Защита персональных данных в организации: какие документы необходимо оформить

Прямая обязанность оператора — обеспечить защиту персональных данных (ПДн), которые он обрабатывает. Если это требование не соблюдать, возрастает риск утечек и штрафа до 500 млн рублей. Разберемся, что подразумевается под защитой ПДн, какие меры должен предпринять оператор и что будет, если этого не сделать.

Что подразумевается под защитой ПДн

Защита персональных данных — это комплекс обязательных мер, которые принимает оператор для предотвращения утечек, несанкционированного доступа и иных угроз безопасности информации о физических лицах. Как оператор — организация или ИП, обрабатывающая данные сотрудников, клиентов, пользователей — вы обязаны надежно хранить и защищать эту информацию по закону (ст. 18.1, 19 ФЗ от 27.07.2006 №152-ФЗ). Это касается любых данных — от копии паспорта нового работника в кадровой службе до номера телефона покупателя в интернет-магазине.

Ответственность за выполнение требований к защите данных лежит на операторе. На практике обязанности делегируются ответственным сотрудникам, но конечная ответственность остается за вами. Базовые меры включают контроль доступа к данным (например, пароли для HR-систем, запрет на их запись и передачу), обучение персонала и ограничение круга лиц, имеющих доступ.

Масштаб защиты зависит от уровня защищенности данных (УЗ), определяемого по Приказу ФСТЭК России от 18.02.2013 №21. Что влияет на УЗ:

1. Тип данных: стандартные ПДн, специальная категория, биометрические, общедоступные или иные.
2. Категории субъектов: сотрудники, клиенты, иные физические лица.
3. Объем обрабатываемых данных.
4. Тип актуальных угроз (связаны с уязвимостями ПО или нет).

Точный уровень вычисляется с помощью калькулятора на сайте ФСТЭК. На основе уровня и оценки рисков (возможного ущерба) вы решаете: принять риск, устранить источник угрозы или внедрить дополнительные технические меры защиты персональных данных.

Ключевой шаг — разработка и утверждение пакета внутренних документов. Именно они формализуют ваши действия и служат доказательством соблюдения закона при проверке защиты ПДн Роскомнадзором.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Документы по защите ПДн: перечень

Список документов зависит от уровня защиты. Стандартно в него входит следующее:

1. Положение о защите персональных данных.
2. Акт классификации информационных систем (ИС), приказ о вводе ИС в эксплуатацию, перечень используемых ИС.
3. Модель угроз безопасности ИСПДн, приказ о создании комиссии по защите ПДн, положение о защите данных, план действий и мер по обеспечению безопасности.
4. Положение о проведении внутреннего контроля ИСПДн, план и акты проведения контроля, схема рабочих мест и потоков передачи данных.
5. Акт оценки потенциального вреда субъектам, план проведения внутреннего контроля.
6. Документы о соблюдении условий защиты ПДн.
7. Инструкции: по антивирусному контролю, парольной защите, восстановлению и резервному копированию данных; по действиям на случай внештатных ситуаций; по хранению и учету носителей ПДн, порядку хранения и уничтожения носителей.

Это неполный перечень — точный список зависит от многих факторов, перечисленных выше.

Важно! Средства защиты информации в персональных данных — это в первую очередь организационные и технические меры. Вы не можете просто поставить антивирус и установить пароль: каждое действие при обработке ПДн в ИС должно регламентироваться документами.

Ответственность оператора

Штрафов за нарушение защиты персональных данных нет, если это не стало причиной утечки. А вот за действия или бездействие, которое повлекло несанкционированный доступ к ПДн, могут и оштрафовать по ст.13.11 КоАП РФ:

1. Неправомерный доступ к ПДн, обрабатываемым в ручном режиме — штраф до 100 000 рублей.
2. Утечка данных до 10 000 субъектов или до 100 000 идентификаторов — до 5 млн рублей.
3. Утечка ПДн от 100 000 до 1 млн субъектов или до 1 млн идентификаторов — до 10 млн рублей.
4. Неправомерный доступ к ПДн более 100 000 субъектов или от 1 млн идентификаторов — до 15 млн рублей.
5. Утечка биометрических ПДн — до 20 млн рублей.

Важно! ИП за утечку несут ответственность так же, как и юридические лица. Максимальный штраф — до 500 млн рублей или до 3% годового оборота, если нарушение допущено повторно. Главная цель защиты персональных данных — сократить такие риски и сохранить доверие клиентов и партнеров: с компаниями, которые не защищают ПДн надлежащим образом, многие предпочитают не сотрудничать.

Заключение

Оператор обязан обеспечить защиту данных физических лиц, чтобы избежать утечки и претензий со стороны Роскомнадзора. Кроме того, человек, чьи данные попали к посторонним лицам, может взыскать с оператора компенсацию морального вреда (ст. 24 ФЗ №152-ФЗ). В некоторых случаях суммы достигают сотен тысяч рублей.

Если у вас нет специалиста по защите персональных данных, доверьте это юристам. Они разработают необходимые документы и сделают все, чтобы требования ФЗ №152-ФЗ и других законов были соблюдены.