Заказать звонок
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Заказать звонок
Работаем
по всей России

Защита персональных данных по 152-ФЗ

Регламентируется защита персональных данных 152 Федеральным Законом. Он утвержден 27 июля 2006 года и устанавливает правила обработки персональных данных (ПДн) любыми юридическими и физическими лицами. Обработка ПДн в кругу семьи не попадает под действие этого закона.

Персональные данные – это все сведения о конкретном лице.

Оператор – юридическое или физическое лицо, которое осуществляет обработку ПДн.

Условия для обработки ПДн

Все фирмы, даже самые небольшие, обрабатывают ПДн своих сотрудников. Делать это нужно правильно, не нарушая закон. Несколько его пунктов описывают правила и условия работы с такой информацией:

  • обработка допустима только для реализации заранее установленной законной цели;
  • проводится с согласия субъекта;
  • возможна без согласия, если это требуется для правосудия, защиты жизни, работы СМИ;
  • ПДн не должны превышать объем, который нужен для поставленной задачи;
  • ответственность несет оператор, получивший ПДн, даже если их обработка поручена другому лицу.

Обязанности оператора

Согласно пункту 18.1 152 ФЗ оператор должен:

  • разработать и издать документы, устанавливающие стратегию обработки ПДн, и сделать их общедоступными;
  • разработать акты для работы с ПДн;
  • разработать акты, устанавливающие меры, ориентированные на обнаружение нарушений;
  • оценить ущерб, который может быть нанесен субъекту при отступлении от Закона;
  • ознакомить сотрудников, занятых обработкой ПДн, с законодательством РФ;

Выполнение этих обязанностей оператор осуществляет при помощи процедур и мер, которые определяет самостоятельно.

Как обеспечить безопасность персональных данных?

Для защиты персональных данных 152 фз в 19 пункте перечисляет меры, которые обязан предпринимать оператор при работе с ПДн:

  • установить возможные опасности для ПДн;
  • принять организационные и технические меры для охраны ПДн;
  • применять средства защиты информации (СЗИ), которые прошли проверку;
  • оценить действенность принятых мер до запуска системы данных;
  • вести учет носителей ПДн;
  • выявлять случаи незаконного доступа к ПДн;
  • восстанавливать ПДн при необходимости;
  • установить порядок допуска к ПДн;
  • вести учет всех действий, осуществляемых с ПДн.

Статья 22.1 указывает на необходимость назначения лица, ответственного за обработку данных. Такой сотрудник будет следить за соблюдением законодательства РФ, знакомить работников с законами и нормативными актами, принимать заявки и обращения от субъектов персональных сведений.

Соответствие этим пунктам обязательно для компании. Однако на практике это оказывается гораздо сложнее. Закон №152 разработан для всех видов юридических лиц, а потому некоторые требования могут быть недостаточны или наоборот излишни для конкретной фирмы. По факту закон не дает четких и однозначных установок, и неопытный человек вряд ли сможет правильно их трактовать и применить на деле. К тому же, стоит руководствоваться не только этим законом, но и десятком нормативно-правовых актов.

Заявление в Роскомнадзор

Статья 22 Закона обязывает оператора уведомить Роскомнадзор об осуществлении обработки ПДн до начала такой деятельности. Для этого оператор должен отправить в Роскомнадзор уведомление о включении в реестр. Такой запрос можно направить в бумажном или электронном виде, но обязательно его правильно оформить и указать полные корректные данные. Нужно максимально подробно описать принципы работы защиты ПДн и указать правовое обоснование.

Перед подачей уведомления нужно подготовить организацию в соответствии со статьями 18.1 и 19 Закона. Если указанные данные не соответствуют нормам, уведомление будет отклонено. В уведомлении нужно указать следующие данные:

  • название (ФИО) оператора,
  • цель обработки информации,
  • категории ПДн,
  • правовое обоснование,
  • список действий при обработке,
  • перечень мер для защиты ПДн,
  • название (ФИО) ответственного лица,
  • дата начала работы с ПДн,
  • сроки и обстоятельства для остановки обработки,
  • информация о возможности передачи ПДн заграницу,
  • информация об обеспечении защиты сведений.

Кому не нужно регистрироваться в Роскомнадзоре?

В той же 22 статье приведен список лиц, которым не нужно уведомлять Роскомнадзор об осуществлении обработки ПДн: 

Очевидно, что подготовить предприятие и привести в соответствие с нормами 152 фз о защите персональных данных достаточно сложно. Это требует материальных и временных затрат и абсолютного знания Закона и всех подзаконных актов. Только опытное и компетентное лицо знает, что компания должна разработать около 60 внутренних документов, регламентирующих обработку ПДн. Если же организация не соответствует требованиям, она должна устранить недочеты в 30-дневный срок. Как правило, этого времени недостаточно, ведь на подготовку уходит от 2 до 6 месяцев. Поэтому предприятие, желающее успешно пройти проверку, обращается к профессионалам, которые грамотно организуют весь процесс.

Заказать звонок
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.