что такое защита данных в делопроизводстве
Меры по защите персональных данных сотрудников
Что такое персональные данные?
За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других — прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).
В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.
У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.
А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.
Другой документ, где дается характеристика персональным данным, — это ФЗ № 152 «О персональных данных». В нем указывается, что персональные данные — это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных). Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.
Обязательное и добровольное предоставление данных
Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).
Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152
Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.
Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные. Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.
Является ли ваша компания оператором?
Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты — физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие
организации, любым лицам, то и оно — оператор.
Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора и указать цель обработки персональных данных.
Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.
Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством. Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).
Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.
При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.
Защита персональных данных
Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.
Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.
К мерам по внутренней защите персональных данных относятся следующие действия:
Среди мер по внешней защите персональных данных следует выделить такие:
Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:
Иные организационные и технические меры, направленные на защиту персональных данных
Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:
Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.
В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;
При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).
Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;
В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.
Передача персональных данных третьим лицам
Поводов для передачи персональных данных третьим лицам может быть масса — заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д. Если организация большая — несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге. Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?
По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.
Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся — и дело будет закрыто.
Какие контрольные органы вправе затребовать персональные данные
Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.
Так, Девятый арбитражный апелляционный суд в своем постановлении от 25.06.09 г. по делу № А40-76345/08-122-112 указал, что сотрудник службы судебных приставов не имеет права запрашивать и получать сведения, содержащие личные данные граждан. В частности, суд отметил, что ни Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах», ни Федеральный закон от 02.01.2007 № 229-ФЗ «Об исполнительном производстве» не предоставляют судебным приставам-исполнителям права получать персональные данные без согласия их субъектов, не устанавливают условия получения таких данных, не определяют круг субъектов, персональные данные которых подлежат обработке, а также полномочия судебного приставаисполнителя по их обработке.
Трансграничные передачи
Если ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях.
Что такое трансграничная передача данных? Это передача персональных данных оператором через государственную границу Российской Федерации органу власти, физическому или юридическому лицу иностранного государства. В Российской Федерации одним из критериев оценки государства с точки зрения организации им адекватного уровня защиты может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS № 108.
До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.
Камнем преткновения является формулировка «адекватная защита», так как критерии адекватности нигде не определяются, при этом здравый смысл подсказывает, что адекватной можно считать защиту, которая соответствует российскому законодательству.
Присоединение иностранного государства к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 1981 г.; с изменениями 1999 г.) позволяет причислять его к числу тех, кто гарантирует вполне адекватную защиту.
Для обоснования адекватности защиты персональных данных при передаче их в зарубежный филиал компании необходимо реализовать ряд мероприятий, включая разработку документа (или нескольких), который отражает следующие основные моменты:
Эти мероприятия позволят минимизировать риски реализации угроз для персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдением установленных норм информационной безопасности.
Сколько хранить?
Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.
Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.
Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки.
Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Итак, постановление Правительства РФ 2007 г. № 781 утратило силу. В новом постановлении № 1119 объединены два проекта, один из которых определяет уровни защищенности информации, содержащей персональные данные, а второй — требования к их безопасности.
Согласно документу, актуальными угрозами для безопасности персональных данных являются условия и факторы, создающие потенциаль-ную опасность несанкционированного доступа к базам данных при их обработке, в результате которого данные могут быть уничтожены, изменены, заблокированы или предоставлены третьим лицам, не имеющим к ним права доступа. Кроме того, в постановлении определены три типа угроз информационным системам, содержащим пользовательские базы данных, а также четыре уровня защищенности информационных систем.
Пункт 13 постановления № 1119 требует, чтобы в помещениях, где производится обработка персональных данных, был обеспечен режим безопасности в соответствии с 4-м (минимальным) уровнем защищенности. При выполнении этой нормы документа становится практически невозможным использование мобильных устройств для обработки персональных данных за пределами помещения, где обеспечен режим безопасности. Следовательно, применение сотрудниками ГИБДД, таможенниками или врачами планшетов и смартфонов за пределами своих офисов оказывается также неправомерным.
Есть ли какие-либо ограничения по применению средств защиты для различных уровней защищенности? Данный вопрос не раскрыт ни в ФЗ-152, ни в постановлении Правительства РФ № 1119.
Информационная безопасность документооборота
Защита данных
на базе системы
С истемы электронного документооборота перестали быть нововведением в большинстве компаний и банков. Они реализуются в виде самостоятельного программного продукта или модуля в системе управления предприятием (ERP). Вопрос информационной безопасности систем документооборота встает наиболее остро, когда участники обмена документами территориально разделены и данные циркулируют не только в пределах одной локальной сети. Вопрос защиты коммерческой тайны и персональных данных становится особенно важным при размещении системы ЭДО в облаке.
Необходимость систем электронного документооборота
Системы электронного документооборота экономят человеческие и временные ресурсы, упрощают контроль за документами, сохраняют историю согласований, что позволяет понять ответственность каждого сотрудника за исполнение документа. При этом они бюджетны, не создают существенной нагрузки на информационную систему, легки в обслуживании.
С точки зрения логики бизнеса электронный документооборот необходим, если:
Внедрение документооборота с нуля в компании требует предварительного решения двух задач, связанных с реализацией стратегии сохранения целостности и конфиденциальности данных:
Это поможет определиться с выбором типа программы документооборота:
В каждом из этих случаев можно реализовать определенные требования к безопасности, но в первом и втором они будут ограничены заложенными разработчиком возможностями, в третьем ПО может быть доработано с учетом потребностей компании. Самостоятельным решением станет разработка отдельной программы, параметры защиты которой будут настроены под задачи компании.
Основные проблемы защиты СЭД
СЭД как часть общей информационной системы предприятия часто не дает сомнений в безопасности, если защищена сама ИС. Она дает и дополнительную гарантию, так как работа идет не с файлами, а только с графическими образами документов, которые сложно скопировать или внести в них изменения. Комментарии вносятся в поля документа и могут быть скопированы только вручную. Но сложности возникают и в этих случаях, защита данных может оказаться под угрозой из-за неверной настройки системы, отсутствия разграничения доступа, использования самописных программ. Требования по защите персональных данных часто не совместимы с параметрами защиты, которые заданы в СЭД, если именно в ней они обрабатываются полностью или на определенном этапе.
Если принято решение о внедрении системы электронного документооборота, созданной применительно к задачам конкретного предприятия, в которой возможно реализовать все современные требования к информационной безопасности, то разработчики должны вложить в СЭД:
Для каждой компании может быть выбран собственный комплект решений, не всегда целесообразно использовать всю совокупность.
Шифрование документов
При возможности СЭД должна использоваться только внутри защищаемого информационного периметра, LAN – Local Area Network. Шифрование с применением электронной подписи позволяет защитить наиболее значимые документы, оставляя вопрос, какие именно из них следует шифровать, чтобы не создавать избыточную нагрузку на бизнес.
Задача решается в несколько этапов:
Некоторые уже представленные на рынке программы ЭДО имеют встроенные алгоритмы шифрования, которые могут быть адаптированы под потребности конкретной компании, но большинство готовых решений устарело и уже не соответствует текущему состоянию информационных угроз. Для защиты персональных данных используются средства криптографической защиты, имеющие сертификацию, а в большинстве представленных на рынке программ это нереализуемо.
Защита каналов связи
В компании с большим количеством филиалов и обособленных подразделений при установке системы ЭДО возникает дополнительный уровень обеспечения информационной сохранности документооборота – защита каналов связи. Она возникает еще в двух случаях:
Угрозы для сохранности информации в этих ситуациях:
Решение по защите данных должно быть не только эффективным, но и производительным, в большинстве случаев результат достигается сочетанием шифрования и защищенных протоколов связи. Но применение VPN-сервисов допустимо не для всех компаний, большинство поставщиков этого вида услуг являются иностранными сервисами, и организации, работающие с персональными данными или с информацией высокого уровня конфиденциальности, предпочитают настраивать собственную систему передачи данных по защищенным протоколам. Для организаций, работающих с документами высокого уровня конфиденциальности, следует исключить возможность передачи их вне защищенного периода, работа с ними рекомендуется только на рабочих станциях.
Безопасность ЭДО, новые технологии и среда виртуализации
Стремление большинства компаний создать распределенную архитектуру системы управления, в том числе перенести архив в облачную среду, побуждает приобретать программное обеспечение для организации электронного документооборота, в котором трафик и хранение документов происходят вне защищенного периметра локальной сети. Это не всегда безопасно, облачные хранилища данных хакеры взламывают с успехом, не избежала этого риска даже компания Hewlett Packard. У организации, принявшей решение хранить архив документов со всеми комментариями, правками, замечаниями, которые позволяют оценить качество кадрового потенциала и наличие скрытых внутренних конфликтов в компании, появляется дополнительный риск. Такая внутренняя переписка, возникающая в процессе обсуждения и согласования документов, становится самостоятельным активом для конкурентов, желающих изучить внутреннюю политику компании. Защита облачного хранилища данных зависит только от организации, предоставляющей услугу, и необходимо максимально внимательно отнестись к надежности серверов.
Помимо этого риска, изменение концепции управления информационными потоками в сторону их децентрализации заставляет решать задачи:
Системы документооборота, в которых базы данных находятся в облаке, снижают нагрузку на сетевую инфраструктуру клиента, но не решают задачи защиты данных. В большинстве случаев при передаче информации с компьютера клиента в облако для защиты используются защищенные VPN-туннели, но этого недостаточно. Облачная инфраструктура не сбалансирована и при различной нагрузке от разных клиентов может отказать. Кроме этого, владельцы облачных сервисов признают, что они мало устойчивы к внешним атакам.
Поэтому при выборе поставщика услуг по облачному размещению системы электронного документооборота необходимо убедиться, что его инфраструктура соответствует требованиям недавно выпущенного ГОСТа, освещающего вопросы защиты данных в среде виртуализации. Но если владелец дата-центра оборудовал облачное хранилище согласно всем современным требованиям, стоимость его услуг становится слишком высокой для малого и среднего бизнеса. Поэтому вопросами безопасности при размещении систем ЭДО в облачных хранилищах чаще пренебрегают, предпочитая удобство, простоту и невысокую стоимость. Риск выхода из строя системы облачного хранения при ненастроенной системе резервного копирования иногда оказывается очень высоким, даже если он только прогнозируем.
Качественный облачный сервис, в котором размещается программа ЭДО, должен соответствовать требованиям безопасности на трех уровнях:
Выбор решения по обеспечению информационной безопасности электронного документооборота становится личным делом каждой компании. Если уровень конфиденциальности документов высок, например, они содержат государственную тайну, от облачных технологий придется отказаться. В рамках локальной сети предприятия, в защищенном периметре большинство решений по защите данных реализуются при меньшей стоимости и с большей гарантией.
Обработка и защита персональных данных в организациях
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (Закон о ПДн) защищает личную информацию от неправомерного разглашения.
Персональные данные — любая информация, которая позволяет опознать конкретную личность: данные паспорта, имя, номер телефона, результат измерения температуры тепловизором, фотография и даже свидетельство о смерти.
Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.
Обеспечить неприкосновенность персональных данных должен каждый оператор: госструктуры, организации всех форм собственности и физлица (статья 19 Федерального закона о персональных данных N 152-ФЗ).
Операторы — государственные и муниципальные органы, любые компании, физические лица, которые собирают личную информацию и осуществляют иные операции по их обработке.
На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.
За работой операторов надзирает несколько ведомств:
Категории персональных данных
Персональные данные делятся на категории:
Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.
Этот перечень открытый.
Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.
Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.
Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:
Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).
Обезличенные. Информация обезличивается при обработке, в результате которой становится невозможно соотнести данные с определённым человеком.
Как обрабатывать ПДн
Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.
Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.
Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.
Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.
Организация защиты персональных данных
Для защиты персональных данных применяют различные возможности:
Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.
Чем грозит невыполнение требований по обработке персональных данных
За нарушение законодательства предусмотрен полный спектр юридической ответственности:
Наиболее частое наказание — назначение административного штрафа.
Статья 13.11 КоАП РФ устанавливает девять составов правонарушений, в числе которых ответственность за обработку данных, когда это не предусмотрено законом; с отступлением от заявленных компанией целей и другие неправомерные действия.
За виновные действия предусмотрено наказание, минимальный и максимальный размер которого приведён в таблице.
| Размер штрафа | Граждане | Должностные лица | Юрлица и индивидуальные предприниматели |
|---|---|---|---|
| Минимальный | Предупреждение или Штраф 1 – 3 тыс. р. | Штраф 5 – 10 тыс. р. | Штраф 30 – 50 тыс. р. |
| Максимальный | Штраф 30 – 50 тыс.р. | Штраф 100 – 200 тыс. р. | Штраф 1 – 6 млн р. |
| За повторное нарушение | Штраф 50 – 100 тыс. р. | Штраф 500 – 800 тыс. р. | Штраф 6 – 18 млн р. |
Основные нормативные документы, касающиеся обработки персональных данных
Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.
Принципы защиты персональной информации, требования к операторам и правила обработки установлены в:
Конвенция устанавливает основные принципы и обязанности каждого государства – участника Конвенции, обеспечить соблюдение основных прав и свобод человека и неприкосновенность частной жизни.
Больше известен как GDPR – General Data Protection Regulation. Актуален для компаний, которые ведут деятельность с участием европейских партнёров.
ФЗ даёт определение понятий, устанавливает принципы и условия обработки ПДн, права субъектов, личные данные которых обрабатываются, обязанности операторов, определяет уполномоченный орган и устанавливает ответственность за нарушения.
Указ перечисляет общие критерии, по которым информацию можно отнести к персональным данным.
Постановление определяет уровни защищённости информации и раскрывает содержание мер, которые обеспечивают безопасную обработку конфиденциальных данных.
Приказ устанавливает правила обезличивания информации.
Приказом утверждён перечень организационных и технических мер по обеспечению безопасности ПДн.
Кроме того, положения о защите конфиденциальной информации установлены в других федеральных законах; регламентах, приказах, инструкциях министерств и ведомств.
Назначение ответственных за организацию защиты данных
Оператор должен назначить ответственного за операции с конфиденциальными данными.
Ответственное лицо обязано:
В российских организациях, которые ведут деятельность в странах ЕС, должен быть назначен ответственный по защите данных — DPO.
Ответственным лицом может быть назначен сотрудник — руководитель компании, юротдела, других подразделений, либо стороннее лицо — независимый эксперт или фирма.
Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных
Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.
Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:
Вывод
С каждым годом контроль по стороны Роскомнадзора становится всё жёстче, а ответственность операторов — выше:
| Период | Выписано протоколов | Сумма штрафов |
| 2018 г. | 156 | 437 тыс. рублей. |
| 2019 г. | 215 | 1 млн 99 тыс. рублей |
Из таблицы видно, что в 2019 году привлечение к административной ответственности выросло на 22 % по сравнению с предыдущим годом.
В 2020 году ситуация обострилась: ответственность за некорректную обработку персональных данных ужесточилась. Более того, индивидуальных предпринимателей по объёму ответственности приравняли к юридическим лицам.
Только строгое следование требованиям закона при обработке конфиденциальной информации позволит избежать нарушений и привлечения к ответственности.