Положения закона 152-ФЗ обязывать создавать и соблюдать условия по по охране персональных данных (также - ПД и ПДн). Для этого необходима информационная система защиты персональных данных - ИСПДн, при этом ее разработка и внедрение должны происходить комплексно. После ее воплощения в жизнь содержание необходимо поддерживать в актуальном состоянии.
С чего начать?
Первоочередным распорядительным документом ИСПДн является приказ о ПД, он определяет алгоритм основных направлений деятельности и включает в себя:
- утверждение положения о защите и обработке ПД;
- определение лиц, допущенных к обработке, хранению, сбору конфиденциальной информации;
- назначение ответственного сотрудника за обеспечение безопасности персональных данных, организацию процесса создания и поддержания ИСПДн.
Приказ подписывается руководителем организации, а каждый сотрудник расписывается, подтверждая ознакомление с ним.
ИСПДн должна быть корректно выстроена, тем самым полноценно защищая ПДн физических лиц. При ее разработке стоить обратить внимание на следующие моменты:
- Инвентаризация. С ее помощью определяются направления и объем информационных потоков, связанных с ручной и автоматизированной обработкой данных.
- Модель угроз. Этот документ отражает актуальные риски, влияющие на работу конкретной ИСПДн.
- Уведомление Роскомнадзора. Компанию вносят в реестр персональных данных, на основании которого проводятся плановые проверки.
С целью проверки соблюдения норм 152-ФЗ нередко проводятся проверки организаций представительствами Роскомнадзора. Корректно выстроенная система обработки ПД в соответствии с требованиями и рекомендациями федерального закона сводит к минимуму получение штрафных санкций. Способы проведения РКН проверок следующие:
- Плановые. Список организаций и даты их посещения размещаются на сайте Роскомнадзора: https://rkn.gov.ru/.
- Внеплановые. Инициируется кем-либо через оформленную жалобу.
- Систематические наблюдения. Периодический мониторинг сайта контролируемой организации.
В 2019 году был увеличен размер штрафных санкций за недолжное поддержание уровня безопасности хранения персональных сведений: до 75 000 рублей. Однако не стоит беспокоиться тому оператору обработки ПД, который знаком с законом и придерживается всех его норм!
