152–ФЗ о защите персональных данных: как успешно пройти проверку Роскомнадзора?

Исполняем 152–ФЗ
«О защите персональных данных»

Поможем уверенно пройти проверку Роскомнадзора и выполнить требования законодательства.

Что такое персональные данные?

Персональные данные — это любые данные, которые имеют прямое и косвенное отношение к определенному лицу и дают возможность идентифицировать его.
Есть проблема. Среди законов о защите персональных данных нет ни одного, где был бы представлен список таких данных. Ряд судов считает персональными паспортные данные, ФИО человека, номера телефонов и адрес.
Возникает вопрос: почему эта информация является персональной? ФИО могут повториться, номер телефона часто переходит к другому пользователю после расторжения договора, а по одному адресу могут быть зарегистрированы несколько человек.

К тому же, этими персональными данными может поделиться и сам владелец, к примеру, при прохождении опросов или оформлении договоров.

Те, кто собирает такую информацию, признаются операторами персональных данных. В свою очередь те, кто этими данными поделился, являются их субъектом. В роли оператора персональных данных может выступать кто угодно: физическое лицо, ИП, гос.органы или организации.

ст. 3 закона «О персональных данных»

Собирать данные просто так, хранить и передавать их третьим лицам запрещено. Оператор данных должен подготовить безопасные условия для хранения персональной информации, чтобы она никуда не пропала и не утекла. Кроме того, оператор должен получить разрешение на сбор и обработку персональных данных у субъекта. Без подобного документа никакие персональные данные хранить нельзя, а при нарушении этого правила грозит ответственность по 152–ФЗ.

Все действия с персональными данными операторы фиксируют документально.

Кто является оператором персональных данных?

Операторами персональных данных являются государственные или муниципальные органы, физические или юридические лица, которые самостоятельно или совместно с иными лицами, организовывают обработку персональных данных. Они ставят цели работы с данной информацией, ее состав и операции с ней. Реестр операторов, которые имеют право работать с персональными данными, ведет Роскомнадзор.
Реестр содержит дату и основание включения лица в реестр. Здесь же можно найти его наименование, его данные, цели, которые он преследует при обработке персональной информации, правовые основания, его ответственное лицо и другие данные.

Что называют обработкой персональных данных?

Обработка персональных данных - действие или несколько действий, с помощью которых совершают сбор, накопление, систематизацию, запись, хранение, уточнение (изменение или обновление), обезличивание, блокировку, уничтожение, удаление, передачу, использование и распространение персональных данных, с различными средствами автоматизации или без них.

Собирать персональные данные просто так, по собственному желанию, нельзя. На это и указывает 152–ФЗ. У данной процедуры должна быть законная цель и достойный уровень безопасности данных.

Требования к системам защиты персональных данных

Есть ряд законных требований к системам обработки и защиты персональной информации. Они утверждены Постановлением Правительства от 01.11.2012 N 1119.

Для того чтобы выбрать меры по обработке и защите персональных данных, нужно в первую очередь определить возможные угрозы безопасности данных и на основании этого уже предпринимать все необходимые технические и организационные меры для обеспечения их безопасности.

К таким мерам относятся:

наличие и пользование техническими средствами обработки и защиты информации, к примеру, антивирусами и паролями;
назначение сотрудника на должность ответственного за безопасность, проведение инструктажа и контроль его работы;
определение правил доступа лиц к персональным данным, в том числе с возможностью отслеживания действия зарегистрированных пользователей и самого процесса регистрации;
проверки и их анализ на регулярной основе;
ограниченный доступ к персональной информации третьих или неуполномоченных лиц;
обеспечение надежности помещения, в котором хранятся персональные данные.

Закон, регулирующий обращение операторов с персональными данными, называется 152-ФЗ. Сюда включены общие положения по защите персональных данных и ответственность за их незаконное использование. Закон о защите персональных данных 152–ФЗ должны знать все операторы такой информации.

Нужна помощь, чтобы разобраться в 152–ФЗ?

Получить консультацию

Как выполнить требования 152-ФЗ

Это документы, где указан порядок работы с персональными данными.

Публичные документы показываем тем, кто дает в пользование свои персональные данные:

Согласие на обработку персональных данных.
Положение об обработке и защите персональных данных.
Политика конфиденциальности.

Внутренние документы компании. В этих документах описываем порядок работы с персональными данными в корпоративной среде:

Модель угроз безопасности.
Приказ о назначении ответственного за безопасность персональных данных.
Приказ о допуске к обработке персональных данных.
Инструкция пользователя системы персональных данных.

Перечень прочих документов варьируется в зависимости от деятельности компании, ее системы обработки и хранения информации.

Согласие на обработку персональных данных можно получить двумя путями:

С помощью письменного соглашения. Обычно его подписывают, если собирают данные в письменном виде, к примеру, при приеме человека на работу или поступлении в ВУЗ.
Согласием через Интернет. Для этого принято добавлять в форму сбора персональной информации специальную галочку, с помощью которой пользователь соглашается на сбор и обработку своих данных: достаточно нажать и проставить ее. Важно, чтобы на сайте в это время находилась актуальная Политика конфиденциальности с которой пользователи смогут ознакомиться.

Заказать услугу

Хотите получить Аттестат соответствия 152–ФЗ для Роскомнадзора?

Заказать аттестацию

Что будет, если вы...

Ответственность за отсутствие защиты данных

Закон за защите персональных данных 152-ФЗ определяет для нарушителей несколько видов санкций. Они зависят от вида нарушения.

Допустим, оператор не защитил персональные данные на должном уровне и третье лицо случайно или намеренно получает доступ к ним. В таком случае оператора штрафуют:

Физическое лицо — на 700–2000 рублей.
Должностное лицо — на 4 000–10 000 рублей.
ИП — на 10 000–20 000 рублей.
Юридическое лицо — на 25 000–50 000 рублей.

Ситуация 2. Из-за неправомерного доступа к персональным данным их владелец может пострадать. К примеру, если произойдет утечка его адреса, кто-то может воспользоваться этим и проникнуть в квартиру. В этом случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

Подобрать решение

Не хотите разбираться самостоятельно?

Мы проведем аудит и оценим состояние вашей системы, а затем составим ТЗ с перечнем необходимых решений для вашей организации. Все решения будут соответствовать 152–ФЗ.

Заказать аудит

Вы НЕ защищены, если…

Мы собрали для вас самые частые заблуждения клиентов по поводу соответствия закону 152–ФЗ

Готовы ли вы к проверке Роскомнадзора?
Наш чек-лист, поможет убедиться, что всё сделано правильно.

Скачать чек-лист

Почему выбирают «ГЭНДАЛЬФ»

8 лет в сфере защиты информационной безопасности
Полное соответствие 152–ФЗ
Лицензии ФСТЭК России и ФСБ России
Партнеры ведущих
производителей ПО
Индивидуальный подход и выполнение заказа «под ключ»
Экспертная поддержка
заказчиков