В России действует закон «О персональных данных» № 152-ФЗ. Его обязаны соблюдать все, кто хранит любые персональные данные (далее – ПД), то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ.
1.Обеспечить защиту данных
Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором ПД и отвечаете за их защиту. Основные требования общие для всех:
- Обеспечить разграничения прав доступа.
- Поставить серверы с данными в защищенном месте.
- Установить антивирусные программы, межсетевые экраны и другое ПО для защиты от угроз.
2.Разработать документы, описывающие порядок работы с персональными данными
Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи ПД вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.
Положение об обработке и защите персональных данных. С ним нужно знакомить тех, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.
Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их ПД.
Ссылку на Политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».
3.Внутренние документы компании: в них описываем порядок работы с ПД.
Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.
Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за ПД.
Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которым дается доступ к ПД в силу своего функционал.
Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с ПД. С ней должны ознакомиться все, кто имеет доступ к данным.
Уведомить Роскомнадзор
Если вы собираете ПД сотрудников, уведомлять никого не нужно. А вот если работает с ПД клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.
Отправить уведомление можно онлайн, на сайте Роскомнадзора.