C 1 июля 2011 года все предприятия, работающие с персональными данными физических лиц, должны были выполнить ряд мероприятий, направленных на обеспечение их безопасности. Речь идёт обо всех организациях, которые ведут кадровый учет сотрудников, предоставляют в налоговые органы информацию о доходах или ведут учёт клиентов. К персональным данным можно отнести любую информацию, которой достаточно, чтобы однозначно определить физическое лицо и получить о нём какую-либо дополнительную информацию.
В июле 2011 года вступило в силу требование федерального закона 152-ФЗ «О персональных данных» о приведении систем обработки персональных данных в соответствие с федеральным законом и рядом подзаконных актов, приказов и методик. Таким образом, любая организация, работающая с данными физических лиц, должна защитить информационные системы и получить документы, подтверждающие соответствие этих систем требованиям закона.
«Для компании невыполнение требований федерального закона может повлечь за собой административную, гражданско-правовую, дисциплинарную и даже уголовную ответственность, — отмечает генеральный директор ТК «Миран» Игорь Ситников. — Так, например, в ходе проверок и выявления нарушений может наступить административная ответственность предприятий и их руководителей по статьям 13.11, 13.12, 13.13 КОАП. На первый взгляд, санкция за подобные нарушения невелика. Однако следует иметь в виду, что в случае обнаружения нарушений, комиссия в ходе проверки может вынести предписание об устранении нарушений в течение трёх дней. Выполнить «с нуля» весь комплекс работ по защите за такой короткий период просто невозможно. Таким образом, к указанным санкциям могут добавиться ещё санкции по статьям 19.4, 19.5, 19.6 (невыполнение предписания)».
Инспекторы могут наложить штраф, принять решение о конфискации несертифицированых средств защиты или вынести требование о прекращении обработки персональных данных, что может принести значительные издержки предприятию. Кроме того, компания, осуществляющая обработку персональных данных с нарушением закона, несёт риски, связанные с возможными гражданскими исками от субъектов персональных данных, особенно в случаях утечки таких данных.
Компаниям, осуществляющим обработку персональных данных для того, чтобы избежать нарушений, необходимо провести ряд мероприятий, которые включают в себя следующие работы:
• направление уведомления об обработке персональных данных в контролирующий орган, Роскомнадзор;
• разработку формы и получение согласия каждого субъекта на обработку его персональных данных (согласие должно содержать собственноручную подпись субъекта (либо его цифровую подпись));
• документальное описание информационных систем обработки персональных данных (назначение, состав данных, правовые основания для их обработки), а также обозначение круга лиц, работающих с персональными данными и имеющими к ним доступ;
• разработку ряда нормативных документов, описывающих модели угроз и средства защиты от них персональных данных;
• обеспечение защиты персональных данных техническими (программными, аппаратными) и организационными методами;
• прохождение необходимых проверок для подтверждения соответствия систем защиты персональных данных требованиям законодательства.
«Для успешного проведения данных работ необходимо, во-первых, назначить сотрудника, ответственного за защиту персональных данных; во-вторых, для всех ресурсов и подсистем, содержащих персональные данные, определить их статус; и, наконец, определить способы и сроки обработки данных, а также сроки хранения», — заключает Игорь Ситников.