Защита персональных данных

Услуги по защите персональных данных Прошло несколько лет с момента вступления в силу ФЗ от 27.07.2006 №152-ФЗ «О персональных данных», введение которого было инициировано законодателями из-за утечки информации, касающейся личной и семейной жизни граждан.

За это время приведены в соответствие с российским законодательством и отрегулированы многие спорные вопросы, касающиеся организации защиты персональных данных в организациях, разработаны специальные программы.

Обязанности оператора

Усиление административной и уголовной ответственности за невыполнение или ненадлежащее исполнение ФЗ – одно из основных и приоритетных направлений работы законодателей и исполнительной власти.


Стремясь навести порядок в сфере малого и среднего бизнеса, государство увеличивает размеры штрафов в несколько крат даже за минимальные нарушения.

Для небольших предприятий, являющихся операторами персональных данных, обязанность соблюдать указанный выше закон оборачивается значительным финансовыми вложениями, ведь стоимость работы экспертов и лицензированного программного обеспечения достаточно велика.

На основании возрастающей необходимости и строится работа по предоставлению услуг по защите персональных данных, сокращённо именуемых ИСПДн (информационные системы персональных данных).

Обязанности оператораТермин «Персональные данные», применяемый к личной информации гражданина, в полной мере относится к его паспортным сведениям, семейному положению и ряду других данных.

Конфиденциальность, то есть неразглашение всего перечисленного и есть обязательное к исполнению действие для оператора или иного лица, указанного в законе. Таким образом, оператор – юридическое лицо, которое организует и проводит обработку персональных данных, попутно определяя их содержание.

Обработка может проходить неавтоматизированным методом или с использованием средств автоматизации и включает следующие ниже действия:

  • Сбор;
  • Хранение;
  • Систематизацию;
  • Обновление (уточнение);
  • Обезличивание;
  • Блокировка;
  • Уничтожение.
Обеспечить все действия так, чтобы информация «не уходила на сторону» – основная задача оператора.

Он обязан принять все возможные меры, как технические, так и организационные, чтобы защитить ПД от преступного или непредумышленного доступа, могущего повлечь за собой распространение информации широкому кругу людей.

Читайте также:  Оператор персональных данных

Виды защиты персональных данных

Классификация защитыРазработка плана мероприятий, гарантирующих обеспечение защиты персональных данных, состоит, прежде всего, из понимания, какая личная информация обрабатывается, в каком объеме и для чего она впоследствии используется.

В законе это называется классификацией и позволяет решить, актуальна ли проблема для отдельно взятого предприятия и организации.

Порядок классификации регламентируется приказами Мининформсвязи России № 55, ФСТЭК РФ и ФСБ:

  • Приказом оформляется формирование комиссии, в которую входит не менее 3х человек.
  • Проводится анализ исследуемых ПД по категории, типу, структуре, режиму и другим параметрам, на основании которых присваивается один из четырех существующих классов информационной системы.

Информация так же делится на две группы: типовая и специальная. Первая требует только сохранения секретности ПД, а вторая независимо от необходимости конфиденциальности, требует обеспечения одной или нескольких параметров безопасности.

Контроль за расходом топливаМетод расчета норм расхода топлива продуман достаточно грамотно, и используется не только для контроля предприятий налоговыми органами, но также, позволяет и самим руководителям фирм планировать свои затраты на эксплуатационные материалы.

Путевой лист автомобиля заполняется уполномоченным лицом и выдается водителю под расписку только тогда, когда он сдал имеющийся предыдущий лист. О том, что такое путевой лист читайте здесь.

Практика применения ФЗ-152 показывает, что основная часть организаций принадлежит к специальной информационной системе ввиду того, что вынуждена обеспечивать доступность и полноту данных.

Итак, результатом работы комиссии является акт классификации и указанный в нем тип. После этого можно точно установить, какие методы защиты потребуются для исполнения требований российского законодательства, а именно приказа № 55/86/20.

Аудит и внедрение защиты персональных данных

комплекс действийКомпании, оказывающие услуги по защите персональных данных, как правило, предлагают комплекс действий, направленный на создание специализированного продукта и его внедрение.

Читайте также:  Проверка защиты персональных данных роскомнадзором

Но изначально отсчет идет с инвентаризации систем информации, если они есть и формирования списков потенциальных нарушителей и угроз.

Далее проводится аудит (добровольная проверка) уже существующих защитных мер, по результатам которой проходят:

  • Стадия предпроекта и разработка технического задания;
  • Проектирование;
  • Реализация разработанной системы;
  • Ввод ее в эксплуатацию (после этапа опытной работы);
  • Испытания сдачи-приемки;
  • Оценка работы.

Для осуществления этого вида деятельности у компании предоставляющей услуги должна быть действующая на период исполнения и заключения договора лицензия на право деятельности по технической защите от ФСТЭК.

В перспективе компания, создавшая системы защиты проводит:

  • Обучение сотрудников, которые назначены распоряжением по предприятию быть ответственными за обеспечение защиты персональных данных в организации;
  • Периодические проверки уровня знаний указанных выше сотрудников, донесение до них изменений законодательства, связанные с ИСПДн.

Сотрудникам организации, в которой проведен комплекс мер по обеспечению безопасности ПД необходимо поддерживать высокий уровень информированности и неукоснительно соблюдать разработанные положения и инструкции.

Сложность состоит в имеющихся противоречиях, до сих пор не устраненных, между операторами и скорриноговыми, информационными, скриннинговыми и почтовыми системами.

Требования к защите персональных данных при проверках

Требования при проверкахНесмотря на то, что корректно выполнить меры, предусмотренные действующим законодательством довольно сложно, в настоящее время начинаются массовые проверки операторов и юридических лиц, не заявленных в реестре.

Внедрение ФЗ-152 оборачивается для них штрафами и предупреждениями, и вероятно, многие решения надзорных органов будут оспорены в судах, создавая прецеденты для выравнивания несовершенства закона и подзаконных актов.

Роскомнадзор, исполняя статью 23 рассматриваемого ФЗ, проводит плановые мероприятия, контролирующие соответствие обработки ПД крупными операторами банковской системы, операторами мобильной связи, предприятиями-монополистами и организациями, работающими в сфере ЖКХ.

При проверке представители Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций требуют предоставить документы, дающие представление об организации обработки ПД, в которых должны быть прописаны моменты их хранения, приема-передачи и последующее уничтожение.

Отчетность ИП УСНУведомление о переходе на УСН № 26.2-1 является стандартом и для вновь зарегистрированных предпринимателей и подается сроком не позднее 30 дней после проведения регистрации как предпринимателя.

Бухгалтерская и налоговая отчетность при УСН требует соблюдения сроков подачи документов. Подробнее о видах и сроках налоговой отчетности при УСН читайте тут.

Кроме этого, проверяется соблюдение процедурных вопросов – согласия субъектов на обработку ПД, их информированности о своих правах и возможной передаче личных данных третьим лицам.

Читайте также:  Закон 152-ФЗ «О персональных данных»

Стоит отметить, что при организации контроля и надзора за деятельностью операторов, призванной обеспечить права и свободы граждан, представители Роскомнадзора дают рекомендации по неразрешимым вопросам, некорректно или неполно сформулированными в этом законе.

Специалисты и эксперты в области обработки персональных данных делают выводы о и том, что исполнение законодательного акта требует значительных финансовых затрат не предусмотренных бюджетом для организаций-операторов и провоцируют последних минимально относится к его требованиям.

Отсюда – лишь поверхностное исполнение благих намерений. Организации, предоставляющие услуги по защите персональных данных, остаются промежуточным звеном, решая по мере возможности проблемы исполнителей закона.

Читайте так же:

  • Обработка персональных данныхОбработка персональных данных Сегодня просто невозможно вообразить деятельность любой организации без обработки информации. Каждое предприятие собирает, хранит и использует различные сведения о работниках, партнерах […]
  • Хранение персональных данныхХранение персональных данных Еще совсем недавно вопрос о безопасном хранении персональной информации работников не привлекал столько внимания, как сейчас. Российское законодательство требует от работодателей […]

Отправить ответ

Оставьте первый комментарий!

Подписаться на:
avatar
wpDiscuz