Информационная безопасность. Все о проверках защиты персональных данных

О федеральном законе № 152 «О персональных данных»

По российскому законодательству компании и организации, которые занимаются хранением, сбором и обработкой персональных данных, называются операторами персональных данных (ОПд). Именно на них ложится ответственность по защите персональных данных физических лиц. Основные документы, в которых содержится персональная информация: паспорт (включая отдельно ФИО), свидетельство о присвоении ИНН, страховое пенсионное свидетельство, военный билет, водительское удостоверение, медицинская справка, документ об образовании.

С 1 июля 2017 года вступили в силу поправки к КоАП РФ, которые предусматривают усиление ответственности за нарушение соответствующего законодательства и внедрение новой системы штрафов. О том, насколько деятельность компании соответствует №152-ФЗ «О персональных данных», следят в Роскомнадзоре, Государственной инспекции труда, ФСТЭК и ФСБ. Поговорим о каждом из этих органов подробнее.

Проверки Роскомнадзора: виды и особенности

Роскомнадзор в контексте закона №152 работает в двух направлениях:

• защищает права субъектов персональных данных;
• контролирует работу ОПд и следит за выполнением ими действующего законодательства.

Как Роскомнадзор знает, что на том или ином предприятии происходят нарушения? Во-первых, он рассматривает жалобы и обращения частных граждан. Во-вторых, ведет Реестр ОПд. И в-третьих, проводит контрольные и надзорные мероприятия в одной из следующих форм:

• плановая. Об этой проверке Роскомнадзор предупреждает за 3 дня в письменном виде (через почтовое уведомление). Также компания может самостоятельно заранее узнать о том, что она включена в список проверяемых. Здесь можно ознакомиться с планом проверок;
• внеплановая. Чаще всего производится на основе жалоб граждан, на основе приказа руководителя Роскомнадзора или при наличии нарушений, которые не были устранены компанией в оговоренный срок. О такой проверке Роскомнадзор уведомляет за 24 часа;
• документальная. В этом случае Роскомнадзор запрашивает несколько документов, которые необходимо выслать почтой;
• выездная. Выполняется инспекторами Роскомнадзора непосредственно на проверяемом объекте.

Плановая и внеплановая проверки могут быть документальными или выездными (на выбор Роскомнадзора).

В последнее время популярен формат систематического наблюдения за компанией – он эффективный и не требует серьезных трудозатрат. Именно в ходе таких проверок часто обнаруживается, что на сайте компании отсутствует документ, который определяет политику обработки персональных данных пользователей.

Важно понимать, что в Роскомнадзоре не проверяют наличие и состояние технических средств защиты персональных данных. Для этого исполнительного органа важно лишь то, как выполняются организационные задачи и соответствует ли результат №152-ФЗ «О персональных данных».

Штраф за найденное нарушение: до 75 000 рублей.

Проверки Государственной инспекции труда

Этот орган проверяет, как деятельность компании соответствует главе 14 о «Защите персональных данных» Трудового Кодекса РФ. В Государственной инспекции труда выясняют следующее:

• действительно ли работники ознакомлены с порядком обработки их персональных данных;
• есть ли документ, подтверждающий этот факт (с обязательной подписью работника).

Штраф за найденное нарушение: до 50 000 рублей.

Проверки ФСТЭК и ФСБ

Возвращаемся к техническим мерам по обеспечению защиты персональных данных. Именно их проверяют в ФСБ и ФСТЭК. Так, первый орган занимается вопросами криптографической защиты, второй – всеми остальными. На практике получается, что оба они могут контролировать обработку только тех персональных данных, которые занесены в государственную информационную систему. Вот что проверяют ФСБ и ФСТЭК:

• наличие самих средств защиты и порядок их эксплуатации;
• физическую защиту объектов хранения и обработки персональных данных;
• лицензии и сертификаты на криптографические средства защиты;
• результаты аттестационных проверок;
• факты проведения организационных мероприятий (акты, допуски и т. п.).

Штраф за найденное нарушение: до 25 000 рублей.

Что делать, чтобы успешно пройти проверку

Ознакомьтесь с общими рекомендациями по тому, как действовать в рамках закона «О персональных данных». Следуйте им, и проверки контролирующих органов не обернутся для вашей компании неприятностями с законом и штрафами.

• Определите перечень персональных данных, подлежащих защите в вашей компании. Утвердите политику компании в отношении их защиты. Составьте и зарегистрируйте документ, в котором будет описан порядок работы с персональными данными, ознакомьте с его содержанием всех причастных (под подпись).
• Назначьте двух ответственных лиц: за организацию обработки персональных данных и администратора безопасности. Первый сотрудник будет заниматься документальным сопровождением, второй – техническими вопросами. Разработайте соответствующие инструкции.
• Выделите место для хранения персональных данных в бумажном варианте (шкаф, сейф, стеллаж), утвердите это место в приказе или распоряжении.
• Заведите журнал для учета мероприятий, направленных на защиту персональных данных.
• Утвердите порядок обслуживания и восстановления работоспособности технических средств, направленных на защиту персональных данных.
• Подайте в Роскомнадзор уведомление об обработке персональных данных в электронном и печатном виде.

Наши специалисты готовы ответить на любые другие вопросы, которые возникнут в процессе обработки, хранения и использования персональных данных. Обращайтесь в компанию IT-Relax за разъяснениями и для проведения мероприятий, направленных на техническое обеспечение защиты персональных данных.