Защита персональных данных является законодательно установленной обязанностью для организаций и компаний, которые обрабатывают личную информацию пользователей. Они должны обеспечивать безопасность и конфиденциальность данных, а также уведомлять субъектов персональных данных о целях и способах ее обработки.
Обратите внимание
Нарушение правил защиты персональных данных может привести к штрафам и уголовной ответственности, а также к серьезным репутационным потерям для организации.
Разбираемся, что это такое и чем компаниям грозит отсутствие должной защиты конфиденциальных данных пользователей.
Законодательная база
Законодательное регулирование защиты персональных данных в России основано на Федеральном законе 152-ФЗ «О персональных данных». Этот закон определяет правила сбора, хранения, использования, распространения и защиты персональных данных, а также устанавливает ответственность за нарушение этих правил.
Согласно закону, субъекты персональных данных имеют право на доступ к своим персональным данным, на их изменение, блокирование или уничтожение в случае их неточности или незаконности обработки. Организации, которые обрабатывают персональные данные, должны соблюдать определенные требования по их защите, в том числе использовать технические и организационные меры для обеспечения безопасности персональных данных.
Ответственность за неисполнение требований законодательства
Закон также устанавливает ответственность за нарушение правил защиты персональных данных.
Организации могут быть оштрафованы до 6 миллионов рублей за нарушение правил обработки персональных данных, а должностные лица - до 75 тысяч рублей. В случае серьезных нарушений, таких как утечка большого объема персональных данных, организации могут быть оштрафованы до 18 миллионов рублей или лишены лицензии на обработку персональных данных.
Как выполнять требования о защите персональных данных
Краткая инструкция по выполнению требований к защите персональных данных:
- Прочтите Закон № 152-ФЗ «О персональных данных».
- Определите, какие данные будут обрабатываться, чтобы понять, распространяется ли этот Закон на ваше учреждение.
- Проверьте, есть ли другие нормы, применимые к вашему случаю.
- Оцените возможные угрозы для защиты данных, основываясь на формах угроз.
- Определите методы и инструменты защиты данных в соответствии с выявленными угрозами.
- Разработайте внутренние регламентирующие документы и проверьте их правильность оформления.
- Получите согласие от лиц, персональные данные которых вы собираетесь обрабатывать.
Документы, с которыми вы обязаны ознакомиться
Для лучшей осведомленности о правилах защиты персональных данных важно изучить ряд документов:
- Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006.
- Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006.
- Приказ ФСБ РФ № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности» от 10.07.2014.
- Приказ ФСТЭК № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013.
- Приказ ФСТЭК № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013.
- Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012. Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011.
- Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ «О персональных данных».
Дополнительные меры для защиты персональных данных
Если вы хотите убедиться в точности и правильности своих действий относительно работы с персональными данными, можно заказать аудит у аккредитованной организации.
Аудит позволит понять, как защищена информация на данный момент, дать рекомендации по организации процесса, а также оценить информационную систему предприятия на соответствие отраслевым стандартам.
Аудит включает:
- Анализ документации на соответствие нормами и требованиям, прописанным в законодательстве.
- Анализ защищенности сети.
- Моделирование угроз.
- Рекомендации по предотвращению нарушений.
После его проведения вы получите отчет, который будет содержать оценку соответствия текущего уровня информационной безопасности на предприятии нормативным документам. В документе также будет перечень рекомендаций по приведению информационной системы предприятия в соответствие с требованиями и нормами в области информационной безопасности.
Не уверены, что правильно работаете с персональными данными?
Наши специалисты готовы ответить на ваши вопросы и решить их в соответствии с законодательством.
Оставить заявку
.png)