Персональные данные

Доступно и просто о персональных данных и защите информации

Многие руководители предприятий, сотрудники отделов кадров, бухгалтерии, а также сотрудники отделов информационной безопасности услышав о новом законе «О персональных данных» задумались, «Что же это такое и что с ними делать?». Информация, которая имеется в Интернете о персональных данных довольно специфична. Не все люди понимают, что нового несет этот закон, какие у него требования и какая ответственность за невыполнение этого закона.

Федеральный закон № 152-ФЗ «О персональных данных» был опубликован 27 июля 2006 г. создан для выполнения международного законодательства, которое обязана выполнять Россия в соответствии с международными соглашениями. Цель закона обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными и муниципальными организациями, юридическими и физическими лицами.

Закон разъясняет такие понятия как «персональные данные», «Оператор персональных данных», «обработка персональных данных», «информационная система персональных данных» и других. Закон определяет принципы и условия обработки персональных данных, права владельца персональных данных, обязанности оператора персональных данных, контроль и надзор за обработкой персональных данных, ответственность за нарушение требований закона (предусмотренную законодательством Российской Федерации, а также компенсацию морального вреда).

Так как в одном законе трудно изложить всю информацию о порядке работы с персональными данными, методы защиты персональных данных, виды ответственности, то было разработано и издано большое количество нормативных документов по этой теме.

На основании закона «О персональных данных» обработка персональных данных осуществляется с согласия владельца персональных данных на обработку его персональных данных и допускается только в случаях указанных в законе. Организация, которая обрабатывает персональные данные, должна определить перечень персональных данных для обработки, сроки их обработки, получить согласие физического лица (письменное или с помощью электронно-цифровой подписи (ЭЦП)), обеспечить владельцу персональных данных получение информации, касающейся обработки его персональных данных, обеспечить защиту персональных данных, взаимодействовать с уполномоченными органами (государственными организациями) по защите прав субъектов персональных данных.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

При обработке персональных данных у предприятия возникает очень много обязанностей, которые могут обеспечить только высококвалифицированные специалисты (юристы, специалисты отдела кадров, технические специалисты по вычислительной технике, специалисты отдела защиты информации, специально обученные сотрудники обрабатывающие персональные данные), которые изучили все тонкости законодательства относящегося к персональным данным.

Например, для обеспечения безопасности персональных данных оператор должен обеспечить:

1. определение угроз безопасности персональных данных;
 
2. применение организационных и технических мер по обеспечению безопасности персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности;
 
3. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
 
4. оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
 
5. учет машинных носителей персональных данных;
 
6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
 
7. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
 
8. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
 
9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности.

Соответственно, прежде чем начать обрабатывать персональные данные любое предприятие должно выполнить все необходимые требования установленные законодательством (юридические, технические, организационные и т.д.).

Если специалист прочтет закон «О персональных данных» и другие нормативные документы, то он поймет что выполнить все требования не так-то просто. Требований достаточно много и с даты опубликования закона «О персональных данных» вышло много изменений этого закона и других нормативных документов, которые тоже необходимо выполнять. Анализ структуры предприятия, ее бизнес процессов, технического состояния вычислительной техники, проектирования порядка обработки персональных и системы защиты информации, проверку выполнения всех требований законодательства сможет выполнить только группа специалистов, которая продолжительное время занимается данной темой и у которой имеются уже наработки в этой сфере.

При невыполнении требований закона «О персональных данных» и других нормативных документов предприятие может быть подвергнуто проверяющими органами и другими государственными органами разнообразным наказаниям (административным, уголовным), а также вплоть до приостановления действия предприятия.

Для надлежащей обработки персональных данных, выполнения требований законодательства наша компания предлагает бесплатный аудит Вашего предприятия. У нас имеется большой опыт по защите персональных данных и другой конфиденциальной информации. Мы поможем Вам наименьшими средствами выполнить все необходимые требования законодательства, сохранить Ваши данные от кражи недобросовестными сотрудниками, утечки их через интернет, обеспечить бесперебойность работы информационной системы и непрерывность Вашего бизнеса.

Наша компания имеет партнерский статус и опыт продолжительного взаимодействия с лидерами по производству разнообразного программного обеспечения, которые разрабатывают программное обеспечение для вычислительной техники, бизнес процессов и защиты информации. 

Услугами нашей компании пользуются крупные государственные структуры, средние организации для поддержания своего уровня развития, а также небольшие организации для автоматизации работы и внедрения новейших технологий для поддержания конкурентоспособности на рынке. Во многих этих предприятиях нами внедрены комплексные информационные системы и системы защиты информации.

Для обеспечения автоматизации и централизованного управления у нас есть готовые проекты по виртуализации информационных систем

Для обеспечения защиты информации нами подготовлены типовые и многофункциональные системы защиты информации (СЗИ), которые могут обеспечить выполнение требований законодательства РФ и другие бизнес требования предприятий. 

Наши сотрудники с удовольствием ответят на Ваши вопросы, дадут необходимые разъяснения и окажут помощь в решении Ваших проблем.