливает требования к частным и государственным организациям, осуществляющих обработку персональных данных.
Если организации обрабатывают персональные данные (сбор, запись, систематизация, накопление, хранение, уточнение, изменение, извлечение, использование, передача), то они должны быть зарегистрированы в реестре операторов, осуществляющих обработку персональных данных. Реестр размещен на сайте Роскомнадзора: http://www.pd.rsoc.ru/
Помимо регистрации в качестве оператора персональных данных необходимо выполнить ряд организационных мероприятий по обеспечению режима защиты персональных данных и разработать комплект организационно-распорядительной документации
1 2
Документация, необходимая для исполнения требований законодательства Российской Федерации в области персональных данных
1. Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных
2. Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных
3. План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных
4. Перечень должностей и третьих лиц, допущенных к обработке персональных данных
5. Форма Обязательства о неразглашении персональных данных
6. Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку
7. Перечень обрабатываемых персональных данных
8. Форма Согласия на обработку персональных данных
9. Форма Согласия на обработку персональных данных для сайта
10. Перечень информационных систем персональных данных
11. Перечень применяемых средств защиты информации
12. Технический паспорт информационных систем персональных данных
13. Приказ о назначении лиц, ответственных за обработку и защиту персональных данных
14. Инструкция администратора информационной безопасности
15. Инструкция менеджера обработки персональных данных
16. Положение по обработке персональных данных (внутренний документ)
Документация, необходимая для исполнения требований законодательства Российской Федерации в области персональных данных
17. Политика компании в отношении обработки персональных данных (для публичного доступа)
18. Положение об обеспечении безопасности персональных данных
19. Уведомление об обработке персональных данных
20. Регламент по определению уровня защищенности информационных систем персональных данных
21. Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
22. Протокол определения ущерба
23. Акты определения уровня защищённости информационных систем персональных данных
24. Техническое задание на систему защиты персональных данных
25. Приказ об утверждении Инструкции пользователя информационных систем персональных данных
26. Инструкция пользователя информационных систем персональных данных
27. Регламент по учёту, хранению и уничтожению носителей персональных данных
28. Регламент по допуску сотрудников и третьих лиц к обработке персональных данных
29. Регламент по реагированию на запросы субъектов персональных данных
30. Регламент по взаимодействию с органами государственной власти в области персональных данных
31. Регламент по резервному копированию персональных данных
32. Регламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности
*угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн**угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн***Угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн
Нужно определить уровень защищенности информационных систем, в которых осуществляется обработка персональных данных (ИСПДн).
Тип ИСПДн Сотрудники оператора
Количество субъектов
Тип актуальных угроз
1* 2** 3***
НДВ ОС НДВ ПО Без НДВ
ИСПДн специальные
Нет > 100 000 УЗ-1 УЗ-1 УЗ-2
Нет < 100 000УЗ-1 УЗ-2 УЗ-3
Да любое
ИСПДн биометрические Да/Нет любое УЗ-1 УЗ-2 УЗ-3
ИСПДн иные
Нет > 100 000 УЗ-1 УЗ-2 УЗ-3
Нет < 100 000УЗ-2 УЗ-3 УЗ-4
Да любое
ИСПДн общедоступные
Нет > 100 000 УЗ-2 УЗ-2 УЗ-4
Нет < 100 000 УЗ-2 УЗ-3 УЗ-4
Да любое УЗ-2 УЗ-3 УЗ-4
Типы информационных систем персональных данных (ИСПДн)
Специальные ИСПДН
в ИСПДн обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных
1 БиометрическиеИСПДн
в ИСПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных
2
ОбщедоступныеИСПДН
в ИСПДн обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных"
3 Иные ИСПДН
в ИСПДн обрабатываются персональные данные субъектов персональных данных, не представленные в трех предыдущих группах.
4
Если организация выполнила все законодательные требования к защите персональных данных, тем не менее существует риск вмешательства регуляторов в деятельность организации.
В соответствии с п. 4 части 3 ст. 23 ФЗ-152 «О персональных данных», уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) имеет право «принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки ПД, осуществляемой с нарушениями требований настоящего ФЗ»
Существует также риск блокирования работы организации путем «перегрузки» ее запросами граждан – субъектов ПДн
Ожидается увеличение штрафов в случаях нарушения законодательных требований:
- 4 - 5 тыс. руб. для физлиц,- 10 - 15 тыс. руб. для должностных
лиц,- Штраф в размере 1,5%
совокупного дохода за год, но не менее 300 тыс. руб. для ИП,
- Штраф в размере 1,5% совокупного дохода, но не менее 500 тысяч рублей для юр. лиц.
Работа с персональными данными регулируется следующими документами:
• ТК РФ• УК РФ• КоАП• ФЗ 152 «О персональных данных»• ФЗ149 «Об информации, информационных технологиях и о защите
информации» • ФЗ 99 «О лицензировании отдельных видов деятельности» • десятки постановлений правительства, указов президента, приказов ФСТЭК,
ФСБ, Минкомсвязи, Минтруда и т.п.
Можно ли самостоятельно выполнить требования закона № 152-ФЗ и подзаконных актов?
Для этого нужно изучить большое количество специфических документов. В некоторых из них разобраться смогут только специалисты из области защиты информации или юристы.
Или можно воспользоваться сервисом
И тогда Ваши сотрудники смогут самостоятельно, отвечая на вопросы анкет, подготовить весь комплект необходимых документов, запланировать и провести необходимые организационно-технические мероприятия.
Преимуществом сервиса «БЕЗ УГРОЗ» является техническая поддержка специалистов, досконально разбирающихся в вопросах обеспечения защиты персональных данных и тонкостях требований законодательства
Фактически Вы получаете удаленного сотрудника для своей организации, который постоянно доступен для решения любых вопросов в сфере персональных данных.
Работать с системой «БЕЗ УГРОЗ» очень просто. Достаточно ответить на простые и понятные вопросы анкет в нужной последовательности. Система проводит пользователей от этапа к этапу, позволяя формировать правильно заполненные документы
Остались вопросы?Задайте их по телефону или по
электронной почте
Отвечает Минаев Сергей Михайловичруководитель проекта «БЕЗ УГРОЗ»Телефон: 8 (499) 784-72-89 e-mail: [email protected]
Recommended
