Руководство по организации защиты персональных данных

С 1 июля 2011 года все организации обязаны обрабатывать персональные данные строго в соответствии с требованиями Федерального закона «О персональных данных» № 152-ФЗ.

Федеральный Закон «О персональных данных» № 152

Персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст.3, № 152-ФЗ).

ФЗ № 152 регулирует отношения, связанные с обработкой персональных данных, осуществляемой операторами персональных данных, с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Требования ФЗ № 152 распространяются на все государственные и коммерческие организации, а так же на физических лиц, обрабатывающих в своих информационных системах ПДн.

Любое юридическое или физическое лицо, осуществляющее обработку ПДн, является оператором ПДн.

Обязанности оператора ПДн

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн (ст.3, № 152-ФЗ).

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ № 152 и принятыми в соответствии с ним нормативными правовыми актами (ст.18.1 № 152-ФЗ).

Положения ФЗ-152 вступают в силу поэтапно. Операторы ПДн обязаны:

1. С 26 января 2007 года:

   • обрабатывать ПДн в соответствии с нормами ФЗ № 152;
   • получать и обрабатывать ПДн можно только с согласия субъекта ПДн;
   • начать разрабатывать организационно-распорядительную документацию;

2. С 1 января 2008 года:

   • направить уведомление в Роскомнадзор о том, что обрабатывают ПДн;
   • определить категории ПДн;

3. С 27 июля 2011 года:

   • принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерных действий в отношении ПДн;
   • обеспечить неограниченный доступ к документу, определяющему политику оператора в отношении обработки ПДн;

4. До 1 января 2013 года (касается операторов, осуществлявших обработку ПДн до 1 июля 2011 года) представить в Роскомнадзор следующие сведения:

   • правовое основание обработки ПДн;
   • данные физ. лица или юр. лица, ответственных за организацию обработки ПДн;
   • сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
   • сведения об обеспечении безопасности ПДн (п.2.1, ст.25, № 152-ФЗ).

Мероприятия по защите ПДн

1. Сформировать из сотрудников рабочую группу, ответственную за приведение защиты ПДн в организации в соответствие ФЗ № 152, или привлечь к работе сторонних специалистов.

2. Составить список ПДн, которые обрабатывает организация, а так же выяснить:

   • цели обработки ПДн;
   • состав и объём ПДн;
   • сроки обработки и хранения ПДн;
   • имеется ли согласие субъектов ПДн на обработку их данных.

3. Определить способы обработки ПДн:

   • автоматизированный или нет;
   • какие средства автоматизации используются, их характеристики, конфигурация и взаимодействие.

4. Определить перечень угроз ПДн, разработать модель.

5. Направить уведомление в Роскомнадзор о включении в реестр операторов ПДн.

6. Разработать регламенты работы с ПДн:

   • определить круг лиц, допущенных к обработке ПДн;
   • организовать доступ в помещение, в котором осуществляется обработка ПДн;
   • разработать должностные инструкции по работе с ПДн;
   • установить персональную ответственность за нарушения правил обработки ПДн;
   • определить сроки хранения ПДн и т.д.

7. Установить технические и программные средства защиты ПДн, которые уберегут данные от несанкционированного доступа и утечки по техническим каналам.

8. Подготовить и утвердить комплект организационно-распорядительной документации:

   • Приказ о назначении ответственного должностного лица/подразделения;
   • Положение по защите ПДн;
   • Положение об обработке персональных данных;
   • Регламент взаимодействия с субъектами ПДн;
   • Должностные инструкции по работе с ПДн;
   • Приказы о допуске, перечень допущенных сотрудников;
   • Журналы учёта носителей информации и другие документы.

9. Обеспечить неограниченный доступ к документу, определяющему политику оператора в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.

10. Ознакомить сотрудников с регламентами работы с ПДн, при необходимости провести обучение.

11. Аттестовать систему защиты ПДн. Аттестацию может провести только специализированная организация, у которой есть соответствующая лицензия ФСТЭК.

12. Спланировать и регулярно проводить контрольные мероприятия по защите ПДн, проводить переаттестацию системы защиты ПДн.

Что нового в последней редакции ФЗ № 152

Компания «РИТ» внимательно следит за изменениями в законодательстве и их внедрением на практике. Мы регулярно проводим встречи и консультации с представителями бизнеса и контролирующих организаций.

Внимание! 27 июля 2011 года вступили в силу поправки в ФЗ № 152 (внесены ФЗ № 261 от 25.07.2011). Поправки уточняют сферу действия ФЗ № 152, используемые в нём основные понятия, принципы и условия обработки ПДн.

Самые горячие изменения:

1. Требования к организации защиты ПДн устанавливаются исходя из модели угроз, а не класса ИСПДн (классификация ИСПДн теперь проводится иначе).

2. Вводится обязанность оператора обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн (п. 2, ст. 18.1, № 152-ФЗ).

3. Устанавливаются жёсткие сроки, в которые оператор ПДн обязан отвечать на запросы субъекта ПДн, Роскомнадзора и других контролирующих органов (ст. 20, № 152-ФЗ).

4. Вводится обязанность представить в Роскомнадзор следующие сведения:

   • правовое основание обработки ПДн;
   • ФИО физ. лица или наименование юр. лица, ответственных за организацию обработки ПДн, и их контактные данные;
   • сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
   • сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ (п.2.1, ст.25, № 152-ФЗ).

Наши специалисты готовы проконсультировать вас по этим и другим изменениям в законодательстве, а также объяснить. что они сулят вашей организации на практике.

Защищать персональные данные своими силами или обратиться к профессионалам?

В некоторых случаях организация может полностью самостоятельно обеспечить безопасность ПДн. Например, если организация вообще не использует средства автоматизированной обработки ПДн или у неё в штате работают опытные технические специалисты. В остальных случаях лучше обратиться к профессионалам.

Плюсы защиты ПДн силами организации:

• может обойтись дешевле;
• не надо тратить время на поиск организации-исполнителя и согласование совместных действий.

Плюсы привлечения специалистов:

• у профессионалов есть соответствующие специалисты, технические и программные средства, практический опыт, нормативно-правовая база по защите информации;
• проведение работ в минимальные сроки;
• вам не придётся взаимодействовать с государственными органами, поставщиками программного обеспечения и технического оборудования;
• если у привлечённых специалистов есть соответствующая лицензия ФСТЭК, они могут сразу аттестовать созданную систему защиты персональных данных.