Персональные данные определение в фз

Содержание

Что относится к персональным данным, что является ПНд по ФЗ-152

Персональные данные определение в фз

Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье наши коллеги из компании «ИТ-ГРАД» уделили внимание тонкостям определений, подготовили развернутый пост-ответ, который поможет нашим читателям во многом разобраться.

Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке[1].

Законодательство РФ[2] понимает под персональными данными (ПДн)

Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица. Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил:

На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что

То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.

Как быть, если отсутствует однозначность определений

В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:

Для лучшего понимания ситуации рассмотрим пример:

Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.

Зачем Роскомнадзор вводит понятие “идентификатора”

И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

  • номер и серия паспорта;
  • страховой номер индивидуального лицевого счета (СНИЛС);
  • идентификационный номер налогоплательщика (ИНН);
  • биометрические данные;
  • банковский счет, номер банковской карты.

Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:

  • фамилия, имя, отчество, дата рождения, место прописки;
  • фамилия, имя, отчество, дата рождения, должность;
  • фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.

При этом позиция судов такова, что фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные.

Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru).

Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.

Файлы cookie и персональные данные

Также важно заметить, что за последние два года в отношении файлов cookie [3] и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска.

Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.

Метрика [4], эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных.

Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.

Решение проблемы

Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.

Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:

  • операционная система;
  • часовой пояс и время браузера в 24-часовом формате;
  • язык браузера.
  • глубина цвета и разрешение экрана;
  • поддерживает ли браузер и/или включен JavaScript;
  • версия JavaScript, поддерживаемая браузером;
  • тип соединения, используемый для передачи данных;
  • размер окна браузера.

Новый европейский регламент GDPR

Правила, устанавливаемые относительно персональных данных на уровне закона, не только российская тенденция. Так, 25 мая 2018 года вступил в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон. И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что

и так далее.

В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.

Остались вопросы?

Ознакомьтесь с вебинаром:

Источник.

Следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.

чтобы получать чек-листы, реальные кейсы, а также
обзоры сервисов раз в 2 недели.

Источник: https://integrus.ru/blog/it-decisions/chto-otnositsya-k-personalnym-dannym-rossijskim-regulyatorom.html

Персональные данные (Краткий FAQ)

Персональные данные определение в фз

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:  
— его фамилия, имя, отчество, 
— год, месяц, дата и место рождения, 
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, 
– другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Оператор персональных данных – это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных – это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.
Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I.  Определить категорию обрабатываемых персональных данных: 
• категория 4 – обезличенные и (или) общедоступные персональные данные; 
• категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных; 
• категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 
• категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II.  Определить объем персональных данных, обрабатываемых в информационной системе: 
 объем 3 – в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации; 
• объем 2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 
• объем 1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III.  По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.): 
• класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных; 
• класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; 
•класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; 
•класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. 

Объем / КатегорияОбъем 3  (100 000,  субъект Федерации)
Категория 4 (обезличенные, общедоступные)Класс 4Класс 4Класс 4
Категория 3 (идентификационные)Класс 3Класс 3Класс 2
Категория 2 (идентификационные и еще)Класс 3Класс 2Класс 1
Категория 1 (медицинские, социальные)Класс 1Класс 1Класс 1

См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20. 

Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.

ДОПОЛНЕНИЕ :

Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4: 
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:  
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации
Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации; 
2) Предпроектное обследование информационной системы — сбор исходных данных; 
3) Классификация системы обработки персональных данных; 
4) Построение частной модели угроз с целью определения их актуальности для информационной системы; 
5) Разработка частного технического задания на систему защиты персональных данных; 
6) Проектирование системы защиты персональных данных; 
7) Реализация и внедрение системы защиты персональных данных; 
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований; 
9) Аттестация (сертификация) по требованиям безопасности информации; 
10) Повышение квалификации сотрудников в области защиты персональных данных; 
11) Сопровождение (аутсорсинг) системы защиты персональных данных.
Аттестация информационных систем по требованиям безопасности информации обязательна: 
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;  
– в остальных случаях — для ИСПДн 1, 2 и 3 классов.  
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации…», п. 3.3). 
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации…», пп. 4.2, 4.3).
Примечание: 
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. 
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации. 

ДОПОЛНЕНИЕ :

В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять

Источник: https://habr.com/ru/post/107576/

Что нужно знать о ФЗ-152

Персональные данные определение в фз

С 1 июля 2017 года штрафы за нарушение ФЗ-152 «О персональных данных» значительно вырастут, поэтому тем, кто работает с российской аудиторией, важно убедиться, что на сайте нет нарушений.

Везде, где посетитель сайта оставляет свои персональные данные, он должен дать согласие на обработку этих данных. Форма обратной связи, заполнение контактов в корзине, онлайн-чаты — всё попадает под действие закона о персональных данных.

Данный материал призван ответить руководителям отделов, руководителям частных компаний и бюджетных предприятий на следующие вопросы:

Что регулирует закон «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и тд.) персональных данных физических лиц юридическими лицами, индивидуальными предпринимателями и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать персональные данные физических лиц.

Под персональными данными понимается любая информация, относящаяся физическому лицу. На практике даже связка «ФИО» или «имя» с «адресом электронной почты» уже относится к персональным данным.

В организациях обрабатываются, как минимум, персональные данные следующих физических лиц: сотрудников; близких родственников сотрудников; кандидатов на вакантную должность; клиентов, являющихся физическими лицами.

Какие бывают персональные данные?

Персональные данные бывают разных категорий:

  • специальные персональные данные — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни — биометрические персональные данные
  • персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность
  • общедоступные персональные данные — данные, сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках
  • иные персональные данные — все персональные данные, не попавшие ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Под действие закона попадают все предприниматели, юридические лица и бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных. В первую очередь закон касается компаний, работающих в следующих сферах:

  • финансы и кредитование;
  • медицина и фармакология;
  • телекоммуникации;
  • образование;
  • оффлайн и онлайн ритейл;
  • гостиничное дело;
  • реклама и digital;
  • бюджетные организации и др.

Компании из вышеуказанных сфер деятельности наиболее часто работают с персональными данными, поэтому главный регулятор в этой сфере, Роскомнадзор, внимательно следит за ними.

Примеры обработки персональных данных

В первую очередь отслеживается следующие виды обработки персональных данных:

  1. Персональные данные используются для выдачи карт лояльности
  2. Персональные данные используются для рекламных и новостных рассылок
  3. Персональные данные используются для трудоустройства сотрудника и оформления ему ДМС
  4. Персональные данные используются для оказания услуг
  5. Персональные данные используются для определения кредитоспособности клиента
  6. Персональные данные используются для регистрации на сайтах и информационных системах
  7. Персональные данные данные используются для звонков потенциальным клиентам

Какие основные требования закона?

Для простоты требования закона «О персональных данных» к операторам персональных данных можно разделить на 4 группы:

  • Подготовить пакет организационно-распорядительной документации
  • Привести процессы работы с персональными данными в соответствие с законом
  • Реализовать техническую защиту персональных данных в информационных системах.
  • Хранить базы с персональными данными на территории Российской Федерации

Далее будет разобрана каждая группа требований.

Требования закона по подготовке внутренних организационно-распорядительных документов

Закон в ст.18.1 требует от операторов персональных данных наличие локальных актов и политик, регламентирующих обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом главный регулирующий орган в области персональных данных, Роскомнадзор, во время проверок компаний запрашивает перечень необходимых документов и сведений, которые, на практике, ему передают в виде копий внутренних документов.

В связи с тем, что точного перечня документов не существует, каждый оператор составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Как выглядит полный перечень необходимых документов, которых достаточно для соответствия требованиям, смотрите здесь.

Требования закона по приведению процессов работы с персональными данными в соответствие

Персональные данные данные клиентов необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные, должен быть заключен договор или взято согласие на обработку персональных данных.

С каждым третьим лицом, которому вы передаете, предоставляете в доступ или от которого получаете персональные данные, необходимо заключить соглашение о поручении персональных данных на обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования закона по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в 1С: Бухгалтерии, в базе данных сайта, CRM и других), то их необходимо защищать техническими средствами.

Для этого необходимо определить уровень защищенности персональных данных в информационных системах, составив соответствующий акт, разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого происходит разработка проекта системы защиты и непосредственно внедрение средств защиты. Внедрением средств защиты может заняться сама компания или компания, имеющая определенную лицензию ФСТЭК России.

Требования закона по хранению баз персональных данных на территории Российской Федерации

С 01 сентября 2015 года действует обязательное требование закона по необходимости собирать и хранить персональные данные граждан Российской Федерации только на территории России.

Особенно это требование касается иностранных компаний и российских компаний, чьи информационные системы полностью или частично располагаются за пределами Российской Федерации.

Также о месторасположении баз персональных данных необходимо уведомить Роскомнадзор.

При этом Роскомнадзор дал операторам персональных данных срок до конца февраля 2016 года, чтобы выполнить новые требования закона.

Кем проверяется выполнение требований закона?

Выполнение требований закона «О персональных данных» контролируют 3 государственных органа:

  • главный контролирующий орган, Роскомнадзор, который проверяет правильность обработки персональных данных и документы по персональным данным
  • ФСТЭК России, проверяющий выполнение требований по технической защите
  • ФСБ России, проверяющий выполнение требований по применению криптографии при обработке персональных данных

Наиболее активным из них является Роскомнадзор, который проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ не более сотни проверок гос. сектора.

Какие основные риски при невыполнении закона?

По итогам проверок, мер систематического наблюдения и жалоб физических лиц, Роскомнадзор и другие проверяющие органы, могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • наложение на организацию штрафа до 300.000 рублей
  • наложение на должностных лиц штрафа до 10.000 рублей
  • разрыв трудового договора с должностным лицом
  • запрет руководителю занимать руководящие должности на срок до 3х лет
  • блокировка сайта организации по жалобе физического лица
  • внесение компании в реестр нарушителей прав субъектов персональных данных

С начала 2015 года, по данным Роскомнадзора, было взыскано штрафов в общей сложности на 174.000.000 рублей с организаций и должностных лиц.

С 01 сентября 2015 года Роскомнадзор имеет право без проверки на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

Есть 5 способов выполнить требования закона:

  1. собственными силами;
  2. привлечь юриста;
  3. обратиться к системному интегратору;
  4. «ждать, пока грянет гром»;
  5. использовать сервисы автоматизированной подготовки документов по персональным данным.

Далее мы рассмотрим каждый из них по отдельности.

Как лучше всего выполнить требования закона? Собственными силами

Один из самых доступных и дешевых способов выполнения закона — делегировать обязанности на определенного сотрудника. Но данный способ только на первый взгляд кажется таким привлекательным.

Чтобы выполнить требования закона, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно- распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практики уйдет достаточно много времени, превышающее 1 и даже 2 месяца. И это время сотрудник должен заимствовать из времени, затрачиваемого на исполнение должностных обязанностей. К тому же сотрудник никогда не даст гарантии на результат и может не захотеть быть ответственным за выполнение закона.

Как лучше всего выполнить требования закона? Привлечь юриста

Привлечение юриста в вопросах касающихся законодательства, это то, что приходит в голову многим руководителям. Это достаточно хороший способ выполнить закон, если вы много лет работаете с юристом или юридической компанией и у них имеются необходимые знания в информационной безопасности.

Закон «О персональных данных» относится к законодательству по информационной безопасности и его преподают соответствующим специалистам в ВУЗах.

Для подготовки документов по персональным данным помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта, уточняйте у юриста, какие именно документы он будет разрабатывать, будет ли он в них отображать технические моменты и имеет ли он опыт взаимодействия с Роскомнадзором.

Как лучше всего выполнить требования закона? Обратиться к системному интегратору

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Из плюсов данного способа можно выделить высокий уровень оказываемых услуг квалифицированными специалистами по информационной безопасности, гарантии на качество услуг и работу под ключ (разработка документации по персональным данным и внедрение технической защиты).

К минусам данного способа можно отнести высокую стоимость (в большинстве случаем переваливающую за 1.000.000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес- процессов.

Как лучше всего выполнить требования закона? «Ждать, когда грянет гром»

Это способ выбирается некоторыми российскими организациями, которые не хотят решать вопрос с персональными данными.

Из плюсов данного способа можно отметить отсутствие затрат, как финансовых, так и временных, но только в краткосрочной перспективе.

Из минусов — то, что рано или поздно закон придется выполнить, и Роскомнадзор даже в случае наложения штрафов потребует выполнить требования закона.

И лучше это сделать, пока требования по закону не ужесточились окончательно. Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30.000 рублей и максимальных 300.000 рублей за одно нарушение.

Как лучше всего выполнить требования закона? Использовать сервисы автоматизированной подготовки документов по персональным данным

Один из самых распространенных способов выполнения закона «О персональных данных».

К плюсам данного способа относится его простота и доступность людям, не являющимися специалистами по информационной безопасности, невысокая стоимость, срок подготовки документов и консультации экспертов по безопасности. Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

К явным минусам можно отнести то, что он не подойдет крупным государственным компаниям, и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в гос. секторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных»

Выполнять требования закона «О персональных данных» это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Многие контрагенты стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Полезно почитать

Источник: https://klondike-studio.ru/articles/about-152-fz/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.