Наверх
Gendalf Gendalf
2453

Защита персональных данных: основа, которую важно знать

Защита персональных данных является законодательно установленной обязанностью для организаций и компаний, которые обрабатывают личную информацию пользователей. Они должны обеспечивать безопасность и конфиденциальность данных, а также уведомлять субъектов персональных данных о целях и способах ее обработки.

fine.png

Обратите внимание

Нарушение правил защиты персональных данных может привести к штрафам и уголовной ответственности, а также к серьезным репутационным потерям для организации.

Разбираемся, что это такое и чем компаниям грозит отсутствие должной защиты конфиденциальных данных пользователей.

Законодательная база

Законодательное регулирование защиты персональных данных в России основано на Федеральном законе 152-ФЗ «О персональных данных». Этот закон определяет правила сбора, хранения, использования, распространения и защиты персональных данных, а также устанавливает ответственность за нарушение этих правил.

Согласно закону, субъекты персональных данных имеют право на доступ к своим персональным данным, на их изменение, блокирование или уничтожение в случае их неточности или незаконности обработки. Организации, которые обрабатывают персональные данные, должны соблюдать определенные требования по их защите, в том числе использовать технические и организационные меры для обеспечения безопасности персональных данных.

Ответственность за неисполнение требований законодательства

Закон также устанавливает ответственность за нарушение правил защиты персональных данных.

Организации могут быть оштрафованы до 6 миллионов рублей за нарушение правил обработки персональных данных, а должностные лица - до 75 тысяч рублей. В случае серьезных нарушений, таких как утечка большого объема персональных данных, организации могут быть оштрафованы до 18 миллионов рублей или лишены лицензии на обработку персональных данных.

Как выполнять требования о защите персональных данных

Краткая инструкция по выполнению требований к защите персональных данных:

  1. Прочтите Закон № 152-ФЗ «О персональных данных».
  2. Определите, какие данные будут обрабатываться, чтобы понять, распространяется ли этот Закон на ваше учреждение.
  3. Проверьте, есть ли другие нормы, применимые к вашему случаю.
  4. Оцените возможные угрозы для защиты данных, основываясь на формах угроз.
  5. Определите методы и инструменты защиты данных в соответствии с выявленными угрозами.
  6. Разработайте внутренние регламентирующие документы и проверьте их правильность оформления.
  7. Получите согласие от лиц, персональные данные которых вы собираетесь обрабатывать.

Документы, с которыми вы обязаны ознакомиться

Для лучшей осведомленности о правилах защиты персональных данных важно изучить ряд документов:

  • Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006.
  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006.
  • Приказ ФСБ РФ № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности» от 10.07.2014.
  • Приказ ФСТЭК № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013.
  • Приказ ФСТЭК № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013.
  • Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012. Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011.
  • Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ «О персональных данных».

Дополнительные меры для защиты персональных данных

Если вы хотите убедиться в точности и правильности своих действий относительно работы с персональными данными, можно заказать аудит у аккредитованной организации.

Аудит позволит понять, как защищена информация на данный момент, дать рекомендации по организации процесса, а также оценить информационную систему предприятия на соответствие отраслевым стандартам.

Аудит включает:

  • Анализ документации на соответствие нормами и требованиям, прописанным в законодательстве.
  • Анализ защищенности сети.
  • Моделирование угроз.
  • Рекомендации по предотвращению нарушений.

После его проведения вы получите отчет, который будет содержать оценку соответствия текущего уровня информационной безопасности на предприятии нормативным документам. В документе также будет перечень рекомендаций по приведению информационной системы предприятия в соответствие с требованиями и нормами в области информационной безопасности.

Не уверены, что правильно работаете с персональными данными?

Наши специалисты готовы ответить на ваши вопросы и решить их в соответствии с законодательством.

Оставить заявку

Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)