Создание системы ПДН
АвСиКом оказывает услугу по разработке всей необходимой внутренней документации, соответствующей требованиям закона №152-ФЗ.
В данную услугу входит 5 этапов работ:
- Собираем и структурируем первоначальные сведения. По решению руководства, проводится назначение ответственных лиц.
- Определяем уровень защищенности персональных данных на предприятии
- Подаем уведомление о начале обработки персональных данных
- Полностью разрабатываем организационно – распорядительную документацию
- Верифицируем договора с контрагентами: оцениваем правовую основу договоров на предмет законного использования персональных данных, выявляем и предотвращаем возможные риски.
Комплексный аудит Сз ПДн на предприятии
Компания АвСиКом проводит комплексный аудит процессов обработки персональных данных организации, а также информационных систем персональных данных.
В процессе проведения работ выявляется необходимость принятия дополнительных мер по обеспечению безопасности персональных данных, а также разрабатывается комплекс мероприятий по совершенствованию информационных систем, в которых обрабатываются персональные данные, и систем защиты персональных данных (СЗПДн).
Подробнее
В соответствии с Федеральным законом № 152-ФЗ «О персональных данных»:
Персональные данные подразумевают под своим значением: любую информацию, относящуюся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
- фамилия, имя, отчество;
- год, месяц, дата и место рождения;
- адрес места регистрации и проживания;
- семейное, социальное, имущественное положение;
- образование, профессия, доходы;
- паспортные данные;
- и т.п.
Под понятием «обработки персональных данных», подразумевается любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Также Закон вменяет необходимость по защите персональных данных каждой компании, индивидуальному предпринимателю или бюджетной организации, обрабатывающим персональные данные. Оператором персональных данных обязательно необходимо принять ряд мер для выполнения требований законодательства РФ, касающихся обработки и обеспечения безопасности персональных данных.
В ином случае оператор персональных данных и его сотрудники несут дисциплинарную, административную и уголовную ответственность, а запрет на обработку персональных данных Роскомнадзором приводит к полной остановке деятельности компании.
В Российской Федерации существует три основных регулятора в данной сфере:
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных и осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
- Федеральная служба по техническому и экспортному контролю (ФСТЭК России) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.
- Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.
Регуляторы проводят как плановые, так и внеплановые проверки, о которых операторы персональных данных предупреждаются за сутки.
Для выполнения закона необходимо иметь пакет организационно-распорядительной документации, назначить ответственных лиц за организацию обработки и обеспечение безопасности персональных данных, подать уведомление об обработке персональных данных в Роскомнадзор, определить уровень защищенности информационных систем для хранения персональных данных и принять организационные и технические меры для обеспечения безопасности персональных данных.
Существует 2 способа выполнить требования закона:
- Заказать комплексный аудит, привести бизнес-процессы в соответствие требованиям закона №152-ФЗ и поручить разработку комплекта документов экспертам.
- Принять в штат специалиста по информационной безопасности, с обязанностями контролировать выполнение закона самостоятельно. Необходимо учитывать, что профессионалов в этой области весьма мало, а обучение сотрудника – дело не дешевое и низкорентабельное.
При этом за качество никто не отвечает и найти такого сотрудника весьма сложно. Следовательно, качество работы штатного сотрудника в этой области будет низким.
Важно знать, что за несоблюдение законодательства в области обработки персональных данных предусмотрена следующая ответственность:
- приостановка деятельности на срок до 90 дней
- внесение компании в реестр нарушителей прав субъектов персональных данных
- блокировка сайта организации по жалобе физического лица
- запрет руководителю занимать руководящие должности на срок до 3х лет
- разрыв трудового договора с должностным лицом
- наложение на должностных лиц штрафа до 70.000 руб.
- наложение на организацию штрафов до 75.000 руб. в количестве, равном количеству нарушений (в результате общая сумма штрафов может превысить 1.000.000 руб.)
С начала 2015 года, по данным Роскомнадзора, с организаций и должностных лиц было взыскано штрафов на миллионы рублей.
С 01 сентября 2015 года Роскомнадзор имеет право без проверки на основании жалобы физического лица блокировать сайт организации за несоблюдение требований закона «О персональных данных».
Требования Роскомнадзора и Правительства к информационной безопасности на предприятии растут, что дает повод предположить возрастание спроса на услуги компаний по аудиту и защите информационной безопасности.
Остались вопросы? Готовы на сотрудничество с нами? Заполните форму, и мы с вами свяжемся.