Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (152-ФЗ) устанавливает строгие требования к обработке и защите персональных данных (ПДн). Несоблюдение этих требований грозит серьезными штрафами для организаций, граждан и должностных лиц.
В этой статье:
- 1. Назначить лицо, ответственное за организацию обработки ПДн
- 2. Разработать и актуализировать внутренние документы
- 3. Соблюдать требования к обработке и хранению персональных данных
- 4. Уведомлять Роскомнадзор о начале обработки ПДн
- 5. Регулярно проводить аудит процессов обработки персональных данных
- 6. Провести технические мероприятия по созданию системы защиты персональных данных в соответствии с классом системы мониторинга и предотвращения утечек
- 7. Соблюдать сроки хранения и уничтожения персональных данных
- 8. Быстро реагировать на инциденты и уведомлять Роскомнадзор
- Вывод
В статье рассмотрим ключевые меры, которые помогут избежать штрафов за нарушения 152-ФЗ.
1. Назначить лицо, ответственное за организацию обработки ПДн
В соответствии с ч. 1 ст. 22.1 152-ФЗ оператор обязан назначить лицо, ответственное за организацию обработки персональных данных.
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
- осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов
Чаще всего ответственным за организацию обработки персональных данных назначают генерального директора, юриста, руководителя отдела кадров или руководителя службы ИБ.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.
2. Разработать и актуализировать внутренние документы
Для соответствия требованиям 152-ФЗ необходимо разработать и утвердить следующие документы:
- Документ, определяющий политику обработки персональных данных. Он описывает цели, принципы обработки и меры защиты ПДн.
- Согласие на обработку ПДн. Этот документ подписывают сотрудники и клиенты организации перед передачей своих данных.
- Локальные нормативные акты по по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований
- Локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений
- Журналы учета. Например, журнал учета съемных машинных носителей персональных данных или журнал регистрации инцидентов.
Регулярное обновление этих документов позволит избежать несоответствий требованиям законодательства.
3. Соблюдать требования к обработке и хранению персональных данных
Чтобы минимизировать риск получения штрафов, важно:
- Обрабатывать ПДн с согласия субъекта, за исключением случаев, предусмотренных законом.
- обрабатывать ПДн только в соответствии с конкретными и заранее определенными и законными целями. Например, образовательные организации при подписании договоров собирают данные о родственникам обучающегося. Регуляторы могут посчитать это излишней информацией, которую недопустимо собирать.
- Не передавать данные третьим лицам без правовых оснований.
- Обеспечивать безопасность хранения ПДн, в том числе с использованием шифрования и средств защиты информации.
- Ограничивать доступ сотрудников к персональным данным и проводить обучение по вопросам информационной безопасности.
4. Уведомлять Роскомнадзор о начале обработки ПДн
Согласно ст. 22 152-ФЗ, компании, занимающиеся обработкой персональных данных, обязаны уведомить Роскомнадзор о начале деятельности. Сделать это можно тремя способами:
- Распечатать и подать в бумажном виде в территориальное отделение Роскомнадзора по месту своей регистрации.
- Через сайт Роскомнадзора в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
- Через Госуслуги.
5. Регулярно проводить аудит процессов обработки персональных данных
Аудит соответствия компании требованиям 152-ФЗ — представляет собой комплексную проверку бизнес-процессов компании на предмет соблюдения законодательства в области защиты персональных данных.
Аудит проводят для того, чтобы:
- оценить степень защищенности информации и состояние информационных систем;
- проанализировать соответствие уровня безопасности информационных систем актуальным стандартам и нормативно-правовым актам;
- разработать и передать клиенту рекомендации, которые помогут устранить обнаруженные проблемы и несоответствия.
Аудит включает в себя:
- анализ сведений о технологических и бизнес-процессах, связанных с персональными данными;
- определение и описание состава персональных данных с указанием оснований и целей их обработки в организации;
- определение структурных подразделений и сотрудников, которые задействованы в обработке персональных данных, формирование перечня;
- определение и описание документов с персональными данными, обрабатываемых вне информационных систем, указание условий хранения таких документов;
- анализ информационных систем, в которых ведется обработка персональных данных;
- определение и описание технических и программных средств (в том числе указание на расположение), которые используются информационными системами для обработки персональных данных, это позволит структурировать данные по текущему материально-техническому состоянию;
- описание и анализ техпроцесса обработки персональных данных в информационных системах;
- анализ, описание и документирование используемых в информационных системах программных и технических средств защиты информации;
- описание текущего состояния уровня безопасности.
6. Провести технические мероприятия по созданию системы защиты персональных данных в соответствии с классом системы мониторинга и предотвращения утечек
Для этого организуют:
- поставку и внедрение технических средств защиты информации (межсетевые экраны, антивирусы, средства защиты каналов связи VPN, системы обнаружения и предотвращения вторжений и т.д.)
- настройку средств и систем защиты информации в соответствии с требованиями
Кроме этого аттестуют информационную систему персональных данных и оценивают эффективность принимаемых мер по обеспечению безопасности персональных данных в информационных системах персональных данных
7. Соблюдать сроки хранения и уничтожения персональных данных
В соответствии со ст. 5 152-ФЗ, персональные данные должны храниться не дольше, чем этого требуют цели обработки. По истечении этого срока необходимо прекратить обработку персональных данных.
8. Быстро реагировать на инциденты и уведомлять Роскомнадзор
Согласно 152-ФЗ оператор данных должен уведомлять Роскомнадзор об утечках данных в течение 24 часов после нарушения. При этом оператор обязан уведомить регулятора, даже если за обработку его данных отвечал облачный провайдер и инцидент произошел на его стороне.
Об оборотных штрафах в сфере ИБ читайте в статье.
Оператор должен отправить два уведомления:
- Первичное. Отправляется в течение 24 часов после утечки. В нем нужно описать информацию об инциденте, возможных причинах, потенциальном ущербе для субъектов данных и принятых мерах. Также нужно указать контактное лицо, с которым будут взаимодействовать представители Роскомнадзора.
- Дополнительное уведомление. Отправляется в течение 72 часов после инцидента. В нем должны быть зафиксированы результаты внутреннего расследования и информация о лицах, которые допустили утечку данных.
Вывод
Минимизировать риски получения штрафов за нарушение 152-ФЗ возможно при соблюдении всех требований законодательства и внедрении комплексных мер защиты персональных данных. Регулярный аудит, контроль доступа, использование современных средств защиты информации и обучение сотрудников — залог безопасной работы с ПДн и защиты бизнеса от финансовых санкций.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.