Защита персональных данных в организации: пошаговая инструкция, как реализовать в медицинских учреждениях, для сайта интернет-магазина компании или предприятия

С 1 июля ужесточается законодательство о персональных данных.  Поэтому интернет-магазины с новой силой вспомнили о 152 ФЗ и задались вопросом – как именно его нужно соблюдать.

Тем более, что Роскомнадзор уже начал рассылать «письма счастья»,  в которых сообщает, что проведен осмотр сайта интернет-магазина, а вот формы для получения согласия на сбор ПДн, увы, не обнаружено.

В этой статье мы расскажем, как интернет-магазину правильно «подстелить соломки» и обезопасить себя от штрафов.

Для начала, перечислим самые популярные мифы по персональных данных, не соответствующие действительности.

Миф 1: принят  новый закон

Закону о персональных данных (152 ФЗ) уже много лет, и основные положения остаются  неизменными. Периодически законодатели принимают поправки к закону.

Некоторое время назад были введены правила о «локализации ПДн», а  с 1 июля  ужесточается ответственности  для операторов персональных данных. Если конкретнее, вступают в силу изменения в  в статью 13.11 КоАП РФ.

В новой редакции статьи есть 7 составов правонарушений и прописаны штрафы за них. Что наиболее актуально для интернет-магазинов – предусмотрены штрафы (до 75 тысяч рублей для юрлиц) за:

1. Обработку ПДн без согласия пользователя, полученного в письменной форме.
2. Обработку ПДн в случаях, не предусмотренных законодательством РФ.
3. Непредоставление доступа к документу, определяющему политику оператора в отношении обработки ПДн, и к сведениям о защите персональных данных.
4. Непредоставление субъекту ПДн информации, касающейся обработки его персональных данных
5. Невыполнение оператором при обработке ПДн обязанности по соблюдению сохранности персональных данных  при хранении материальных носителей ПДн.

Миф 2: персональные данные это только данные паспорта или платежные реквизиты

Закон отчасти сам вводит нас в заблуждение и содержит очень обтекаемое определение персональных данных. Скажем по практике правоприменения на сегодняшний день.

  Совершенно точно к ПДн относятся – ФИО, адрес электронной почты, телефон, адрес электронной почты, паспортные данные, платежные реквизиты, данные о здоровье и даже IP-адрес.

По сути это любые данные, с помощью которых можно определить конкретное лицо.

Миф 3: пока не подал уведомление в Роскомнадзор – я не оператор персональных данных

152 ФЗ указывает, что оператором персональных данных организация  становится в ЛЮБОМ случае, когда начинает  их обработку. Другими словами, получив данные клиента, вы уже обязаны соблюдать 152 ФЗ.

Интернет-магазин собирает данные, как правило, через

• форму заказа;
• форму подписки на рассылку;
• форму обратной связи.

• Например:
• 
• Само наличие таких форм на сайте уже означает, что вы стали оператором и начали обработку данных.

Закон действительно обязывает оператора подать уведомление в РКН, но есть и ряд исключений.

Самое распространенное из них – получение данных в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Человеческим языком: если данные получены от покупателя или потенциального покупателя в рамках договора с ним, то подавать уведомление не обязательно.

Миф 4: оператору достаточно разместить  сведения о политике конфиденциальности на сайте

На самом деле, закон 152 ФЗ не дает конкретного перечня документов, наличие которых на сайте является достаточным минимумом для законной обработки данных.

Но, с учетом практики, минимальным считается следующий пакет документов, размещенный на сайте:

1. Договор, определяющего права и обязанности покупателя и продавца;
2. Политика обработки персональных данных. В этом документе следует определить принципы и цели обработки, порядок обработки данных, сроки хранения, порядок удаления.
3. Специальная форма согласия пользователя на обработку его данных – если данные собираются до момента акцепта договора. Например, если договор акцептуется при регистрации или заказе товара, а данные на сайте ИМ собираются еще и через форму обратной связи или подписки на рассылку.

В соответствии с ч. 1 ст. 9 №152 ФЗ согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Важно подтвердить,что пользователь согласие давал, а значит, прямо указать, какое действие является согласием (ввод кода, галочка).

1. Для того, чтобы обезопасить себя, идеально подходит форма двухэтапного получения согласия.
2. 1 этап – пользователь заполняет форму регистрации на сайте, потом нажимает на кнопку «Согласен» или проставляет в чекбоксе автоматическую галочку и отправляет форму регистрации.
3. Вот пример правильного оформления 1 этапа – форма заказа на сайте «М.Видео»:
4. 

Возле чекбокса, который надо активировать, размещена фраза, свидетельствующая о прямом согласии пользователя с политикой конфиденциальности сайта. После нее есть кликабельная ссылка на политику конфиденциальности.

Также на сайте стоит отдельно разместить форму согласия пользователя на получение информационно-рекламных материалов в виде SMS и email-рассылок. Например форма согласия на рассылки на сайте Landcruiserland.toyota.ru выглядит так:

Обратите внимание: недостаточно только одного чекбокса «Согласие на получение рекламно-информационных рассылок». Вы ведь собираете данные посетителей, для того чтобы включить их в рассылку. А значит, надо в первую очередь получить согласие пользователя на обработку его ПДн.

Регистрационные формы или формы на получение рассылок, размещенные на сайтах без чекбокса или другого инструмента получения согласия пользователя нарушают ФЗ-152.

Вот пример формы заказа, которая может обернуться для вас штрафом. Данные вносятся, а получение согласия от пользователя – не предусмотрено. К сожалению, таких примеров на сайтах интернет-магазинов до сих пор много. А как эта форма выглядит у вас?

• 
• 2 этап – подтверждение регистрации на сайте через заход по ссылке, направленной на электронную почту пользователя.
• Обратите внимание: второй этап согласия пользователя важно получить именно через его электронную почту, так как ни законодательство, ни инструкции или рекомендации Роскомнадзора не признают  согласия на обработку ПДн, полученного при помощи SMS и по телефону.
• Если не предусмотрено двухэтапное согласие пользователя, то лучше внедрить на сайте механизм, который не дает возможности отправить заказ со всеми данными клиента без нажатия кнопки «Согласен на обработку ПДн».
• Текст согласия должен быть достаточно понятным и  содержать основные моменты:

• наименование оператора персональных данных;
• перечень ПДн, на обработку которых пользователь дает согласие;
•  цели обработки ПДн;
•  срок хранения ПДн;
•  положение о передаче ПДн пользователя транспортным компаниям/курьерским службам в целях доставки;
• положение об обязательстве оператора совершать или не совершать трансграничную передачу ПДн пользователя;
•  согласие пользователя получать рекламную информацию при помощи SMS или по электронной почте.

Стоит помнить, что с согласием на обработку данных тесно связано согласие на получение рассылок. Согласие пользователя является обязательным для рассылки рекламы, в соответствии с ч. 1 ст. 18 ФЗ «О рекламе» №38-ФЗ от 13.03.2006.

Судебная практика за 2017 год по незаконной рекламе, в частности, по sms-рассылкам без получения предварительного согласия, – довольно противоречива.

Например, по некоторым делам территориальные управления ФАС ограничиваются вынесением предупреждений недобросовестным операторам ПДн.Так, торговый дом «Связь» в городе Кемерово получил за рассылку рекламных sms без согласия пользователя только предупреждение.

Источник: https://oborot.ru/articles/personalnye-dannye-gde-internet-magazinu-podstelit-solomku-i83735.html

Защита персональных данных в медицинских учреждениях

Каждый пациент, который попадает на приём в клинику, подписывает согласие на обработку конфиденциальной информации. Это формальность или реальное требование защиты персональных данных в медицинских учреждениях?

Каждый пациент, который попадает на приём в частную клинику, подписывает не только договор об оказании услуг, согласие на медицинское вмешательство, но и согласие на обработку персональных данных в медицинском учреждении.

По факту без этого разрешения клиника не может получить сведения о состоянии здоровья, занести их в карту или информационную систему, хранить в регистратуре и базе данных и т.д.

Поэтому при регистрации нового клиента в программе учёта пациентов ему обязательно выдаётся на подпись такой стандартный документ.

Персональные данные

Что такое конфиденциальная информация? Это Ф.И.О., пол, адрес регистрации, номера паспорта, СНИЛС, страхового полиса, данные об обращении за медицинской помощью и состоянии здоровья. То есть все те сведения, которые нужны клинике для работы с пациентом.

Конфиденциальная информация по закону может передаваться третьим лицам только с согласия пациента. Есть некоторые исключения из правил (например, согласие не требуется, если пациент не в состоянии изъявить свою волю, если её запрашивают следователи, суд, или есть угроза массового распространения заболевания), но это всего несколько пунктов для особых ситуаций.

Это происходит в любой клинике: заполняются электронные истории болезни в МИС, врачи собирают анамнез здоровья и жизни, получают результаты лабораторных исследований, составляют реесты услуг для оплаты страховыми компаниями — всё это примеры обработки персональных данных в медицинской организации.

Зачем нужна защита персональных данных в медицинских учреждениях?

1. Это регламентировано законодательством.

В России действует ряд законов, указов и постановлений о персональных данных, о защите информации, об её обработке в информационных системах. Их требования должны соблюдаться любым медицинским центром. И получение согласия на работу с личной информацией — одно из таких требований.

Оно берётся с пациента один раз, когда заводится амбулаторная карта или больной поступает в стационар. Тем не менее, при большом потоке клиентов, важно быстро составить документ, распечатать и заполнить реквизиты.

С этим отлично справляются современные информационные системы. Например, в программных решениях «Первого БИТа» можно создать шаблон любого договора и соглашения, который будет заполняться автоматически при регистрации клиента в базе.

Далее документ распечатывается и даётся на подпись пациенту.

2. Персональные данные в медицинских учреждениях — клад для мошенников.

Как утверждают независимые эксперты, на чёрном рынке ценность медицинской информации в 10 раз выше финансовой.

Полученные незаконным методом сведения о здоровье могут использоваться в ущерб пациентов. Это и обманы пенсионеров, когда им пытаются продать препараты-пустышки за баснословные суммы.

Или желание выручить деньги с угрозами обнародования диагнозов у известных личностей и другие случаи.

Как защищаются персональные данные пациентов в медицинском учреждении?

Для защиты персональных данных в медицинском учреждении используются технические и организационные методы.

Во-первых, все клиники подпадают под жёсткие требования технической защиты информации и должны использовать довольно широкий набор мер безопасности. Они обязательно проходят проверки и аттестации ФСТЭК на соответствие системы защиты нормативным требованиям.

Во-вторых, работать с персональными данными должен узкий круг специалистов. Например, в отраслевых решениях «Первого БИТа» руководитель может установить доступ к личной информации пациентов определённым пользователям программы, остальным эти сведения будут недоступны.

Ограничение доступа касается не только персонала клиник, где работа автоматизирована. Ведь никто не застрахован от утечки данных с участием недобросовестных сотрудников.

В-третьих, кроме технического ограничения, порядок доступа нужно регламентировать и прописывать в должностной инструкции. Это позволит избежать утечки информации, в том числе из-за халатности персонала. Пример такой ситуации: в одной из больниц республики Коми пациенту выдали бланки, распечатанные на листах с паспортными данными, сведениями о полисах других пациентов.

Организационные методы безопасности также касаются условий хранения медицинских карт — место должно быть обособленным, и недоступным для посторонних.

Таким образом, защита персональных данных в клинике — это целый комплекс средств для безопасного использования и хранения личной информации клиентов. Давая согласие на их обработку, пациент доверяет учреждению не только своё здоровье, но и гражданское благополучие.

Источник: https://spb.bit-medic.ru/articles/zashita-personalnyh-dannyh/

Защита персональных данных на сайтах и в сети интернет | Суворов Групп

Комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений (личных, персональных), относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Защита личных, персональных данных

Защита персональны данных, моментов личной жизни, а так же различные истории граждан в России сводятся к 3 (трем) ключевых направления:

1. В рамках трудовых отношений
2. В рамках оказываемых услуг (связь, банки и т.д.)
3. В сети интернет

Что такое персональные данные

1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2. Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152 «О персональных данных», ст.8).

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории. 

Закон предусматривает, что иски о защите прав субъекта персональных данных, в том числе о возмещении убытков или компенсации морального вреда, могут предъявляться в суд по месту жительства истца. Закон устанавливает обязательность согласия субъекта персональных данных на их дальнейшую обработку.

Что является персональными данными

Главные ПД, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

1. фамилия, имя, отчество;
2. место жительства или регистрация;
3. дата и место рождения;
4. семейное, социальное или имущественное положение;
5. сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПД, которые разделяются по степени информативности

1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как:
   • информация о расовой и национальной принадлежности субъекта;
   • его религиозные или философские убеждения;
   • информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как:
   • Ф.И.О. субъекта;
   • адрес;
   • сведения о доходах и пр.
3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.

Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

Важно знать:

Что входит в персональные данные

Для физических лиц — граждан

Персональными данными физических лиц считаются:

1. фамилия, имя и отчество;
2. дата рождения;
3. идентификационный номер;
4. место рождения;
5. гражданство;
6. информация о регистрации по месту жительства или месту проживания;
7. свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
8. сведения о семейном положении (о супруге, детях и родителях);
9. информация об образовании;информация о роде занятий;
10. о пенсии;
11. о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
12. о налоговых обязательствах;
13. об исполнении воинской обязанности.

Для юридических лиц

1. Наименование юридического лица.
2. Организационно-правовая форма.
3. Юридический адрес.
4. Адрес местонахождения юридического лица.ОГРН (основной государственный регистрационный номер).ИНН (идентификационный номер).
5. КПП (код причины постановки на учет).
6. Расчетный счет.

Существует два исторических подхода

За рубежом сложились два основных подхода к определению персональных данных:

• В некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).
• В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.
• В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

Нас больше волнует самая живая проблема, это интернет. Об этом и пойдет речь.

Сегодня сеть Интернет содержит массу необходимых и ценных данных, с одной стороны, но с другой — настоящий склад личной информации, которая является конфиденциальной.

Граждане России, имевшие неосторожность указать свой мобильный телефон или адрес электронной почты в графе персональных данных при заполнении различных бланков, карточек и анкет в сети интернет, часто сталкиваются со спамом, засоряющим электронный ящик.

Конституция Российской Федерации содержит понятие правового режима информации о гражданине, в том числе персональных данных и ее защиты.

• Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
• Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
• Ограничение этого права допускается только на основании судебного решения, а также сбор, хранение, использование и распространение информации о частной жизни без его согласия не допускаются.

Что такое личная информация

Личная информация — это ваши имя и фамилия, паспортные данные (номер, серия, копия паспорта), пароли для доступа к различным сервисам и электронным кошелькам. Также личной информацией стоит считать:

• номер вашего телефона,
• номера телефонов ваших родственников,
• ваш домашний адрес,
• ваш возраст и дату рождения,
• ваше место работы — если вы работаете, и номер школы и класса — если вы учитесь,
• любые другие данные, с помощью которых можно разыскать вас или ваших родственников.

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

Защита данных на предприятии

Защита персональной информации может обеспечиваться несколькими источниками права:

• Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника.
• Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере.
• Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией возникает на протяжении всего рабочего процесса:

• между работодателем и сотрудником, между сотрудниками, а так же между третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идут уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ.

Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежат лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Предохранительные меры

Организационные:

1. Ограниченный доступ к хранилищам и архивам материалов.
2. Верификация запрашивающего лица перед предоставлением информации.
3. Ознакомительный формат предоставления сведений.
4. Санкции и штрафы за нарушения правил.

Технические:

1. Криптография и шифрование данных.
2. Создание отдельных серверов и каналов связи.
3. Уничтожение неактуальных материалов.
4. Экранировка помещений и устройств, для защиты от взлома.

Защиту персональной информации работник может реализовать через:

• Свободное бесплатное обращение к документам, где фигурируют его личные материалы. Работник может потребовать копию любого нормативного документа.
• Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
• Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Перечень документов

Акты:

• Акт уничтожения переносных носителей ПД.
• Акт классификации носителей ПД.
• Акт о итога проведения верификации исправности систем и средств защиты ПД.

Инструкции:

• Инструкция к действиям оператора базы ПД.
• Инструкция по обеспечению информационной безопасности.Инструкция пользователя при манипуляциях с ПД.

Письма и запросы:

• Запрос на изменение, удаление, модификацию содержимого ячейки базы ПД.
• Извещение о прекращении действия оператора баз ПД.
• Ответ на запрос получения или обработки информации.Приказы: Генеральный приказ о работе базы ПД.
• Приказ о назначении администрации и персонала базы ПД.
• Приказ об охране информации в ячейках базы данных.
• Приказ о проверке классификации ячеек БД.

Этапы защиты данных

В организации

Как реализовать на предприятии:

• Разработка проекта алгоритма обработки персональных сведений.
• Разработка системы согласия и отказа на обработку личных материалов.
• Разработка проекта уведомительных сообщений о включении личных материалов в общий поток.
• Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом.
• Издательство приказа о введении материалов работников предприятия в базу данных.
• Приказом определяется порядок и способ обработки и передачи информации, выполняется назначение ответственных, обозначаются санкции и штрафы за нарушение устава.
• Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

На сайте интернет-магазина

Пользовательское соглашение на сайте интернет-магазина, где указаны:

1. общие условия использования ресурсом;
2. факторы ответственности владельца организации;
3. Как происходит защита прав на сайте, чем она гарантирована.

Разрешение на рассылку пользователям разного рода уведомлений, порядок оспаривания конфликтных ситуаций.

Соглашение пользователя – это договор интеграции, который принимается субъектом без претензий, целиком. Соглашение пользователя заранее регулирует возможные конфликтные случаи, связанные с объемом услуг и порядком их предоставления.

Политика анонимности. Она определяет алгоритм обработки ПДН в связи с оформление договора на пользование сайтом, исходя из соглашения пользователя и договора купли-продажи.

В медицинских учреждениях

Правила и требования такие:

1. Подтверждение согласия на обработку персональных материалов оператором, а также обозначение цели данной обработки.
2. Способы и методы обработки личных материалов, применяющиеся оператором.
3. Сведения о лицах, которые получат доступ к личным сведениям.
4. Перечень обрабатываемых личных сведений и источник их получения.
5. Сроки обработки личных сведений, в т. ч. сроки их хранения.
6. Сведения о юридических последствия для субъекта, которые может повлечь за собой обработка его материалов.
7. Разъяснения последствий в случае его отказа в предоставлении своих персональных сведений тогда, когда это установлено в качестве обязанности гражданина федеральным законом.

Таковы правила для медицинских учреждений.

Вы сами выбираете, какую информацию о себе сообщить

В интернете никто не может заставить вас предъявить паспорт или назвать настоящую фамилию. Некоторым сайтам (например, интернет-магазинам) необходимо знать о вас правду, но стоит ли раскрывать свои данные — всегда решаете вы. Если вы сомневаетесь в том, что какому-либо сайту можно доверить вашу личную информацию, — лучше не доверяйте.

Источник: https://malina-group.com/zashhita-personalnykh-dannykh/

Как реализовать защиту персональных данных в организации и не только? Пошаговая инструкция

• В эпоху Интернета и цифровых технологий персональная информация человека находится под угрозой.
• Выкладывая личные данные на страницах многочисленных социальных сетей, в резюме сайтов по поиску работы, да и просто заполняя опросный лист интернет-магазинов, пользователь рискует тем, что выложенные сугубо личные данные могут быть использованы мошенниками в противозаконных действиях.
• Мы не задумываемся, где оставляем информацию о себе и своей жизни, а так же, кто из доверенных субъектов может передавать её третьим лицам.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (495) 212-90-15 . Это быстро и бесплатно !

Защита персональной информации может обеспечиваться несколькими источниками права:

• Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника.
• Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере.
• Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией возникает на протяжении всего рабочего процесса: между работодателем и сотрудником, между сотрудниками, а так же между третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идут уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ.

Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежат лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Предохранительные меры

Организационные:

• Ограниченный доступ к хранилищам и архивам материалов.
• Верификация запрашивающего лица перед предоставлением информации.
• Ознакомительный формат предоставления сведений.
• Санкции и штрафы за нарушения правил.

Технические:

• Криптография и шифрование данных.
• Создание отдельных серверов и каналов связи.
• Уничтожение неактуальных материалов.
• Экранировка помещений и устройств, для защиты от взлома.

Защиту персональной информации работник может реализовать через:

1. Свободное бесплатное обращение к документам, где фигурируют его личные материалы. Работник может потребовать копию любого нормативного документа.
2. Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
3. Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Перечень документов

Акты:

• Акт уничтожения переносных носителей ПД.
• Акт классификации носителей ПД.
• Акт о итога проведения верификации исправности систем и средств защиты ПД.

Инструкции:

• Инструкция к действиям оператора базы ПД.
• Инструкция по обеспечению информационной безопасности.
• Инструкция пользователя при манипуляциях с ПД.

Письма и запросы:

• Запрос на изменение, удаление, модификацию содержимого ячейки базы ПД.
• Извещение о прекращении действия оператора баз ПД.
• Ответ на запрос получения или обработки информации.

Приказы:

• Генеральный приказ о работе базы ПД.
• Приказ о назначении администрации и персонала базы ПД.
• Приказ об охране информации в ячейках базы данных.
• Приказ о проверке классификации ячеек БД.

Уведомления — это сообщения о факте обработки личной информации или таких намерениях.

Прочие:

• Журналы учёта и архив запросов.
• Положение об обработке личных материалов.
• Устав организации, регулирующий принципы и алгоритмы работы с личными сведениями.
• Соглашение пользователя.
• Документ о политике конфиденциальности.
• Перечень средств и методов защиты, применяемых, согласно алгоритму.

Далее подробно расскажем, как реализовать защиту личных сведений.

Здесь вы найдете пошаговую инструкцию по сохранности личной информации

В организации

Как реализовать на предприятии:

1. Разработка проекта алгоритма обработки персональных сведений.
2. Разработка системы согласия и отказа на обработку личных материалов.
3. Разработка проекта уведомительных сообщений о включении личных материалов в общий поток.
4. Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом.
5. Издательство приказа о введении материалов работников предприятия в базу данных.

Приказом определяется порядок и способ обработки и передачи информации, выполняется назначение ответственных, обозначаются санкции и штрафы за нарушение устава.

Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

На сайте интернет-магазина

1. Пользовательское соглашение на сайте интернет-магазина, где указаны:

• общие условия использования ресурсом;
• факторы ответственности владельца организации;
• как происходит защита прав на сайте, чем она гарантирована.

Разрешение на рассылку пользователям разного рода уведомлений, порядок оспаривания конфликтных ситуаций.

Соглашение пользователя – это договор интеграции, который принимается субъектом без претензий, целиком. Соглашение пользователя заранее регулирует возможные конфликтные случаи, связанные с объемом услуг и порядком их предоставления.

Публичная оферта на дистанционный оборот товаров, предоставление услуг. Здесь изложены условия и очередность оформления договора торговли через Интернет.

Политика анонимности. Она определяет алгоритм обработки ПДН в связи с оформление договора на пользование сайтом, исходя из соглашения пользователя и договора купли-продажи.

В медицинских учреждениях

Правила и требования такие:

1. Подтверждение согласия на обработку персональных материалов оператором, а также обозначение цели данной обработки.
2. Способы и методы обработки личных материалов, применяющиеся оператором.
3. Сведения о лицах, которые получат доступ к личным сведениям.
4. Перечень обрабатываемых личных сведений и источник их получения.
5. Сроки обработки личных сведений, в т. ч. сроки их хранения.
6. Сведения о юридических последствия для субъекта, которые может повлечь за собой обработка его материалов.
7. Разъяснения последствий в случае его отказа в предоставлении своих персональных сведений тогда, когда это установлено в качестве обязанности гражданина федеральным законом.

Таковы правила для медицинских учреждений.

В сети

Как защитить личные сведения в интернете?

Для сайта организации или предприятия порядок такой:

1. Обработка персональных сведений с использованием средств автоматизированной вычислительной техники подразумевает совершение операций с такими материалами при помощи приборов вычислительной техники в Интернете.
2. Безопасность вашей информации при их обработке в Интернет обеспечена системой защиты персональных материалов, включающей организационные мероприятия и методы защиты информации, а также используемые в Интернет информационные технологии.
3. Технические и цифровые средства защиты персональных материалов должны удовлетворять утверждённым в соответствии с законами РФ требованиям, гарантирующим охрану информации.

Методы защиты информации, применяемые в сети, в утверждённом порядке проходят процедуру оценочного соответствия.

Допуск субъектов к обработке персональных сведений с использованием автоматизации предоставляется на основании «Положения о персональных данных работников и обучающихся» (п. 6) при наличии ключей (паролей) доступа.

Действия с персональными сведениями, содержащимися в Интернет,регулируется в согласии с «Положением о корпоративной компьютерной сети», «Инструкцией пользователя при работе в корпоративной компьютерной сети», «Инструкцией пользователя при обработке персональной информации на объектах вычислительной техники», с которыми сотрудник, в должностные обязанности которого включена обработка персональных материалов, знакомится под роспись.

Операции с персональными материалами в сети должна быть построена так, чтобы обеспечивалась охрану носителей анонимных данных и методик охраны сведений, а также сделать невозможным факт несанкционированного нахождения в этих помещениях сторонних лиц.

Машины и электронные каталоги, содержащие файлы с конфиденциальными сведениями, для каждого пользователя должны быть зашифрованы уникальными ключами доступа, состоящими из шести и более знаков.

Заключение

Незнание закона не снимает ответственность, что очень важно в эпоху интернета и высоких технологий. Уследить за всеми законодательными аспектами и нюансами невозможно, однако систематизировать и структурировать процессы обработки, хранения и предоставления данных, во избежание проблем с законом – вполне реально.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (495) 212-90-15 (Москва) +7 (812) 332-54-12 (Санкт-Петербург)

Источник: http://admbirsk.ru/kak-realizovat-zashhitu-personalnyh-dannyh-v-organizatsii-i-ne-tolko-poshagovaya-instruktsiya/

Персональные данные и интернет-магазины. Новое законодательство

Блог Статьи Как интернет-магазину хранить персональные данные и избежать штрафов

25.09.2019

10 сентября Госдума подписала новый законопроект о повышении штрафов для eCommerce за нарушение правил хранения личных данных. О том, кому и чем это грозит и как хранить данные покупателей законно, рассказываем в статье.

Что относится к личным данным?

По закону 152-ФЗ к ним относятся:

• ФИО покупателя полностью;
• любые данные паспорта покупателя;
• точный адрес проживания;
• финансовое положение;
• информация об образовании;
• его профессия;
• биометрические персональные данные.

При этом закон не предусматривает проверки подлинности данных. Принимая и обрабатывая их, вы не можете узнать, действительно ли введенная информация относится к конкретному покупателю. Всегда есть вероятность того, что он их выдумал. Но и этот факт не освобождает интернет-магазин от ответственности.

Кто относится к операторам персональных данных?

К операторам персональных данных относятся компании, которые:

• собирают персональные данные субъектов;
• предоставляют им возможность заполнить анкету, пройти регистрацию и создать личный кабинет на своем сайте;
• разместили на сайте форму обратной связи и кнопку обратного звонка;
• предоставляют возможность разместить объявление на сайте.

Интернет-магазин нельзя представить без всего вышеописанного. В противном случае он просто не сможет приносить прибыль: каждый из пунктов имеет свое важное значение для привлечения покупателей и создания удобного, быстрого сервиса.

Однако, статус оператора личных данных для компании определяется средствами (софт и технические средства), которые она использует в своей работе. Интернет-магазин не может считаться оператором личных данных покупателей только в том случае, если не получает, не хранит и не занимается их обработкой.

Как интернет-магазину избежать проблем при хранении личных данных покупателей?

png»>

По закону «О персональных данных» интернет-магазин может обрабатывать личные данные покупателя без его согласия в том случае, если он подписал договор о получении товаров и услуг.

При этом важно учесть следующее: подписание договора для вашего покупателя должно строго предшествовать приему личных данных интернет-магазином.

Чтобы осуществить это, интернет-магазину необходимо разбить публичную оферту на три отдельных документа:

1. Пользовательское соглашение. В нем должны быть указаны:

• условия использования вашего сайта;
• способы защиты прав на ваш сайт;
• полная информация о рассылках рекламы и уведомлений;
• ответственность, которую несет владелец компании перед покупателем;
• порядок урегулирования споров.

1. Публичная оферта на онлайн-торговлю. Этот документ описывает порядок заключения договора купли-продажи между компанией и покупателем.

1. Политика конфиденциальности. Здесь, как правило, указывается порядок обработки ПД интернет-магазином. Документ включает:

• информацию, которую собирает, хранит и обрабатывает сайт (полный перечень);
• цели сбора личных данных покупателей;
• требования к защите личных данных;
• оповещение о том, что пользователь может менять свои персональные данные.

Чтобы пользователь не смог отправить свои личные данные без предварительного согласия на их обработку, расположите под всеми формами ввода данных на сайте (регистрации/обратной связи и т. д.

) текст, ссылающийся на политику конфиденциальности.

Поставив рядом с этим текстом галочку, пользователь получит возможность совершить целевое действие – например, пройти регистрацию или получить обратный звонок.

Пример: «Нажимая эту кнопку, я даю свое согласие на обработку персональных данных».

Укажите на сайте своего интернет-магазина электронную почту, чтобы покупатель мог в любой момент изменить свои данные, отправив на нее запрос.

После того, как вы подготовили свой сайт, добавили на него необходимые документы, назначили ответственных за защиту персональных данных и проверили все регламенты, необходимо зарегистрироваться на сайте Роскомнадзора как оператор персональных данных. Такая регистрация носит уведомительный характер.

Что еще важно знать о хранении личных данных

В соответствии с п. 4 ст. 12 152-ФЗ хранить личные данные покупателей отечественным интернет-магазинам можно только на территории Российской Федерации, даже если это облачное хранилище. Делать это можно двумя способами:

1. Самостоятельно (в собственных базах на электронных или бумажных носителях)

Этот вариант подходит для начинающих, небольших интернет-магазинов. В таком случае их обработка (ведение информационной системы) вручную не займет у предпринимателя много времени.

Такой способ подойдет развивающимся, средним и крупным компаниям. Партнер (хостинг или компания) сделает всю работу за вас.

Некоторые компании (хостинги), предоставляющих услуги по законному хранению личных данных: CorpSoft; ИТ-ГРАД; Интегрус.

Какие штрафы предусмотрены за нарушение закона о хранении персональных данных в России?

Наказание за сбор, хранение и обработку персональных данных россиян без регистрации компании в Роскомнадзоре предполагает приостановку ее деятельности сроком до 90 дней. Однако, чаще всего интернет-магазинам просто выписываются штрафы. Максимальный штраф достигнет 18 000 000 ₽.

Источник: https://pimpay.ru/stati/kak-internet-magazinu-xranit-personalnyie-dannyie-i-izbezhat-shtrafov.html

Как обеспечить защиту персональных данных в компании

Защита персональных данных (ПДн) – очень актуальная тема.

Особенно востребованной для российских подразделений иностранных компаний она стала в связи с добавление части 5 статьи 18 в 152-ФЗ «О персональных данных»: «…оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». В законе есть ряд исключений, но согласитесь, на случай проверки регулятором хочется располагать козырями понадежнее, чем «а нас это не касается».

Наказания для нарушителей весьма серьезные. Онлайн-магазины, социальные сети, информационные сайты, другие бизнесы, связанные с интернетом в случае претензий со стороны надзорных органов могут быть фактически закрыты.

Возможно, при первой проверке регулятором будет дано время на устранение недочетов, но срок обычно ограниченный. Если проблема не будет решена очень быстро (что без предварительной подготовки сделать затруднительно), убытки никак уже не компенсировать.

Появление в «черном списке» нарушителей закона о ПДн для офлайн-компаний проходит менее драматично. Но это влечет за собой репутационные риски, что для иностранных компаний является существенным фактором.

Кроме того, сейчас почти не осталось видов деятельности, которых вообще не касается защита персональных данных.

Банки, торговля, даже производство – все ведут клиентские базы, а значит, попадают под действие соответствующих законов.

Здесь важно понимать, что внутри компаний вопрос тоже нельзя рассматривать изолированно. Защиту ПДн не получится ограничить установкой сертифицированных средств защиты на серверах и запиранием бумажных карточек в сейфы.

У персональных данных много точек входа в компанию – отделы продаж, HR, службы обслуживания клиентов, иногда также учебные центры, закупочные комиссии и другие подразделения.

Управление защитой ПДн – комплексный процесс, который затрагивает IT, документооборот, регламенты, юридическое оформление.

Давайте рассмотрим, что потребуется для запуска и обслуживания такого процесса.

Какие данные считаются персональными

Строго говоря, любая информация, которая относится прямо или косвенно к определенному физическому лицу – это его персональные данные. Заметьте, речь идет о людях, не о юридических лицах.

Получается, достаточно указать ФИО и адрес проживания, чтобы инициировать защиту этих (а также связанных с ними) данных. Тем не менее, получение электронного письма с чьими-либо персональными данными в виде подписи и телефонного номера еще не повод их защищать.

Ключевой термин: «Понятие сбора персональных данных». Для прояснения контекста несколько статей Закона «О персональных данных» хочу выделить особо.

Статья 10. Специальные категории персональных данных. Например, кадровая служба может фиксировать ограничения для командировок, в том числе беременность сотрудниц. Разумеется, такие дополнительные сведения также подлежат защите. Это сильно расширяет понимание ПДн, а также список отделов и информационных хранилищ компании, в которых нужно уделять внимание защите.

Статья 12. Трансграничная передача персональных данных. Если информационная система с данными о гражданах РФ находится на территории страны, которая не ратифицировала Конвенцию о защите персональных данных (например, в Израиле), следует придерживаться положений российского законодательства.

Статья 22. Уведомление об обработке персональных данных. Обязательное условие для того, чтобы не привлекать излишнее внимание регулятора. Ведете предпринимательскую деятельность, связанную с ПДн – сообщите об этом сами, не дожидаясь проверок.

Конечно, желательно прочитать весь текст Закона, и как можно более внимательно.

Где могут находиться персональные данные

Технически ПДн могут находиться где угодно, начиная с печатных носителей (бумажные картотеки) до машинных носителей (жесткие диски, флэшки, компакт-диски и прочее). То есть в фокусе внимания любые хранилища данных, попадающие под определение ИСПДн (информационные системы персональных данных).

География расположения – отдельный большой вопрос. С одной стороны, персональные данные россиян (физических лиц, являющихся гражданами РФ) должны храниться на территории Российской Федерации.

С другой стороны, на текущий момент это скорее вектор развития ситуации, чем свершившийся факт. Многие международные и экспортные компании, различные холдинги, совместные предприятия исторически имеют распределенную инфраструктуру – и в одночасье это не изменится.

В отличие от методов хранения и защиты ПДн, которые должны быть скорректированы практически сейчас, сразу.

Минимальный список отделов, участвующих в записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении ПДн:

• Кадровая служба.
• IT.
• Отдел продаж.
• Юридический отдел.

Поскольку редко где царит идеальный порядок, в реальности к этому «ожидаемому» списку часто могут добавляться самые непредсказуемые подразделения. Например, на складе могут быть записаны персонифицированные сведения о поставщиках, или служба охраны может вести собственный подробный учет всех входящих на территорию.

Таким образом, кстати, состав ПДн для сотрудников может быть дополнен данными по клиентам, партнерам, подрядчикам, а также случайным и даже чужим посетителям – ПДн которых становятся «криминалом» при фотографировании на пропуск, сканировании удостоверения личности и в некоторых других случаях.

СКУД (системы контроля и управления доступом) запросто могут послужить источником проблем в контексте защиты ПДн. Поэтому ответ на вопрос «Где?» с точки зрения соблюдения Закона звучит так: повсеместно на подотчетной территории. Точнее можно ответить, только проведя соответствующий аудит.

Это первый этап проекта по защите персональных данных. Полный список его ключевых фаз:

• 1) Аудит текущей ситуации в компании.
• 2) Проектирование технического решения.
• 3) Подготовка процесса по защите персональных данных.
• 4) Проверка технического решения и процесса по защите ПДн на соответствие законодательству РФ и регламентам компании.
• 5) Внедрение технического решения.
• 6) Запуск процесса по защите персональных данных.

1. Аудит текущей ситуации в компании

Прежде всего, уточните в кадровой службе и в других подразделениях, использующих бумажные носители с персональными данными:

• Есть ли формы согласия на обработку персональных данных? Они заполнены и подписаны?
• Соблюдается ли «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 года № 687?

Далее, затребуйте в IT-отделе перечень всех информационных систем, содержащих персональные данные, а также все Excel-файлы с ПДн и доменные контроллеры Active Directory.

Определите географическое расположение ИСПДн:

• В каких странах они находятся?
• На каком основании?
• Есть ли договоры на их использование?
• Какая технологическая защита применяется для предотвращения утечки ПДн?
• Какие организационные меры принимаются для защиты ПДн?

В идеале, информационная система с ПДн россиян должна соответствовать всем требованиям закона 152-ФЗ «О персональных данных», даже если находится за границей.

Наконец, обратите внимание на внушительный список документов, который требуется в случае проверки (это еще не все, только основной перечень):

• Уведомление об обработке ПДн.
• Документ, определяющий ответственного за организацию обработки ПДн.
• Перечень сотрудников, допущенных к обработке ПДн.
• Документ, определяющий места хранения ПДн.
• Справка об обработке специальных и биометрических категорий ПДн.
• Справка об осуществлении трансграничной передачи ПДн.
• Типовые формы документов с ПДн.
• Типовая форма согласия на обработку ПДн.
• Порядок передачи ПДн третьим лицам.
• Порядок учета обращений субъектов ПДн.
• Перечень информационных систем персональных данных (ИСПДн).
• Документы, регламентирующие резервирование данных в ИСПДн.
• Перечень используемых средств защиты информации.
• Порядок уничтожения ПДн.
• Матрица доступа.
• Модель угроз.
• Журнал учета машинных носителей ПДн.
• Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных».

2. Проектирование технического решения

Описание организационных и технических мер, которые должны быть приняты для защиты ПДн, приводится в Главе 4. «Обязанности оператора» Закона 152-ФЗ «О персональных данных». Техническое решение должно базироваться на положениях статьи 2 Закона 242-ФЗ от 21 июля 2014 года.

Но как соблюсти закон и обрабатывать ПДн граждан РФ на территории России в случае, когда ИСПДн все же находится за границей? Тут есть несколько вариантов:

• Физический перенос информационной системы и БД на территорию РФ. Если технически реализуемо – это будет проще всего.
• Оставляем ИСПДн за границей, но в России создаем ее копию и налаживаем одностороннюю репликацию ПДн граждан РФ из российской копии в иностранную. При этом в зарубежной системе нужно исключить возможность модификации ПДн граждан РФ, все правки только через российскую ИСПДн.
• ИСПДн несколько и все они за границей. Перенос может быть дорогостоящим, либо вообще технически неосуществим (например, нельзя выделить часть базы с ПДн граждан РФ и вынести ее в Россию). В этом случае, решением может стать создание новой ИСПДн на любой доступной платформе на сервере в России, откуда будет осуществляться односторонняя репликация в каждую зарубежную ИСПДн. Отмечу, что выбор платформы остается за компанией.

Если ИСПДн полностью и монопольно не перенесена в Россию, не забудьте в справке о трансграничной передаче данных указать, кому и какой именно набор ПДн отсылается. В уведомлении об обработке нужно указать цель передачи персональных данных. Повторюсь, эта цель должна быть законной и четко обоснованной.

3. Подготовка процесса по защите персональных данных

Процесс защиты персональных данных должен определять как минимум следующие моменты:

• Список ответственных за обработку персональных данных в компании.
• Порядок предоставления доступа к ИСПДн. В идеале, это матрица доступа с уровнем доступа для каждой должности или конкретного сотрудника (чтение/чтение-запись/модификация). Либо перечень доступных ПДн для каждой должности. Здесь все зависит от реализации ИС и требований компании.
• Аудит доступа к персональным данным и анализ попыток доступа с нарушением уровней доступа.
• Анализ причин недоступности персональных данных.
• Порядок реагирования на запросы субъектов ПДн относительно своих ПДн.
• Пересмотр перечня персональных данных, которые передаются за пределы компании.
• Пересмотр получателей персональных данных, в том числе за границей.
• Периодический пересмотр модели угроз для ПДн, а также смена уровня защищенности персональных данных в связи с изменением модели угроз.
• Поддержка документов компании в актуальном состоянии (список выше, и его можно-нужно дополнять, при необходимости).

Здесь можно детализировать каждый пункт, но особое внимание хочу обратить на уровень защищенности. Он определяется на основе следующих документов (читать последовательно):

1. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСТЭК РФ 14 февраля 2008 года).

2. Постановление Правительства РФ № 1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Также, не забудьте учесть необходимость наличия таких категорий расходов, как:

• Организация проектной команды и управление проектом.
• Разработчики для каждой из платформ ИСПДн.
• Серверные мощности (собственные, или арендуемые в дата-центре).

К завершению второго и третьего этапов проекта вы должны иметь:

• Расчет затрат.
• Требования к качеству.
• Сроки и календарный план проекта.
• Технические и организационные риски проекта.

4. Проверка технического решения и процесса по защите ПДн на соответствие законодательству РФ и регламентам компании

Короткий по формулировке, но важный этап, в рамках которого нужно удостовериться в том, что все запланированные действия не противоречат законодательству РФ и правилам компании (например, политикам безопасности). Если этого не сделать, в фундамент проекта будет заложена бомба, которая может «рвануть» в дальнейшем, уничтожив пользу от достигнутых результатов.

5. Внедрение технического решения

Здесь все более-менее очевидно. Конкретика зависит от исходной ситуации и решений. Но в общем случае должна получиться примерно следующая картина:

• Выделены серверные мощности.
• Сетевые инженеры предоставили достаточную пропускную способность каналов между приемником и передатчиком ПДн.
• Разработчики наладили репликацию между базами данных ИСПДн.
• Администраторы предотвратили изменения в ИСПДн, находящихся за границей.

Ответственное лицо за защиту ПДн или «владелец процесса» могут быть одним и тем же лицом или разными. Сам факт, что «владелец процесса» должен подготовить всю документацию и организовать весь процесс защиты ПДн. Для этого должны быть уведомлены все заинтересованные лица, сотрудники проинструктированы, а IT-служба содействовать внедрению технических мер по защите данных.

6. Запуск процесса по защите персональных данных

Это важный этап, и в некотором смысле цель всего проекта – поставить контроль на поток. Помимо технических решений и нормативной документации здесь критично важна роль владельца процесса. Он должен отслеживать изменения не только в законодательстве, но также в IT-инфраструктуре. Значит, необходимы соответствующие навыки и компетенции.

Кроме того, что критично важно в условиях реальной работы, владельцу процесса по защите ПДн нужны все необходимые полномочия и административная поддержка руководства компании. Иначе он будет вечным «просителем», на которого никто не обращает внимания, и через некоторое время проект можно будет перезапускать, снова начиная с аудита.

Нюансы

Несколько моментов, которые легко упустить из виду:

• Если вы работаете с дата-центром, нужен договор об оказании услуг предоставления серверных мощностей, согласно которому ваша компания хранит данные на легальных основаниях и контролирует их.
• Нужны лицензии на программное обеспечение, которое используется для сбора, хранения и обработки ПДн, либо договоры об его аренде.
• В случае расположения ИСПДн за границей нужен договор с компанией, владеющей там системой – для гарантии соблюдения законодательства РФ применительно к персональным данным россиян.
• Если персональные данные передаются подрядчику вашей компании (например, партнеру по IT-аутсорсингу), то в случае утечки ПДн от аутсорсера вы будете нести ответственность по претензиям. В свою очередь, ваша компания может предъявить претензии аутсорсеру. Возможно, этот фактор может повлиять на сам факт передачи работ на аутсорс.

И еще раз самое главное – защиту персональных данных нельзя взять и обеспечить. Это процесс. Непрерывный итерационный процесс, который будет сильно зависеть от дальнейших изменений в законодательстве, а также от формата и строгости применения этих норм на практике.

Источник: https://www.e-xecutive.ru/management/itforbusiness/1984444-kak-obespechit-zaschitu-personalnyh-dannyh-v-kompanii