Защита персональных данных

С быстрым развитием информационных технологий и усовершенствованием технических средств для сбора, хранения и обработки данных, имеющих отношение к личной жизни человека и его публичной деятельности, закономерно встал вопрос о разработке специальных правил регулирования сбора и анализа личной информации для предотвращения нарушения одной из важнейших норм конституции Российской Федерации – неприкосновенности частной жизни.
Основной международный документ, регулирующий взаимоотношения государства и личности в сфере обеспечения уважения прав и свобод каждого человека и соблюдения его прав на неприкосновенность частной жизни и защиту персональных сведений при их анализе и хранении – это Конвенция «О защите физических лиц при автоматизированной обработке персональных данных» ETS-108 от 28.01.1981 года.

защита персональных данных
Подготовить большое количество документов по защите и обработке персональных данных — дело, с которым справится не каждая организация. Мы готовы помочь Вам в этом нелегком деле.

Несмотря на попытки законодательно зафиксировать правовые аспекты защиты собственных сведений (Декларация прав и свобод человека и гражданина от 22.11.1991 г. и Федеральный закон № 24-ФЗ «Об информации, информатизации и защите информации» от 20.02.1995 г.), эта международная конвенция была ратифицирована Российской Федерацией 19.12.2005 года Федеральным законом № 160-ФЗ.
Согласно его положениям, все организации, имеющие право осуществлять сбор и анализ персональных данных (ПД), обязаны организовать надежную систему их сохранности с целью предотвращения возможных злоупотреблений и недопущения доступа к ним третьих лиц.
Среди наиболее распространенных нарушений и злоупотреблений в деятельности операторов персональных данных можно выделить следующие:

  • обработка сведений без получения согласия субъекта;
  • требования оператора предоставить избыточные данные (при оформлении кредитной карты в банке, дисконтной карты в супермаркете и т.д.);
  • передача конфиденциальных материалов коллекторским фирмам с целью взыскания долгов;
  • обнародование информации о долгах граждан на различных рекламных носителях;
  • потенциальная угроза использования предоставленной документации для получения кредитов третьими лицами.

Согласно положениям Закона: все документы оператора должны быть приведены в соответствие с законодательством. В случае халатного отношения к обеспечению надежной сохранности индивидуальных материалов и возможной утечки сведений значительно ужесточена ответственность за возможные нарушения и существенно расширен список особ, на которые она распространяется. За невыполнение требований закона ответственные за это направление работы сотрудники будут расплачиваться не только своей репутацией либо должностью, но также могут понести гражданскую и административную ответственность.
Группа компаний безопасности «Бизнеспротекция» подготовила целый ряд эффективных методов, которые позволят Вашей организации, независимо от ее профиля и формы собственности, избежать возможных негативных последствий от утечки индивидуальной информации Ваших сотрудников. Наши специалисты, имеющие большой опыт работы в этой сфере, в максимально короткие сроки разработают необходимый пакет документов и приведут их в соответствие Федеральному закону РФ «О персональных данных» (152-ФЗ) на основании которого осуществляется обработка персональных данных и определяется ответственность субъектов, обеспечат всесторонний анализ информационных систем, предоставят оптимальный алгоритм действий в случае возникновения угрозы утечки сведений, содержащихся в предоставленных Вашими сотрудниками документах.
Подготовка пакета документов включает в себя несколько этапов.
На первом этапе происходит сбор первоначальной информации и назначение ответственных за это направление сотрудников:

  • создание комиссии по разработке комплекса мероприятий, обеспечивающих защиту персональных данных. Широкий круг вопросов, касающихся этой работы, требует включения в комиссию специалистов в области юриспруденции, системной администрации, бухгалтерии и т.д.;
  • подготовка Приказа о назначении специальной комиссии и утверждение соответствующего Положения;
  • проведение работ по созданию и согласованию точного Плана необходимых мероприятий;
  • определение списка сотрудников, имеющих право доступа к информации о служащих, утверждение Приказа;
  • оформление, предусмотренного соответствующими нормативными актами, Обязательства лиц, о неразглашении;
  • создание Перечня, подлежащих анализу, индивидуальных сведений;
  • заключение Соглашения с ответственными лицами о неразглашении, а также оформление их Согласия на обработку материалов, касающихся пакета документов сотрудников фирмы;
  • разработка конфигурации и топологии информационных систем (ИС), их функциональных и технологических характеристик;
  • предоставление Перечня и составление Техпаспорта ИСПДн;
  • утверждение распоряжения о назначении ответственных лиц;
  • составление и утверждение Инструкции администратора безопасности информационных систем организации;
  • определение ключевых пунктов Положения по обработке материалов;
  • выработка ключевых позиций политики организации по отношению к анализу индивидуальных сведений сотрудников;
  • утверждение Положения про механизмы обеспечения сохранности персональной документации.

На втором этапе – классификация ИС:

  • составление и утверждение точного Регламента классификации специализированных систем для хранения личных материалов;
  • создание модели потенциальных угроз безопасности персональной документации во время ее хранения;
  • проработка схемы составления Протокола определения возможного ущерба от утечки ПД;
  • подготовка актов классификации и составление Технического задания на работу ИСПДн.

На третьем этапе проводится подача Уведомления о начале обработки персональных данных:

  • подготовка и подача в Роскомнадзор Уведомления для регистрации в реестре операторов.

На четвертом этапе – составление организационно-распорядительной документации:

  • подготовка Приказа и утверждение Инструкции по использованию ответственными лицами специализированных систем;
  • утверждение четкого Регламента, определяющего основные моменты учета, сохранности и уничтожения основных носителей соответствующей информации;
  • установление порядка доступа сотрудников предприятия и третьих лиц к обработке ПД;
  • составление Правил реагирования на запросы конфиденциальных материалов о работниках фирмы;
  • установление порядка взаимоотношений предприятия с органами государственной власти, касающихся неприкосновенности ПД служащих;
  • составление Регламента, определяющего порядок резервного копирования документов, которые содержат материалы о личных данных;
  • установление порядка проведения необходимых контрольных мероприятий и реагирования на возможные инциденты, связанные с нарушением информационной безопасности;
  • составление Регламента по учету средств на обеспечение криптографической безопасности персональных сведений работников фирмы.