Наверх
Gendalf Gendalf

Мифы о 152-ФЗ «О защите персональных данных»

2019-04-19

О защите персональных данных

Давайте сперва разберемся, кто такие «операторы персональных данных» и чего требует от них 152-ФЗ.

Операторами персональных данных являются те организации, которые хранят и обрабатывают в цифровом виде персональные данные сотрудников, клиентов и контрагентов (сведения о ФИО, месте проживания и т.д.)

Все операторы персональных данных подчиняются требованиям 152-ФЗ.

Цель данного Федерального закона – обеспечить защиту прав и свобод человека при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

Важно понимать, что 152-ФЗ предполагает не только защиту систем, сервисов и сетевого оборудования от внешних угроз, но и соблюдение правовых оснований для хранения и обработки персональных данных ваших сотрудников.

Миф №1 «Теперь я точно соблюдаю закон: поставил антивирус, межсетевой экран и даже огородил стойки забором»

Все верно. Но соблюдение 152-ФЗ начинается не с установки антивируса, а с подготовки организационно-распорядительной документации (ОРД).

Роскомнадзор, прежде всего, проверяет не наличие технических средств защиты, а правовые основания для обработки персональных данных (ПДн).

Будьте готовы ответить на вопросы:

  • С какой целью вы собираете персональные данные?
  • Не собираете ли вы их больше, чем нужно, для ваших целей?
  • Сколько храните персональные данные?
  • Есть ли политика обработки персональных данных?
  • Собираете ли согласие на их обработку, трансграничную передачу, обработку третьими лицами?

Ответы на эти вопросы с описанием конкретных процессов фиксируются в соответствующих документах.

Какие документы нужно подготовить к проверке?

  • Типовую форму согласия на обработку персональных данных (те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
  • Политику оператора в отношении обработки ПДн.
  • Приказ о назначении ответственного за организацию обработки ПДн.
  • Должностную инструкцию ответственного за организацию обработки ПДн.
  • Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
  • Перечень информационных систем персональных данных (ИСПДн).
  • Регламент предоставления доступа субъекта к его ПДн.
  • Регламент расследования инцидентов.
  • Приказ о допуске работников к обработке ПДн.
  • Регламент взаимодействия с регуляторами.
  • Уведомление РКН и пр.
  • Форму поручения обработки ПДн.
  • Модель угроз ИСПДн.

После того, как вы решите все «бумажные» вопросы, можно приступать к подбору технических средств защиты. Их выбор сугубо индивидуален и зависит от многих факторов. Но этой теме мы посвятим отдельную статью.

Миф №2 «Мы храним персональные данные в дата-центре. Теперь они отвечают за соблюдение закона»

Чтобы развеять этот миф, проясним, что такое «дата-центр» и какая на нем лежит ответственность.

Дата-центр или Центр обработки данных (ЦОД) – это специализированное здание, в котором компании размещают свое серверное и сетевое оборудование.

За что отвечают дата-центры?

  • Защиту размещенного оборудования от воздействия окружающей среды.
  • Обеспечение оборудования качественным и бесперебойным электропитанием.
  • Отвод выделяемого тепла, вентиляция кондиционированным воздухом.
  • Управление физическим доступом к оборудованию, его охрану.

Кратко говоря, дата-центры отвечают за физическую сохранность и бесперебойную работу оборудования.

О чем гласит ст. 3, 152-ФЗ?

«Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».

Из всех этих действий дата-центр отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако.

Все остальное обеспечивает оператор персональных данных. Именно оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи их утечки.

Подготовка организационно-распорядительной документации и выбор средств защиты персональных данных – трудоемкий процесс, который занимает немало времени.

Вы можете обратиться за услугами по информационной безопасности и защите персональных данных в «ГЭНДАЛЬФ». Наши специалисты помогут подобрать все необходимое в соответствии с требованиями 152-ФЗ.

Узнайте, соблюдены ли в вашей организации все требования ФЗ-152 – получите бесплатную консультацию прямо сейчас!

Бесплатная консультация


Поделиться