Современный бизнес построен на работе с данными, в том числе и персональными данными физических лиц. Однако не все одобряют сбор и обработку их информации, поэтому Российская федерация защищает права своих граждан с помощью федерального закона «О персональных данных» (152-ФЗ), Постановлений правительства РФ и Приказов ФСБ и ФСТЭК.
- Федеральный закон от 27.07.2006 г. N 152-ФЗ;
- Федеральный закон от 27.07.2006 г. N 149-ФЗ;
- Федеральный закон от 21.07.2014 г. N 242-ФЗ;
- Постановление Правительства РФ от 01.11.2012 г. N 1119;
- Постановление Правительства РФ от 21.03.2012 г. N 211 (для государственных и муниципальных органов);
- Постановление Правительства РФ от 15.09.2008 г. N 687;
- Приказ ФСТЭК России от 18.02.2013 г. N 21;
- Приказ ФСТЭК России от 11.02.2013 г. N 17 (в случае обработки ПДн в ГИС);
- Методика оценки угроз безопасности информации от 05.02.2021;
- Приказ ФСБ России от 10.07.2014 г. N 378;
- Приказ ФСБ России от 09.02.2005 г. N 66;
- Типовые требования ФСБ России от 21.02.2008 г. N 149/6/6-622;
- Приказ Роскомнадзора от 05.09.2013 г. N 996.
Закон вводит определение «оператора персональных данных», под которое подходит практически любая компания Оператор должен выполнять все требования 152-ФЗ:
- Направить уведомление в Роскомнадзор о начале обработки персональных данных;
- Обеспечить конфиденциальность персональных данных;
- Принимать меры для обеспечения безопасности персональных данных;
- Соблюдать требования по локализации персональных данных россиян;
- Своевременно прекратить обработку персональных данных по требованию владельца.
Меры по обеспечению безопасности предусматривают 4 уровня защищенности ИСПДн в зависимости от разных категорий персональных данных и их количества (объема):
- Специальных;
- Биометрических;
- Общедоступных;
- Иных.
Для каждого уровня защищенности вводятся требования по обеспечению защиты.
Общая последовательность действий при выполнении требований законодательства по обработке персональных данных, которые мы поможем вам пройти легко и без проблем:
- Направление сведений об Опреаторе и порядке обработки персональных данных в Роскомнадзор (Заполнение уведомления на портале Роскомнадзора);
- Обследование(экспертная оценка процессов обработки персональных данных и техническое обследование информационных систем персональных данных);
- Построение модели угроз безопасности персональных данных;
- Разработка технического задания на создание и внедрение системы защиты персональных данных;
- Проектирование системы защиты персональных данных;
- Разработка необходимой внутренней документации Заказчика по вопросам обработки персональных данных (приказы, положения, политики, регламенты, согласия и пр.);
- Реализация и внедрение необходимых мер и средств защиты персональных данных;
- Оценка эффективности принятых мер защиты персональных данных;
- Аттестация по требованиям безопасности информации (при необходимости, обязательно для государственных информационных систем, внесенных в реестр государственных информационных систем).
Ответственность оператора ИСПДн:
Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, причинившее крупный ущерб.
До 75 000 рублей административный штраф
Нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации
До 300 000 рублей штраф
Незаконное собирание или распространение сведений о частной жизни лица без его согласия
До 4 лет принудительных работ или лишения свободы
Незаконное собирание или распространение сведений о частной жизни лица без его согласия