Ирина Андрианова – Персональные данные в организации (страница 3)
2. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ
2.1. Алгоритм построения системы защиты персональных данных в организации
Согласно ст. 19 ФЗ-152 оператор (организация, учреждение) должен защищать обрабатываемые им персональные данные. Важно исключить несанкционированный доступ к сведениям, их утрату или утечку. Для этого в организации необходимо правильно выстроить систему безопасности ПДн, которая зависит от многих факторов: вида деятельности компании, способа обработки данных (автоматизированной, без средств автоматизации или смешенный), категорий обрабатываемых сведений и др. Так, при обработке ПДн в информационных системах ПДн организации необходимо установить уровни защищенности ПДн в зависимости от уровней актуальных угроз с учетом категорий ПДн, выработать организационные и технические меры по их защите и провести ряд мероприятий:
1) Приказом руководителя организации назначается ответственный за обработку и защиту ПДн (его работа осуществляется на основании должностной инструкции). Также создается постоянно действующая комиссия по защите персональных данных из наиболее опытных работников в количестве 3—5 человек (порядок работы, функции и полномочия комиссии прописываются в локальном нормативном акте (положении), который утверждается приказом, также как и ее состав с указанием должностей и ФИО соответствующих работников).
2) Комиссия разрабатывает перечень лиц, допущенных к работе с ПДн, который также утверждается приказом руководителя (в приказе указываются должности и ФИО сотрудников, которые имеют доступ ПДн и обрабатывают их для выполнения своих должностных обязанностей). Эти сотрудники обязаны пройти обучение, инструктаж по работе с ПДн (проводит ответственный по ПДн).
3) Согласно ПП №1119 ответственный по ПДн проводит инвентаризацию информационных систем ПДн в организации (ИСПДн), т. е. определяет перечень оборудования и программного обеспечения (ПО) – в приказе перечисляются назначение каждой ИСПДн и основные цели обработки ПДн (например, для бухгалтерских программ целью будет автоматизация процессов бухгалтерского учета, расчета заработной платы и тп.). Также прописываются категории обрабатываемых персональных данных. В этом же приказе можно установить границы контролируемой зоны ИСПДн, где ответственные лица осуществляют контроль за ПДн и обеспечивают их защиту.
4) Комиссия формирует перечень сведений, в котором перечисляется, какие именно персональные данные обрабатываются для каждой категории субъектов ПДн – работников, клиентов, контрагентов и тд.
5) Комиссия составляет и направляет уведомление в Роскомнадзор об обработке ПДн. Есть возможность отправить документ в электронном виде через сайт ведомства. Образец заполнения и утвержденные формы также можно найти на портале персональных данных Роскомнадзора.
6) Комиссия разрабатывает типовые формы согласий на обработку, распространение ПДн (отдельно для сотрудников, клиентов, пользователей, контрагентов и тд.). Формы согласий разрабатываются на основании ст.9, ст. 10.1, ст. 11 ФЗ-152 приказа Роскомнадзора от 24.02.2021 №18. Если компания (например, интернет-магазин) планирует использовать сайт для получения согласия на обработку ПДн от пользователей сайта, то необходимо разработать отдельную форму согласия для этой группы субъектов ПДн. В согласиях обязательно указываются сведения об операторе ПДн (организации), цель обработки ПДн, виды данных, а также наименования юр. лиц, ФИО физ. лиц, которым сведения будут передаваться.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «Литрес».
Прочитайте эту книгу целиком, купив полную легальную версию на Литрес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.