Для обеспечения полноценной защиты персональных данных организация должна не только подготавливать документы, соответствующие требованиям ФЗ-152,но и обеспечить обучение персонала. А также осуществить наличие технических решений, подробно описанных в Постановлении РФ №1119 и приказе ФСТЭК №21.
Если компания не занимается обработкой и хранением данных клиентов, а только хранит и обрабатывает персональные данные собственных сотрудников, то не требуется наличие специальных способов криптозащиты и сертифицированных ФСТЭК устройств, а также участия сертифицированных ФСТЭК специалистов.
Нужны лишь базовые знания среди работников и обеспечение норм и требований по ФЗ-152 О персональных данных.
Как обеспечить защиту персональных данных на рабочих местах
Для того чтобы максимально защитить персональные данные и обеспечить выполнение всех требований ФЗ-152, необходимо провести грамотный и подробный инструктаж со всеми работниками. Дополнительно следует строго следить за соблюдением ряда правил. А именно:
- у каждого пользователя ПК, операционных программ и прочей инфраструктуры в сфере информационных технологий должен быть свой индивидуальный логин-пароль;
- В компании должна присутствовать некая система уровней доступа к информационным данным;
- для доступа к информационным системам необходимо ввести несколько уровней, в зависимости от должности работника;
- удаленный доступ в корпоративную IT-инфраструктуру должен осуществляться только через защищенное соединение;
- рабоники должна строго соблюдать регламент по передаче лбых корпоративных данных через сторонние виды связи (мессенджеры, личная почта и прочее);
- все изменения в IT-инфраструктуре, связанные с безопасностью, должны регистрироваться и храниться. Об изменениях должны быть оповещены ответственные сотрудники;
- категорически запрещается доступ к любым устройствам лицам, не имеющим права доступа и личных паролей и логинов;
- передача оборудования в ремонт или выведение его из эксплуатации должно сопровождаться стиранием с него или обезличиванием всех персональных данных;
- информационные системы, которые используются для работы с персональными данными должны быть задокументированы, изменения в их конфигурации должны осуществляться лишь по результатам планирования и согласования.
Каждый сотрудник должен строго соблюдать данные нормы и правила. Строго запрещается передача своих данных для входа на корпоративные устройства третьим лицам. Руководителям рекомендуется обратиться к специалистам, которые смогут провести подробный и грамотный инструктаж по организации безопасности персональных данных на рабочих местах.
Подготовка сотрудников к проверкам
Также необходимо подготовить сотрудников к возможным проверкам, которые часто проводят такие надзорные органы как Роскомнадзор.
Организация должна заранее установить конкретный перечень работников, которым разрешен доступ к персональным данным. Данный список устанавливается отдельным приказом за подписью руководителя. В нем указывается, какие именно ПД разрешено использовать в своей работе тем или иным специалистам. Каждый работник подписывает обязательство о неразглашении ПД, назначается ответственный за работу с персональными данными. Данный сотрудник должен изучить все нормы законодательства, которые касаются персональных данных, и проводить анализ поступающей документации.
Для того, чтобы пройти проверку беспроблемно, чаще всего приглашают специалиста по защите персональных данных, который оценивает подготовку к проверке и помогает исправить недочеты. Если же организация планирует проходить проверку самостоятельно, то необходимо выполнить ряд требований. Кроме того, что уже было названо ранее, компании необходимо:
- изучить процесс обработки данных. Стоит проверить, знают ли сотрудники о том, для чего организация собирает персональные данные? Как происходит их использование? Сотрудники организации должны давать четкий и конкретный ответ на любой из поставленных вопросов.
- разработать на основе полученных знаний свой пакет документов с Политикой в отношении обработки персональных данных. Выпустить приказы и положения, связанные с этим процессом, утвержденные руководством компании. Все сотрудники, имеющие прямое или косвенное отношение к обработке персональных данных, должны быть ознакомлены с данными документами под подпись. Важно, чтобы информация их этих документов не была доступна других сотрудникам, которые не работают с персональными данными.
- разместить в открытом доступе Политику по обработке персональных данных вашей организации. Данное действие необходимо для того, чтобы каждый желающий мог прочесть данный документ и убедиться в правильности действий организации. Размещение возможно на специальных стендах, сайте компании, в мобильном приложении и так далее. Компания подает в Роскомнадзор уведомление об обработке персональных данных. Это можно делать через сайт Госуслуг, сайт Роскомнадзора или в бумажном виде в отделении. После этого компанию внесут в реестр операторов персональных данных, что также является требованием 152-ФЗ.
Стоит помнить о том, что любой ответственный сотрудник, имеющий отношение к обработке ПД, должен знать правильные формулировки ФЗ -152. Грамотный сотрудник не тушуется при прохождении проверки, всегда четко и верно ответит на вопросы и не подаст виду, даже если организация недостаточно подготовлена к визиту проверяющих органов. Если же у руководства есть сомнения по поводу того, что сотрудники готовы к прохождению проверок, необходимо обратиться к официальному оператору персональных данных – Комитет по информационной и правовой безопасности. Данная организация поможет исправить все возможные нарушения и подготовить сотрудников.