Наверх
Gendalf Gendalf
Исполняем 152–ФЗ
«О защите персональных данных»
Поможем уверенно пройти проверку Роскомнадзора и выполнить требования законодательства.
Что такое персональные данные?
Персональные данные — это любые данные, которые имеют прямое и косвенное отношение к определенному лицу и дают возможность идентифицировать его.
Есть проблема. Среди законов о защите персональных данных нет ни одного, где был бы представлен список таких данных. Ряд судов считает персональными паспортные данные, ФИО человека, номера телефонов и адрес.
Возникает вопрос: почему эта информация является персональной? ФИО могут повториться, номер телефона часто переходит к другому пользователю после расторжения договора, а по одному адресу могут быть зарегистрированы несколько человек.

К тому же, этими персональными данными может поделиться и сам владелец, к примеру, при прохождении опросов или оформлении договоров.

Те, кто собирает такую информацию, признаются операторами персональных данных. В свою очередь те, кто этими данными поделился, являются их субъектом. В роли оператора персональных данных может выступать кто угодно: физическое лицо, ИП, гос.органы или организации.

ст. 3 закона «О персональных данных»

Собирать данные просто так, хранить и передавать их третьим лицам запрещено. Оператор данных должен подготовить безопасные условия для хранения персональной информации, чтобы она никуда не пропала и не утекла. Кроме того, оператор должен получить разрешение на сбор и обработку персональных данных у субъекта. Без подобного документа никакие персональные данные хранить нельзя, а при нарушении этого правила грозит ответственность по 152–ФЗ.

Все действия с персональными данными операторы фиксируют документально.
Кто является оператором персональных данных?
Операторами персональных данных являются государственные или муниципальные органы, физические или юридические лица, которые самостоятельно или совместно с иными лицами, организовывают обработку персональных данных. Они ставят цели работы с данной информацией, ее состав и операции с ней. Реестр операторов, которые имеют право работать с персональными данными, ведет Роскомнадзор.
Реестр содержит дату и основание включения лица в реестр. Здесь же можно найти его наименование, его данные, цели, которые он преследует при обработке персональной информации, правовые основания, его ответственное лицо и другие данные.
Что называют обработкой персональных данных?
Обработка персональных данных - действие или несколько действий, с помощью которых совершают сбор, накопление, систематизацию, запись, хранение, уточнение (изменение или обновление), обезличивание, блокировку, уничтожение, удаление, передачу, использование и распространение персональных данных, с различными средствами автоматизации или без них.

Собирать персональные данные просто так, по собственному желанию, нельзя. На это и указывает 152–ФЗ. У данной процедуры должна быть законная цель и достойный уровень безопасности данных.
Требования к системам защиты персональных данных
Есть ряд законных требований к системам обработки и защиты персональной информации. Они утверждены Постановлением Правительства от 01.11.2012 N 1119.

Для того чтобы выбрать меры по обработке и защите персональных данных, нужно в первую очередь определить возможные угрозы безопасности данных и на основании этого уже предпринимать все необходимые технические и организационные меры для обеспечения их безопасности.

К таким мерам относятся:
  • наличие и пользование техническими средствами обработки и защиты информации, к примеру, антивирусами и паролями;
  • назначение сотрудника на должность ответственного за безопасность, проведение инструктажа и контроль его работы;
  • определение правил доступа лиц к персональным данным, в том числе с возможностью отслеживания действия зарегистрированных пользователей и самого процесса регистрации;
  • проверки и их анализ на регулярной основе;
  • ограниченный доступ к персональной информации третьих или неуполномоченных лиц;
  • обеспечение надежности помещения, в котором хранятся персональные данные.
Закон, регулирующий обращение операторов с персональными данными, называется 152-ФЗ. Сюда включены общие положения по защите персональных данных и ответственность за их незаконное использование. Закон о защите персональных данных 152–ФЗ должны знать все операторы такой информации.
Нужна помощь, чтобы разобраться в 152–ФЗ?
Как выполнить требования 152-ФЗ
Шаг 1. Разработать документы
Это документы, где указан порядок работы с персональными данными.

Публичные документы показываем тем, кто дает в пользование свои персональные данные:
  • Согласие на обработку персональных данных.
  • Положение об обработке и защите персональных данных.
  • Политика конфиденциальности.
Внутренние документы компании. В этих документах описываем порядок работы с персональными данными в корпоративной среде:
  • Модель угроз безопасности.
  • Приказ о назначении ответственного за безопасность персональных данных.
  • Приказ о допуске к обработке персональных данных.
  • Инструкция пользователя системы персональных данных.
Перечень прочих документов варьируется в зависимости от деятельности компании, ее системы обработки и хранения информации.

Согласие на обработку персональных данных можно получить двумя путями:

  • С помощью письменного соглашения. Обычно его подписывают, если собирают данные в письменном виде, к примеру, при приеме человека на работу или поступлении в ВУЗ.
  • Согласием через Интернет. Для этого принято добавлять в форму сбора персональной информации специальную галочку, с помощью которой пользователь соглашается на сбор и обработку своих данных: достаточно нажать и проставить ее. Важно, чтобы на сайте в это время находилась актуальная Политика конфиденциальности с которой пользователи смогут ознакомиться.

Заказать услугу
Шаг 2. Обеспечить защиту данных
  • Если у вас есть персональные данные, по статье 152–ФЗ вы являетесь их оператором и несете ответственность за их сохранность. Основные требования относятся ко всем:
  • Нужно обеспечить аутентификацию, благодаря которой доступ к данным получат только лица, имеющие на это право.
  • Оборудование, на котором хранятся персональные данные, должно находиться в хорошо защищенном месте. Это важно, чтобы посторонние лица не могли просто так войти в это помещение и использовать оборудование.
  • Обязательная установка антивирусных программ, межсетевых экранов и прочего ПО в соответствии с актуальными угрозами и уровнем защищенности.
  • Использование ПО для защиты информации, сертифицированное ФСТЭК. Такое ПО считается надежным и безопасным. К примеру, подобный сертификат имеет знаменитый антивирус от «Лаборатории Касперского».

Подобрать решение
Шаг 3. Уведомить Роскомнадзор
Это нужно не всегда. Однако, если ваша компания ведет работу с персональными данными клиентов, уведомлять Роскомнадзор обязательно. Это даст возможность зарегистрироваться как оператор персональных данных. Если вы собираете персональные данные сотрудников, уведомление не требуется.
Шаг 4. Пройти аттестацию
Необходимо регулярно проходит аттестацию. Аттестация по работе с персональными данными — это комплекс проверочных мероприятий для сотрудников компании, работающих с ними. Чтобы организовать такую аттестацию, лучше обратится к квалифицированным специалистам. Если аттестация пройдена успешно, участник получает Аттестат соответствия. Юридическим и физическим лицам такую аттестацию нужно проходить для законной работы. Организовать аттестацию можно, обратившись в «ГЭНДАЛЬФ».
Обратите внимание, что аттестация необходима только государственным учреждениям.

Пройти аттестацию
Хотите получить Аттестат соответствия 152–ФЗ для Роскомнадзора?
Что будет, если вы...
Не защитите данные
Не разработаете документы
Не отправите уведомление
Не станете получать согласие клиентов
Ответственность за отсутствие защиты данных
Закон за защите персональных данных 152-ФЗ определяет для нарушителей несколько видов санкций. Они зависят от вида нарушения.

Допустим, оператор не защитил персональные данные на должном уровне и третье лицо случайно или намеренно получает доступ к ним. В таком случае оператора штрафуют:

  • Физическое лицо — на 700–2000 рублей.
  • Должностное лицо — на 4 000–10 000 рублей.
  • ИП — на 10 000–20 000 рублей.
  • Юридическое лицо — на 25 000–50 000 рублей.

Ситуация 2. Из-за неправомерного доступа к персональным данным их владелец может пострадать. К примеру, если произойдет утечка его адреса, кто-то может воспользоваться этим и проникнуть в квартиру. В этом случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.
Ответственность за отсутствие документации
Можно получить сразу два штрафа:

  • За обработку данных без модели угроз и прописанных целей: 1 000 — 3 000 для физлиц, 5 000 – 10 000 для должностных лиц, 30 000 – 50 000 для юр.лиц.
  • За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700 – 1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юр.лиц.
Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получается, что вы просто так передали данные третьим лицам, а это незаконное распространение, за которое грозит уголовная ответственность. Штраф до 200 000 рублей, принудительные работы до двух лет или арест до четырех месяцев.
Ответственность за отказ от уведомления Роскомнадзора
Вы совершите административное правонарушение: не уведомляете контролирующий орган, хотя обязаны это сделать. Ждите штраф:

  • 100–500 рублей для физ.лиц
  • 300–500 рублей для должностных лиц.
  • 3 000—5 000 рублей для юр.лиц.
Ответственность за отсутствие согласия клиентов на хранение и обработку персональных данных
За это нарушение положен штраф:

  • 3 000–5 000 рублей для физ.лиц.
  • 10 000–20 000 рублей для должностных лиц и ИП.
  • 15 000–75 000 рублей для юр.лиц.
Не хотите разбираться самостоятельно?
Мы проведем аудит и оценим состояние вашей системы, а затем составим ТЗ с перечнем необходимых решений для вашей организации. Все решения будут соответствовать 152–ФЗ.
Вы НЕ защищены, если…
Мы собрали для вас самые частые заблуждения клиентов по поводу соответствия закону 152–ФЗ
Все персональные данные храним в дата-центре. Там и отвечают за соблюдение закона
От дата-центра, конечно, кое–что зависит. Он отвечает за хранение и удаление персональных данных, в случае если субъект расторгает договор. Провайдер помогает оператору обеспечить соответствие 152–ФЗ на уровне инфраструктуры. Здесь мы говорим о размещении ИСПДн оператора: стойки с оборудованием или облака.

Остальная ответственность лежит на операторе персональных данных. Именно он, а не сервис-провайдер, занимается установлением и ведением политики по обработке персональных данных, подготавливает и подписывает с субъектами согласие на обработку личной информации, предотвращает утечку информации и расследует случаи, когда это все–таки произошло.
Я точно соблюдаю 152–ФЗ, ведь у меня есть антивирус и межсетевой экран. Разве этого не хватит?
Абсолютно верно. Однако начинать соблюдать 152–ФЗ нужно не с антивируса, а с подготовки организационно-распорядительной документации (ОРД).

Роскомнадзор не особо интересует техника для защиты. Здесь ключевую роль играют правовые основания для обработки персональных данных.
Пакет документов имеется, но персональные данные мы храним у провайдера
152–ФЗ против такой схемы ничего не имеет, но только при наличии специального поручения. Оно необходимо для соблюдения закона 152–ФЗ относительно передачи работ по обработке персональных данных третьим лицам. В поручении нужно описать все требования по обеспечению защиты персональных данных субъектов. Без такого поручения провайдер не обязан выполнять условия оператора.
Почему выбирают «ГЭНДАЛЬФ»
8 лет в сфере защиты информационной безопасности
Полное соответствие 152–ФЗ
Лицензии ФСТЭК России и ФСБ России
Партнеры ведущих
производителей ПО
Индивидуальный подход и выполнение заказа «под ключ»
Экспертная поддержка
заказчиков