Выполнение закона о защите персональных данных
На страже безопасности, или Локализация персональных данных
Наделавший немало шума закон о локализации персональных данных россиян вступил в силу с 1 сентября и действует уже два месяца (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Закон требует, чтобы при сборе персональных данных, в том числе посредством Интернета, оператор обеспечивал запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России (ст. 2 Закона № 242-ФЗ, ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Однако исполнить это требование оказалось не так просто, поскольку многие нюансы законодатель не уточнил, что вызвало немало вопросов у представителей бизнеса.
Тем не менее, к моменту вступления Закона № 242-ФЗ в силу, многие из этих вопросов нашли ответ – во многом этому поспособствовали размещенное на сайте Минкомсвязи России официальное разъяснение ведомства, а также активная позиция юристов. Дискуссия продолжается и по сей день – так, ряд наиболее значимых вопросов был затронут экспертами на конференции, организованной газетой The Moscow Times в конце сентября. Разберемся в наиболее важных выводах и рекомендациях, высказанных специалистами.
Прежде чем углубляться в вопросы реализации этого закона, председатель Временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова призывает понять, какие именно цели преследует этот закон. «Нужно понимать актуальность и необходимость этого документа, так как только в условиях нахождения персональных данных российских граждан на территории своей страны государство может гарантировать их надлежащую защиту», – заявляет она. Вместе с тем Людмила Бокова отмечает, что любой правовой акт должен отвечать принципу правовой определенности, поскольку только в этом случае правовая мера будет действительно эффективной и способной достичь той цели, которая преследуется в законе. Однако еще до вступления в силу Закона № 242-ФЗ стало ясно, что он данному требованию не отвечает, это и вызвало потребность в разъяснении целого ряда нюансов, связанных с применением этого акта.
Что такое база данных?
В тексте Закона № 242-ФЗ не уточнено, какие именно базы данных, содержащие персональные данные россиян, должны находиться на территории нашей страны. В связи с этим возник закономерный вопрос, может ли база данных быть представлена в любой форме, в том числе бумажной, или все-таки к ней предъявляются какие-то объективные требования?
Отвечая на него, Минкомсвязь России напоминает, что базой данных является совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (абз. 2 ч. 2 ст. 1260 ГК РФ). В связи с этим ведомство уточняет, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным только при условии наличия данных в электронной форме.
Кому необходимо выполнять требования закона?
Если руководствоваться положениями Закона 242-ФЗ, очевидно, что его требования адресованы оператору персональных данных, однако руководитель группы правовой защиты информации юридической компании «Пепеляев Групп» Дмитрий Зыков отмечает, что перечень таких лиц гораздо шире и, хотя прямо в тексте закона это не указано, по его смыслу требования о локализации обязаны соблюдать следующие субъекты.
Оператор персональных данных (например, работодатель) – то есть лицо, самостоятельно или совместно с другими организующее и/или осуществляющее обработку персональных данных, а также определяющее цели такой обработки, состав персональных данных и действия, с ними совершаемые (п. 2 ст. 3 закона о персональных данных). Отдельно стоит упомянуть об иностранных организациях, чьи представительства действуют на территории России. Как правило, персональные данные работников таких представительств направляются в головную компанию, находящуюся за рубежом. Но несмотря на то, что такая ситуация встречается достаточно часто, большинство руководителей не учитывают один существенный нюанс – операторами персональных данных иностранные компании в этом случае не являются.
Дмитрий Зыков, руководитель группы правовой защиты информации юридической компании «Пепеляев Групп»:
«Лицом, которое в силу закона обязано осуществлять обработку этих данных является исключительно работодатель, то есть то лицо, с которым соответствующий работник заключил трудовой договор. Вопрос: на каком основании персональные данные передаются в головную иностранную организацию? Точно не в рамках осуществления трудовых отношений между российским юридическим лицом и российским гражданином. Для каких целей эта передача осуществляется? Чаще всего такая передача осуществляется исключительно в интересах самого иностранного юридического лица – для статистических целей, аналитики, даже для принятия решений по кадровым перемещениям российских работников в рамках российского юридического лица. Но по закону прямого подчинения российского работника иностранному юридическому лицу нет. Более того, если мы говорим, что иностранное юридическое лицо действует в интересах российского юридического лица, то у нас опять же по закону требуется поручение российского юридического лица третьей стороне осуществить какие-либо действия с персональными данными. И появляется еще одна категория лиц, которые участвуют в обработке персональных данных – лицо, не являющееся оператором, но которое осуществляет соответствующую обработку (ч. 3 ст. 6 закона о персональных данных). И в этом случае так называемым заказчиком должно быть выдано исполнителю-обработчику соответствующее поручение».
Обладатель информации (например, компания, обладающая сведениями о коммерческой тайне контрагента) – то есть лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать к ней доступ (п. 5 ст. 2 Федерального закона от от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; далее – закон об информации).
Оператор операционной системы (например, пейролл-провайдеры, которые осуществляют обработку персональных данных работников в целях администрирования и расчетов с персоналом компании) – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных, то есть собственник технических средств, используемых для обработки содержащейся в базах данных информации или лицо, с которым он заключил договор об эксплуатации информационной системы (п. 12 ст. 2, ч. 2 ст. 13 закона об информации). Под это понятие подпадают не только операторы персональных данных, но и лица, которые помогают им заниматься теми или иными вопросами.
Получается, что требования по локализации персональных данных должно выполнять любое лицо, которое имеет на основании закона право так или иначе распоряжаться соответствующей информацией вне зависимости от того, считается ли он оператором персональных данных или нет.
Обязательно ли локализовать иностранные базы данных, если персональные данные уже локализованы в России?
Из текста Закона № 242-ФЗ не вполне ясно, распространяется ли требование о локализации на случаи внесения персональных данных россиян в зарубежные базы данных, если эти данные ранее уже были локализованы. Этот вопрос актуален, прежде всего, для тех операторов, которые задействуют в своей деятельности несколько баз данных, в том числе зарубежных. В том случае, когда персональные данные уже обработаны ими на территории России, локализация каждой из таких иностранных баз данных приведет к существенному и необоснованному увеличению затрат.
В связи с этим Минкомсвязь России уточняет, если в отношении определенного набора персональных данных ранее уже были выполнены требования закона, то повторная локализация таких данных не требуется, поскольку цели закона достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории России, то впоследствии они могут вноситься оператором в принадлежащую ему электронную базу данных, находящуюся за пределами нашей страны.
Допускается ли параллельная обработка персональных данных россиян с помощью российских и зарубежных баз данных одновременно?
Минкомсвязь России придерживается мнения, что обработка персональных данных россиян на территории другого государства возможна, но только если:
такая деятельность подпадает под предусмотренные законом случаи – например, для достижения целей, предусмотренных международным договором, для осуществления правосудия, для исполнения полномочий органов государственной власти, для осуществления профессиональной деятельности журналиста и др. (п. 2-4, п. 8 ч. 1 ст. 6, ч. 5 ст. 18 закона о персональных данных);
на территории России находятся базы данных, в которых содержится равный или больший находящегося за пределами нашей страны объем персональных данных. Таким образом, если персональные данные субъекта претерпели какие-либо изменения, то уточнения необходимо внести, прежде всего, в информацию, содержащуюся в российских базах данных, и уже потом, если это необходимо, актуализировать ее за рубежом.
Допустима ли трансграничная передача персональных данных?
Поскольку Закон № 242-ФЗ не затронул положений о трансграничной передаче данных, Минкомсвязь России делает вывод, что она возможна. Персональные данные граждан, первоначально внесенные в базу данных на территории нашей страны, могут, как отметило ведомство, далее передаваться в базы данных, расположенные за пределами России с соблюдением положений о трансграничной передаче данных. Такие «вторичные» базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. Более того, Минкомсвязь России отдельно подчеркнула, что предоставление удаленного доступа к российским базам данных с территории другого государства не запрещается.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, обеспечивающим адекватную защиту прав субъектов персональных данных (ст. 3, ст. 12 закона о персональных данных).
Как определить, что персональные данные принадлежат россиянам?
Далеко не все операторы используют конкретизирующую информацию, которая могла бы подтвердить гражданство субъекта (паспортные или иные данные). Поэтому существует риск того, что ограничить круг лиц, чьи персональные данные должны быть локализованы, гражданами России не удастся.
Разрешая этот вопрос, Минкомсвязь России отметила, что поскольку вопрос о порядке определения гражданства субъектов персональных данных в нормативном порядке не урегулирован, операторы могут решать данный вопрос самостоятельно, а если этот вопрос оператором не решен, то применение требований Закона № 242-ФЗ возможно ко всем персональным данным, сбор которых был осуществлен на территории России.
На данный момент все наиболее существенные вопросы, связанные с локализацией персональных данных россиян, действительно нашли свои ответы. «Большая часть того, что было необходимо бизнесу для комфортного ведения своей деятельности, было учтено. Так или иначе я отношу эту работу к маленькой, но победе. Понимание и ясность в исполнении закона сдвинулось в нашу пользу со стороны запретительной и непонятной в сторону, очевидную к исполнению», – отмечает Интернет-омбудсмен Дмитрий Мариничев.
Однако юристы советуют не воспринимать позицию Минкомсвязи России как панацею. «Насколько комментарии ведомства можно считать официальными и подлежащими применению, остается вопросом, потому что так или иначе эти разъяснения не имеют законной силы – силы, равной закону. И со временем толкование закона может меняться. Надеемся, что в ближайшие полгода практика применения закона сложится, и уже можно будет понимать, насколько успешно закон будет функционировать», – рассуждает Дмитрий Зыков.
Надежда, что в будущем разъяснения примут характер закона, есть – работа над толкованием Закона № 242-ФЗ продолжается, и наиболее актуальные проблемы его применения становятся предметом обсуждения Временной комиссии Совета Федерации по развитию информационного общества. «На площадке комиссии мы стараемся найти ответы на все вопросы, чтобы оператору было понятнее, что делать, – делится Людмила Бокова. – И вполне возможно, что в дальнейшем сформулированные выводы найдут свое отражение в нормативном регулировании».
БЕСПЛАТНЫЙ СЕМИНАР
СПЕЦПРЕДЛОЖЕНИЕ
КОНСУЛЬТАЦИЯ
ТЕМАТИЧЕСКИЕ СТАТЬИ
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Защита персональных данных – это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.
Основные положения Закона «О персональных данных»
Комплекс мероприятий по обеспечению защиты персональных данных
Организационные меры по защите персональных данных включают в себя:
Технические меры по защите персональных данных предполагают внедрение и использование программно — аппаратных средств защиты информации. При осуществлении обработки ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из уровня защищенности системы персональных данных.
Требования к информационным системам персональных данных
Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.
Помимо этого, детализированные требования по защите персональных данных установлены, в частности:
Также, согласно требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, базы данных информационных систем, в которых осуществляется запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должны быть расположены на территории РФ.
Контроль за выполнением законодательства возложен на следующие органы:
Уполномоченный орган по защите прав субъектов персональных данных проводит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации.
Типичные позиции операторов персональных данных
Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.
Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.
“Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.
В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, а значит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.
Классическая ситуация: реализовать своими силами, или приглашать консультантов?
Для того, чтобы ответить на этот вопрос, необходимо определиться со следующими вещами:
Если вышеперечисленные задачи не могут быть реализованы собственными силами, следует привлекать внешних консультантов.
Компания “Pointlane” оказывает полный цикл услуг по консультационным вопросам в области соответствия требованиям законодательства о персональных данных:
А также:
Владельцам сайтов: изменения в законе
о персональных данных
Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.
1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.
Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.
Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.
Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.
- Телефон
- Имя, фамилия, отчество (и по отдельности)
- Адрес
- Дата рождения
- Фотография
- Ссылка на персональный сайт и профиль в соцсетях
Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.
Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим. Подробнее о локализации данных рассказывается в статье.
Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.
Какая информация должна быть в соглашении об обработке персональных данных
Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:
наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных , на обработку которых дается согласие субъекта персональных данных;
наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
перечень действий с персональными данными , на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).
Что нужно знать о 152-ФЗ
С 1 июля 2017 года штрафы за нарушение ФЗ-152 «О персональных данных» значительно вырастут, поэтому тем, кто работает с российской аудиторией, важно убедиться, что на сайте нет нарушений.
Везде, где посетитель сайта оставляет свои персональные данные, он должен дать согласие на обработку этих данных. Форма обратной связи, заполнение контактов в корзине, онлайн-чаты — всё попадает под действие закона о персональных данных.
Данный материал призван ответить руководителям отделов, руководителям частных компаний и бюджетных предприятий на следующие вопросы:
Что регулирует закон «О персональных данных»?
Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и тд.) персональных данных физических лиц юридическими лицами, индивидуальными предпринимателями и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать персональные данные физических лиц.
Под персональными данными понимается любая информация, относящаяся физическому лицу. На практике даже связка «ФИО» или «имя» с «адресом электронной почты» уже относится к персональным данным.
В организациях обрабатываются, как минимум, персональные данные следующих физических лиц: сотрудников; близких родственников сотрудников; кандидатов на вакантную должность; клиентов, являющихся физическими лицами.
Какие бывают персональные данные?
Персональные данные бывают разных категорий:
К обработке специальных и биометрических персональных данных предусмотрены особые требования.
Кто попадает под действие закона?
Под действие закона попадают все предприниматели, юридические лица и бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных. В первую очередь закон касается компаний, работающих в следующих сферах:
Компании из вышеуказанных сфер деятельности наиболее часто работают с персональными данными, поэтому главный регулятор в этой сфере, Роскомнадзор, внимательно следит за ними.
Примеры обработки персональных данных
В первую очередь отслеживается следующие виды обработки персональных данных:
- Персональные данные используются для выдачи карт лояльности
- Персональные данные используются для рекламных и новостных рассылок
- Персональные данные используются для трудоустройства сотрудника и оформления ему ДМС
- Персональные данные используются для оказания услуг
- Персональные данные используются для определения кредитоспособности клиента
- Персональные данные используются для регистрации на сайтах и информационных системах
- Персональные данные данные используются для звонков потенциальным клиентам
Какие основные требования закона?
Для простоты требования закона «О персональных данных» к операторам персональных данных можно разделить на 4 группы:
Далее будет разобрана каждая группа требований.
Требования закона по подготовке внутренних организационно-распорядительных документов
Закон в ст.18.1 требует от операторов персональных данных наличие локальных актов и политик, регламентирующих обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.
При этом главный регулирующий орган в области персональных данных, Роскомнадзор, во время проверок компаний запрашивает перечень необходимых документов и сведений, которые, на практике, ему передают в виде копий внутренних документов.
В связи с тем, что точного перечня документов не существует, каждый оператор составляет их по своему усмотрению на основании текста закона и подзаконных актов.
Как выглядит полный перечень необходимых документов, которых достаточно для соответствия требованиям, смотрите здесь.
Требования закона по приведению процессов работы с персональными данными в соответствие
Персональные данные данные клиентов необходимо правильно собирать, обрабатывать и передавать.
Со всеми физическими лицами, у которых вы собираете персональные данные, должен быть заключен договор или взято согласие на обработку персональных данных.
С каждым третьим лицом, которому вы передаете, предоставляете в доступ или от которого получаете персональные данные, необходимо заключить соглашение о поручении персональных данных на обработку.
Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.
В Роскомнадзор должно быть подано уведомление об обработке персональных данных.
Требования закона по технической защите персональных данных в информационных системах
Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в 1С: Бухгалтерии, в базе данных сайта, CRM и других), то их необходимо защищать техническими средствами.
Для этого необходимо определить уровень защищенности персональных данных в информационных системах, составив соответствующий акт, разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.
После этого происходит разработка проекта системы защиты и непосредственно внедрение средств защиты. Внедрением средств защиты может заняться сама компания или компания, имеющая определенную лицензию ФСТЭК России.
Требования закона по хранению баз персональных данных на территории Российской Федерации
С 01 сентября 2015 года действует обязательное требование закона по необходимости собирать и хранить персональные данные граждан Российской Федерации только на территории России.
Особенно это требование касается иностранных компаний и российских компаний, чьи информационные системы полностью или частично располагаются за пределами Российской Федерации.
Также о месторасположении баз персональных данных необходимо уведомить Роскомнадзор.
При этом Роскомнадзор дал операторам персональных данных срок до конца февраля 2016 года, чтобы выполнить новые требования закона.
Кем проверяется выполнение требований закона?
Выполнение требований закона «О персональных данных» контролируют 3 государственных органа:
- главный контролирующий орган, Роскомнадзор, который проверяет правильность обработки персональных данных и документы по персональным данным
- ФСТЭК России, проверяющий выполнение требований по технической защите
- ФСБ России, проверяющий выполнение требований по применению криптографии при обработке персональных данных
- наложение на организацию штрафа до 300.000 рублей
- наложение на должностных лиц штрафа до 10.000 рублей
- разрыв трудового договора с должностным лицом
- запрет руководителю занимать руководящие должности на срок до 3х лет
- блокировка сайта организации по жалобе физического лица
- внесение компании в реестр нарушителей прав субъектов персональных данных
- собственными силами;
- привлечь юриста;
- обратиться к системному интегратору;
- «ждать, пока грянет гром»;
- использовать сервисы автоматизированной подготовки документов по персональным данным.
Наиболее активным из них является Роскомнадзор, который проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ не более сотни проверок гос. сектора.
Какие основные риски при невыполнении закона?
По итогам проверок, мер систематического наблюдения и жалоб физических лиц, Роскомнадзор и другие проверяющие органы, могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.
С начала 2015 года, по данным Роскомнадзора, было взыскано штрафов в общей сложности на 174.000.000 рублей с организаций и должностных лиц.
С 01 сентября 2015 года Роскомнадзор имеет право без проверки на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».
Как лучше всего выполнить требования закона?
Есть 5 способов выполнить требования закона:
Далее мы рассмотрим каждый из них по отдельности.
Как лучше всего выполнить требования закона? Собственными силами
Один из самых доступных и дешевых способов выполнения закона — делегировать обязанности на определенного сотрудника. Но данный способ только на первый взгляд кажется таким привлекательным.
Чтобы выполнить требования закона, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно- распорядительной документации.
На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практики уйдет достаточно много времени, превышающее 1 и даже 2 месяца. И это время сотрудник должен заимствовать из времени, затрачиваемого на исполнение должностных обязанностей. К тому же сотрудник никогда не даст гарантии на результат и может не захотеть быть ответственным за выполнение закона.
Как лучше всего выполнить требования закона? Привлечь юриста
Привлечение юриста в вопросах касающихся законодательства, это то, что приходит в голову многим руководителям. Это достаточно хороший способ выполнить закон, если вы много лет работаете с юристом или юридической компанией и у них имеются необходимые знания в информационной безопасности.
Закон «О персональных данных» относится к законодательству по информационной безопасности и его преподают соответствующим специалистам в ВУЗах.
Для подготовки документов по персональным данным помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.
При выборе такого варианта, уточняйте у юриста, какие именно документы он будет разрабатывать, будет ли он в них отображать технические моменты и имеет ли он опыт взаимодействия с Роскомнадзором.
Как лучше всего выполнить требования закона? Обратиться к системному интегратору
К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.
Из плюсов данного способа можно выделить высокий уровень оказываемых услуг квалифицированными специалистами по информационной безопасности, гарантии на качество услуг и работу под ключ (разработка документации по персональным данным и внедрение технической защиты).
К минусам данного способа можно отнести высокую стоимость (в большинстве случаем переваливающую за 1.000.000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес- процессов.
Как лучше всего выполнить требования закона? «Ждать, когда грянет гром»
Это способ выбирается некоторыми российскими организациями, которые не хотят решать вопрос с персональными данными.
Из плюсов данного способа можно отметить отсутствие затрат, как финансовых, так и временных, но только в краткосрочной перспективе.
Из минусов — то, что рано или поздно закон придется выполнить, и Роскомнадзор даже в случае наложения штрафов потребует выполнить требования закона.
И лучше это сделать, пока требования по закону не ужесточились окончательно. Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30.000 рублей и максимальных 300.000 рублей за одно нарушение.
Как лучше всего выполнить требования закона? Использовать сервисы автоматизированной подготовки документов по персональным данным
Один из самых распространенных способов выполнения закона «О персональных данных».
К плюсам данного способа относится его простота и доступность людям, не являющимися специалистами по информационной безопасности, невысокая стоимость, срок подготовки документов и консультации экспертов по безопасности. Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.
К явным минусам можно отнести то, что он не подойдет крупным государственным компаниям, и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в гос. секторе ФСТЭК России и ФСБ России.
Почему стоит решить вопрос с выполнением требований закона «О персональных данных»
Выполнять требования закона «О персональных данных» это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.
Многие контрагенты стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.
Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.
Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.