{"id":9208,"title":"\u0412 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u0445 \u043d\u0430 vc.ru \u043f\u043e\u044f\u0432\u0438\u043b\u0438\u0441\u044c \u0441\u0442\u0438\u043a\u0435\u0440\u044b","url":"\/redirect?component=advertising&id=9208&url=https:\/\/vc.ru\/promo\/326527-lyubite-rugat-servisy-vk-etot-tekst-dlya-vas&placeBit=1&hash=032d65c70fe5fc63c371cf935d9281ebe7529d9359ff65d7499233043c93d674","isPaidAndBannersEnabled":false}
Право
1Cloud Ru

Персональные данные: кто придёт вас проверить?

Закон «О персональных данных» действует с 2006 года, но вопросов о порядке его применения до сих пор остаётся множество. Они возникают из-за нечётких формулировок, неполных определений, запутанных норм и т. д.

К сожалению, закон — это только вершина айсберга. К нему прилагается очень много других документов, изданных разными ведомствами. И если вы каким-то образом используете персональные данные, эти ведомства могут вас проверить.

В этой статье мы расскажем о том, кто к вам может прийти, и что проверить.

Правительственной организацией, проверяющей исполнение закона «О персональных данных», назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). На практике, она проверяет лишь «бумажную» сторону дела: внутренние документы, которые должны быть у вас по действующему закону.

Если для обработки данных вы используете компьютеры и компьютерные сети, кроме организационных и административных регламентов, вам неизбежно потребуются технические средства защиты. В некоторых случаях они должны быть сертифицированными.

Техническими средствами защиты данных занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК). Список сертифицированных средств защиты данных опубликован на сайте ФСТЭК.

Если в применённых вами средствах защиты данных использована криптография, к надзору подключается Федеральная служба безопасности РФ (ФСБ). Сертифицированные средства криптографической защиты перечислены на сайте ФСБ.

Кто и что может проверить?

  • Роскомнадзор

    - Необходимость и наличие уведомления об операторской деятельности

    - Наличие «Политики оператора в отношении обработки персональных данных»

    - Опубликована ли Политика на сайте или иным способом?

    Имеется ли приказ о назначении лица, ответственного за осуществление Политики?
  • ФСТЭК

    - Правильно ли определен тип угроз?

    - Правильно ли определена категория обрабатываемых данных?

    - Правильно ли определен требующийся уровень защищённости?

    - Правильно ли применены выбранные технические средства защиты?

  • ФСБ

    - Используются ли криптографические средства защиты?

    - Сертифицированы ли средства, которые должны быть сертифицированы?

    - Правильно ли применены криптографические средства защиты?

Никакие другие ведомства проводить проверки по обработке персональных данных не уполномочены и, соответственно, заниматься такими проверками не могут.

Непосредственно для обработки персональных данных никакие лицензии не нужны, но для обеспечения их безопасности могут потребоваться сертифицированные технические средства.

Как выполнить нормы обработки персональных данных?

  • Ознакомиться с текстом федерального закона № 152 «О персональных данных»
  • Понять, какого рода данные вы планируете обрабатывать, и распространяется ли на вас действие указанного закона
  • Осознать угрозы, которые могут возникать в отношении обрабатываемых вами данных
  • Определить способы и инструменты защиты данных
  • Составить и должным образом оформить внутренние регламентирующие документы
  • Получить согласия лиц, персональные данные которых вы намерены обрабатывать
  • Применить выбранные вами способы и инструменты защиты данных
  • Уточнить, нет ли других норм, относящихся к вашему случаю

В большинстве случаев утечка персональных данных — результат безалаберности и игнорирования элементарных правил информационной безопасности сотрудниками компании, а не каких-то серьёзных технических просчётов.

Если к вам придут с проверкой, а вы не соответствуете ФЗ-152, вы отделаетесь штрафом. И такое случается крайне редко. А вот если произойдёт утечка данных, скорее всего, вы потеряете бо́льшую часть клиентов, причём, навсегда.

Именно поэтому нужно начинать с внутренних правил и организации работы сотрудников, имеющих доступ к персональным данным ваших клиентов.

Сергей Белкин
Руководитель отдела развития сервиса аренды инфраструктуры в облаке 1cloud.ru

Какие нормативные акты относятся обработке персональных данных?

  • Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006
  • Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012
  • Рекомендации Роскомнадзор по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
  • Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК)№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013
  • Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013
  • Приказ Федеральной службы безопасности России (ФСБ) № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» от 10.07.2014
  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006
  • Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011
  • Ряд государственных стандартов

Здесь перечислены лишь основные документы по этому вопросу. Полный список связанных нормативов намного больше.

Как подстраховаться?

Организации или индивидуальные предприниматели, вынужденные в рамках своей деятельности использовать персональные данные, столкнувшись с ворохом норм, часто теряют уверенность в том, что сумеют полностью и правильно исполнить эти нормы.

В этом случае можно обратиться к сторонней организации, имеющей лицензии в области защиты информации, чтобы она провела аттестацию вашей информационной системы на предмет её соответствия российскому законодательству.

Список организаций, лицензированных ФСТЭК, опубликован на сайте федеральной службы.

Стоит ли тратить ресурсы на аттестацию по обработке персональных данных, решать каждому самому.

0
1 комментарий
Популярные
По порядку

-Как выполнить нормы обработки персональных данных?
-Никак.

Начнем с пункта удаления ПД после обработки и закончим вопросом можно ли манипулировать медицинскими ПД лицами без медобразования (сисадмины-врачи).

1
Читать все 1 комментарий
Пользователи пожаловались на недоступность платформы для продажи хендмейд-товаров Etsy Статьи редакции

Они предположили, что Etsy могли заблокировать из-за решения суда, который признал запрещённой одну его страницу.

Плюшки – от робота, а преференции – для резидента

Как наладить взаимовыгодное сотрудничество на территории ОЭЗ «Технополис Москва».

Разговор PRO: аналитика рекламы

Эксперты компании Registratura, входящей в iConText Group, вместе со своим клиентом «Олант» приняли участие в спецпроекте AdIndex.ru, где поговорили о рекламной аналитике.
Сергей Ерофеев, генеральный директор Registratura, Андрей Сахаров, руководитель отдела продаж Registratura, и Филипп Иванов, директор по интернет-маркетингу и e-commerce «Олант»…

«Как иронично, что фирме в сфере психического здоровья плевать на психическое здоровье собственных работников» Статьи редакции

Сотрудники Spring Health жалуются на соучредительницу Эйприл Го: она запугивает их, увольняет при всех, вынуждает работать по 70 часов в неделю и не нанимает тех, кто спрашивает про переработки. Го объясняет: «Мы носимся как безголовые цыплята, потому что на кону человеческие жизни».

Эйприл Го — на ноябрь 2021 года самая молодая женщина-директор компании с оценкой более $1 млрд Slush
eBay: 64% покупателей не жалеют о своих покупках в Черную пятницу

Черная пятница — одно из главных событий этой недели: тысячи покупателей находятся в поиске лучших скидок. А что происходит после Черной пятницы? eBay опросил около 1000 россиян и выяснил, считают ли они выгодными покупки, совершенные во время самой большой распродажи года.

Юбилей кешбэка: как в 130 лет выглядеть «на все сто»

Кешбэк — возврат определенного процента наличных на карточный счет клиента после покупок в магазинах-партнерах банка или полетах на самолетах авиакомпаний-партнеров-банка или вообще за любые покупки в конкретный период времени — очень популярен в народе. Он выглядит как современная модная финансовая фишка

Зимний набор на оплачиваемую стажировку в Тинькофф Старт: какие задачи решают стажеры

Стажировка пройдет по направлениям: аналитика, QA, бэкенд-разработка (Java, C++, Python, Scala, .Net, Golang), фронтенд, мобильная разработка (iOS и Android), ML, маркетинг и менеджмент образовательных проектов.

Фото: Курьер Delivery Club из Рыбинска в ретро-форме Статьи редакции

Сотруднику выдали шинель и фуражку, а рюкзак поменяли на ящик с кожаными ремешками.

Как обустроить домашнюю студию звукозаписи при скромном бюджете Статьи редакции

Почему сведённый трек нужно проверять на паршивой Bluetooth-колонке, какие плагины выгоднее брать новичку и с каким синтезатором работал Ханс Циммер, создавая саундтрек к «Тёмному рыцарю», — в пересказе Pitchfork.

AudioMunk
null