Государственные и коммерческие организации хранят персональные данные своих сотрудников или клиентов, включая ФИО, паспортные и контактные данные, другие сведения. Эти данные могут использоваться злоумышленниками, поэтому для их защиты в России действует федеральный закон № 152 «О персональных данных».
Исходя из закона, каждая организация, которая хранит и обрабатывает персональные данные человека, должна заботиться об их защите. По требованиям, конфиденциальные данные должны обрабатываться в соответствии с определенными принципами. Они детально описываются в законе.
Персональные данные – это личная информация о конкретном человеке. К ней относят ФИО, ИНН, код паспорта, номер телефона, адрес электронной почты и любые другие данные, которые как-то связаны с гражданином.
Важно сделать уточнение, что персональными данные становятся только в связке, например, ФИО+телефон, адрес+ФИО. Такие пары являются конфиденциальными сведениями, их нельзя разглашать и обрабатывать без согласия владельца.
Конфиденциальные данные человека защищаются не только Федеральным законом России, но и международными договорами. Это свидетельствует об актуальности проблемы.
В соответствии с законом, личные данные о человеке могут собираться только в том случае, если он дал на это свое согласие. При этом в любой момент лицо имеет право отменить свое согласие на обработку таких сведений. Любая организация, которая хранит и собирает такие данные, обязана иметь соответствующий документ, который подтверждает согласие человека.
Личную информацию о человеке нельзя разглашать третьим лицам или публиковать в свободном доступе, потому что это противоречит принципам конфиденциальности и запрещено законом.
Информация должна храниться в защищенном (зашифрованном) виде, при этом она должна передаваться только по надежным каналам связи. Персональные данные можно использовать только в тех целях, которые обозначены в договоре между субъектом (человеком, который дал согласие) и организацией.
Определить, сколько в файловой системе документов с персональными данными, поможет «СёрчИнформ FileAuditor».
В согласии указываются сроки хранения персональных данных. После истечения определенной даты информация должна быть уничтожена или обезличена таким образом, чтобы никто не мог ею воспользоваться.
Чтобы защитить персональные данные сотрудников и клиентов, организации обязаны выполнять требования Федерального закона. Организации создают собственную нормативно-правовую базу, в которой описываются регламентные требования хранения, обработки и передачи персональных данных.
В документации обязательно есть перечень лиц, которые обладают доступом к персональным данным и могут их обрабатывать. Люди, которые занимают соответствующие должности, отвечают за сохранность информации и контролируют ее использование.
Для защиты персональных данных организации хранят сведения в надежном месте, в электронном или бумажном виде. Для защиты иногда применяют шифрование данных на электронных носителях, безопасные средства связи, организацию локальной сети.
Частные и государственные организации могут подвергаться проверке на предмет соответствия Федеральному закону «О персональных данных». Проверками занимаются несколько организаций: Роскомнадзор, ФСТЭК, ФСБ, Государственная инспекция труда и другие ведомства.
Несоответствие порядка хранения и использования данных требованиям законодательства грозит организациям штрафами: до 75 тысяч рублей в случае административной ответственности и до 300 тысяч в случае уголовной. Регуляторы могут изъять персональные данные и наложить запрет на их дальнейший сбор и обработку. Кроме того, деятельность компании в Интернете может временно приостанавливаться.
Под требования закона подпадают все организации, собирающие персональные данные. К примеру, магазины, которые выдают дисконтные карты, при их оформлении узнают имя и контактные данные человека. Это персональные данные, которые должны храниться и обрабатываться соответствующим закону образом.
Чтобы избежать штрафов и других видов наказаний за несоответствие Федеральному закону № 152 «О персональных данных», нужно правильно организовать управление данными в организации. Для этого следует проконсультироваться с экспертами, которые помогут найти проблему и решить ее.
Для того чтобы правильно обрабатывать персональные данные, нужно провести внутриорганизационный аудит. Во время него проверяется соответствие организации техническим и правовым требованиям. Если есть какие-то изъяны, они исправляются. Такой подход позволяет решить проблему еще до того, как она усугубится или попадет в поле зрения контролирующих органов.
Роскомнадзор и другие государственные ведомства могут проводить внеплановые проверки (например, в случае обращения пострадавших лиц), поэтому каждая организация должна быть к ним готова и соблюдать требованиям закона о персональных данных.
Первое, на что обращают внимание эксперты, которые проводят аудит, – правовая база организации. Проверяют не только внутриорганизационные акты, но и договоры с другими компаниями и контрагентами, контракты, которые заключают с сотрудниками и клиентами.
Если компания новая, а правовой базы для работы с данными нет, эксперты помогают ее подготовить. Кроме того, они отправляют соответствующий запрос в Роскомнадзор для регистрации организации в качестве оператора персданных. Правильно оформленные документы – первый этап аудита.
Между сотрудниками компании нужно правильно разделять полномочия. Рядовой персонал не должен обладать допуском к изучению личных данных о клиентах и сотрудниках. Лучше, если персональными данными будет заниматься специальный структурный отдел внутри организации.
Во время проведения аудита эксперты помогают организовать материально-техническую базу для соответствия закону о персональных данных: устанавливают программное обеспечение на компьютеры в компании, создают локальную сеть и помогают подготовить правовую базу для ее функционирования. В случае если сеть хранения данных уже существует, аудиторы находят проблемы в ней и корректируют ее работу.
Финальная стадия аудита – юридическая консультация. Аудиторы рассказывают обо всех тонкостях закона о персональных данных, юридической и судебной практике. Помогают разобраться в том, когда проходят и что включают проверки регулятора, как к ним подготовиться.
Проблемой сбора персональных данных обеспокоено не только государство, но и рядовые граждане. О ее важности свидетельствует факт, что за последние несколько лет в России дорабатывали старые законы о защите личных данных и принимали новые. Европейский союз выдвинул новые требования к организациям, которые осуществляют сбор персональных данных. Аналогичная ситуация наблюдается и в других регионах мира.
13.12.2019
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
