документация по защите персональных данных

     Если на данный момент  Ваша компания не зарегистрирована в «Реестре операторов, совершающих обработку персональных данных» в  Роскомнадзоре,  не разработан и  не внедрен пакет документов по защите персональных данных, Вы не можете законно продолжать свою деятельность. При получении уведомлений или запросов от контролирующих органов (Роскомнадзор, Государственная Инспекция Труда) или во время  внеплановой проверки на предмет невыполнения Вами требований ФЗ-152,   при отсутствии необходимой документации,  Вашей компании будет вынесено предупреждение и наложен штраф. Размер штрафа, в зависимости от количества выявленных нарушений, предусмотрен Законодательством  до 300 000 руб. с возможным приостановлением деятельности предприятия до 90 суток (блокировка расчетного счета).

Основные требования ФЗ-152

1. Разработка пакета организационно-распорядительной документации.

Операторы персональных данных должны иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. (ст. 18.1). Законодательно такой перечень не утвержден, поэтому каждый оператор персональных данных составляет их самостоятельно.
Юристы нашей компании «Русь Востока» разработали пакет необходимой документации, соответствующий требованиям ФЗ-152.

 

2. Организация работы с персональными данными в соответствие с требованиями ФЗ-152.

Персональные данные необходимо правильно собирать, обрабатывать и передавать.
Со всеми физическими лицами, у которых Вы собираете персональные данные (например, через сайт клиента),  должен быть заключен договор или взято согласие на их обработку.
С каждым контрагентом, которому Вы передаете, предоставляете в доступ (например,  другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.
Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.
В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

 

3. Обеспечение технической защиты персональных данных в информационных системах.

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.
Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.
После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.
Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

 

4. Проверка местонахождения Ваших баз с персональными данными.

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации. Поэтому проверьте местонахождение Ваших информационных баз, т.е. уточните, где географически находятся  сервера. Если за рубежом, срочно переносите в Россию.
О месторасположении баз данных необходимо уведомить Роскомнадзор. Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

 

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.
ФСТЭК России. Проверяет выполнение требований по технической защите.
ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.
Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.
Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.
При проверке локализации баз персональных данных Роскомнадзор  запрашивает договор с российским хостинг-провайдером.
Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?
Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

 

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.
Основные риски:
С 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.
С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

 

Выполнить требования ФЗ-152 можно:

  • собственными силами;
  • привлечь специалиста нашей компании ООО «Русь Востока».

 

Выполнение закона собственными силами
Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации. На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у Вас или Вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

 

Выполнение закона с помощью специалиста юридической компании:
  • мы проведем цикл работ по анализу Вашей компании,  разработке необходимой документации, адаптированной под Вашу организацию;
  • в разработке пакета документации по ФЗ-152  «О персональных данных»  будут участвовать несколько специалистов нашей компании ООО «Русь Востока», знающие сам закон,  подзаконные акты, умеющие регламентировать технические моменты, обладающие знаниями по информационной безопасности, имеющие опыт работы с Роскомнадзором;
  •  Вы сможете предоставлять клиентам, партнерам (особенно иностранным)  не только учредительные документы, но и документы по персональным данным, чтобы подтвердить Вашу законопослушность, деловую репутацию;
  • наши специалисты ответят на все Ваши вопросы по выполнению требований законодательства в области персональных данных;
  • наши специалисты проверят подготовленные документы для максимальной их персонализации под клиента;
  • ООО «Русь Востока» предоставляет финансовую гарантию на качество подготавливаемых  документов и помощь в прохождении проверок Роскомнадзора;
  • Ваши нервы и репутация останутся  в порядке: Вы соблюдаете требования законодательства, избегаете штрафов и не боитесь проверок и уведомлений Роскомнадзора.

 

Стоимость разработки пакета организационно-распорядительных  документов для выполнения ФЗ-152 «О персональных данных» (33 документа)   — 9 800 руб.

Стоимость полного комплекса документации: регистрация компании в Роскомнадзоре, пакета организационно-распорядительных документов (33 документа), разработка Политики конфиденциальности и Пользовательского соглашения    12 000 руб.

Звоните: тел. (423)2715-888 или пишите, наши специалисты помогут Вам!    

Какой способ Вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

 

 

 

Добавить комментарий