Пять шагов к системе. Персональные данные на рынке СМБ::БИТ 03.2010
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
декабрь    2023
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

05.12.2023

Ассоциация «Цифровой транспорт и логистика» предлагает выпустить серию почтовых марок о беспилотном транспорте

Читать далее 

01.12.2023

X Международный конгресс SMART RUSSIA

Читать далее 

27.11.2023

В Москве наградили победителей Международного хакатона по искусственному интеллекту 

Читать далее 

27.11.2023

Названы лучшие сайты и приложения по версии Рейтинга Рунета-2023

Читать далее 

показать все 

Статьи

21.11.2023

Как вы оцениваете развитие инфраструктурного ПО в России?

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

22.09.2023

Проще, чем кажется. Эталонная модель документооборота или краткое руководство по цифровой трансформации

Читать далее 

22.09.2023

Какие hard skills вам нужны?

Читать далее 

22.09.2023

Какие hard skills вам нужны?

Читать далее 

25.07.2023

Как изменится ИТ-мир через 35 лет?

Читать далее 

25.07.2023

Тотальный контроль или разумная опека?

Читать далее 

03.07.2023

Property technologies: тренды и инновации

Читать далее 

показать все 

Пять шагов к системе. Персональные данные на рынке СМБ

Главная / Архив номеров / 2010 / Выпуск №3 (3) / Пять шагов к системе. Персональные данные на рынке СМБ

Рубрика: Закон есть закон


 Виктор Мининсопредседатель комитета по информационной безопасности Российского союза ИТ-директоров

Пять шагов к системе
Персональные данные на рынке СМБ

ФЗ №152 вступил в силу еще 26 января 2007 года и распространяется на всех юридических и физических лиц, деятельность которых связана с обработкой персональных данных, как с использованием средств автоматизации, так и без использования таких средств, за исключением случаев, оговоренных в п. 2 ст. 1 Закона

Есть ли персональные данные в среднем и малом бизнесе?

Да есть, и особенно у тех компаний, которые ведут бизнес, ориентированный на физических лиц.

Напомню, что все существующие информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2011 года. А вновь создаваемые информационные системы сразу должны строиться в соответствии с уже действующими требованиями.

Что же делать собственнику бизнеса, работающему на рынке СМБ?

Рекомендуется самостоятельно выполнить эту работу, если нет лишних финансов (а их, как правило, в этом секторе всегда не хватает).

Второй подход – привлечь внешних консультантов, выбрав консалтинговую компанию.

Итак, с чего начать? С главной истины, заложенной в законе. Основой организации работ с персональными данными является внутренняя нормативная документация, определяющая и регламентирующая все виды деятельности по обработке персональных данных в компании независимо от того, ведется ли обработка персональных данных с использованием средств автоматизации или без них.

Операторы персональных данных должны задуматься об организации своей деятельности в соответствии с существующим законодательством и провести комплекс определенных мероприятий.

Первый шаг

Начинать надо отнюдь не с уведомления, упоминаемого в Законе, и не с выбора мер и средств защиты информационной системы, в которой обрабатываются персональные данные. Начинать надо с четкого определения трех позиций, от которых в основном и будет зависеть соблюдение требований ФЗ (кстати, и величина затрат на защиту персональных данных). Это категории обрабатываемых персональных данных, их объем и цели обработки.

В результате в организациях должен появиться новый, достаточно объемный пласт взаимосвязанной документации, регулирующей все вопросы обработки персональных данных.

Основным должно стать «Положение об обработке персональных данных компании-оператора», т.е. документ, аккумулирующий информацию о персональных данных, обрабатываемых оператором.

Практика его создания уже существует: статья 88 КЗОТ РФ определяет, что «передача персональных данных работника должна осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись».

Впрочем, такой документ полезно иметь всем операторам, а не только тем, кто обрабатывает данные лишь своих сотрудников.

Ведь даже для подачи уведомления в уполномоченный орган оператор должен:

  • сформулировать правовые основания, цель и способы обработки персональных данных;
  • определить категории обрабатываемых персональных данных и субъектов, чьи данные обрабатываются;
  • составить перечень действий с персональными данными;
  • изложить меры, которые оператор осуществляет в целях обеспечения безопасности;
  • зафиксировать дату начала обработки, срок или условие ее прекращения.

Кстати, в связи с тем, что эти критерии изменяемы с течением времени, такой документ в организации должен поддерживаться в актуальном состоянии.

Помимо этого, настоятельно рекомендуется включить в Положение информацию об основаниях и порядке уничтожения персональных данных, а в качестве приложения добавить форму согласия субъекта персональных данных на обработку таких данных, разработанную с учетом требований ФЗ №152.

Второй шаг

Далее нужно закрепить порядок обработки, т.е. описать все бизнес-процессы компании, связанные с обработкой персональных данных, с указанием конкретных должностных лиц, персональных данных и используемых мер и средств защиты.

Поскольку нормативная правовая база упоминает два способа – с использованием средств автоматизации и без них, то целесообразно на основании анализа деятельности компании разработать две Инструкции о порядке обработки персональных данных. В компании могут применяться оба документа одновременно.

Третий шаг

Обязательно необходим блок административно-распорядительных документов компании. Что в него войдет?

Для начала издайте приказ о назначении должностного лица, ответственного за организацию работы с персональными данными в комплексе, включая организационно-правовые действия и направление технической защиты информации. Именно этот сотрудник будет нести ответственность за осуществление компанией деятельности в качестве оператора персональных данных.

Еще одним приказом настоятельно рекомендуем назначить лиц, ответственных как за автоматизированную обработку персональных данных, так и за обработку без использования средств автоматизации.

Они могут быть из разных областей: специалист по информационной безопасности, юрист или лицо, отвечающее за работу с персоналом.

В этом же приказе можно определить и те должности, при занятии которых сотрудник непосредственно участвует в обработке персональных данных.

Как только эти позиции будут закреплены в приказе по компании, в должностные инструкции каждого специалиста должны быть внесены дополнения, касающиеся работы с персональными данными.

Одновременно с этим компании-оператору необходимо заключить соглашения с работниками о неразглашении персональных данных клиентов компании.

Четвертый шаг

Практика показывает, что только тогда, когда компания смогла сформулировать и принять эти документы, уведомление в Роскомнадзор будет содержать фактическую и осознанную самим оператором информацию о действительном положении дел в компании.

Это позволит избежать жалоб и судебных тяжб с субъектами персональных данных, чьи права могут быть нарушены, а также недоразумений при общении с уполномоченными органами и при проведении контрольных мероприятий. При отправке уведомления не забудьте оставить у себя в деле копию с отметкой о его получении уполномоченным органом.

Безусловно, перечень вышеназванных документов далеко не полон, но в целом отражает структуру организации работы с персональными данными оператора персональных данных. В некотором смысле это типовое решение. Для каждой организации такая система должна учитывать особенности сферы деятельности, бизнес-процессов и структуру компании. При этом следует помнить, что все типовые документы, которые вы сможете отыскать на бескрайнем информационном пространстве Интернета, не выдерживают критики.

Полагаю, что следует начинать с методических пособий, размещенных на существующих легитимных источниках. К примеру, учебно-методическое пособие по курсу повышения квалификации «Обеспечение безопасности персональных данных» издательского дома «Афина» на ресурсах www.shop.inside-zi.ru и www.i-security24.ru.

Пятый шаг

Когда выполнены все шаги, то, как правило, приходит понимание сложившейся картины не только с персональными данными, но и со всей информационной системой, что позволяет руководителю оптимизировать процессы обработки информации в целом и выстроить после этого процессы защиты информации комплексно, а не только персональных данных.

Операторам персональных данных предлагается следующая схема организации защиты персональных данных: при наличии единого управленческого звена в организации необходимо создать техническое направление по формированию обеспечения защиты персональных данных и направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки. Это может быть, например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при учете договоров с субъектами персональных данных). При этом внутренним документом (должностной инструкцией) должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту персональных данных.

В тех случаях, когда компания немногочисленна, как правило, вся ответственность возлагается на руководителя компании, но это не означает, что документацию нет смысла делать.

***

В русском языке много емких и красочных пословиц: «пока гром не грянет…», «работа – не волк…». Но призываю вспомнить не их, а уместную в данной ситуации народную мудрость: «не откладывай на завтра то, что можно сделать сегодня». Только на «первые шаги» с помощью экспертной организации уйдет в среднем три-четыре месяца. Самостоятельно справиться с задачей можно за полгода.

Ответственность при невыполнении требований Закона достаточно серьезна. Кодекс об административных правонарушениях РФ предусматривает за нарушение требований по защите персональных данных административный штраф на должностных и юридических лиц в среднем от 5000 до 500 000 рублей вплоть до приостановления деятельности компании до 90 суток.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №08 (131) 2023г.
Выпуск №08 (131) 2023г. Выпуск №7 (130) 2023г. Выпуск №6 (129) 2023г. Выпуск №5 (128) 2023г. Выпуск №4 (127) 2023г. Выпуск №3 (126) 2023г. Выпуск №2 (125) 2023г. Выпуск №1 (124) 2023г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика