Содержание |
Основные статьи:
Что нужно, чтобы закрыть вопрос по требованиям ФЗ-152 «О защите персональных данных»? Заучивать обязанности «оператора» наизусть, ставить дедлайны по сдачи документации (которую нужно составлять) и помечать красным цветом в календаре 12-часовой рабочих день ускоренной подготовки перед проверкой «сверху». Или можно по-другому?
Кому нужно отчитываться согласно ФЗ-152?
Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ регламентирует работу сбора персональных данных пользователя (далее — ПДн) и отчетности по ней. Следовать требованиям этого федерального закона должны все организации, обрабатывающие персональные данные граждан, с которыми они не связаны трудовым договором, то есть практически любые организации. В большей степени это касается банков, медицинских организаций, органов государственной власти, внебюджетных фондов и других организаций из-за большого объема обрабатываемых сведений.
Организации, работающие с ПДн, как минимум, должны:
- назначать ответственных лиц за обработку ПДн;
- издавать локальные акты по вопросам обработки персональных данных;
- создавать локальные акты для регламентации процедуры предотвращения и определения нарушений в области ПДн;
- проводить внутренний контроль обработки персональных данных.
Что будет, если нарушить этот закон? В ст.13.11 описано, за какие случаи, связанные с обработкой данных, можно получить штраф. Взыскание достигает 75 тыс. руб. и назначается за каждый случай. Например, если в штате 100 человек, штраф за нарушение может составлять 7 500 000 руб.
Основные трудности ведения отчетности
Проблема первая – создать документы. Можно ли это сделать самостоятельно? Да, для выполнения работ подобного рода аудиторам необязательно иметь лицензии ФСТЭК или ФСБ, как, например, в случае выполнения аудита кредитных организаций по 382-П.
Однако для этого надо хорошо знать нормативную базу и иметь шаблоны документов, выверенные с юридической точки зрения. По этой причине компании часто предпочитают перепоручить эти обязанности экспертным компаниям на аутсорсинг.Персональный сайт в эпоху цифровых технологий
Проблема вторая – поддерживать актуальность этих документов в соответствии с ФЗ-152. Для этого необходимо своевременно переделывать документы в случае:
- смены ответственных лиц или их должностей;
- изменений в нормативной базе, из-за чего нужны новые шаблоны основных документов по ПДн;
- модернизации информационных систем, в которых хранятся данные;
- изменений в составе технических средств защиты информации (СЗИ).
К тому же при проверке регулятором учитывается не только наличие факта исполнения локальных актов, но и их результативность.
Заказ пакета документов на аутсорсинге — в чем подвох?
Если компания заказала пакет документов на аутсорсинге, проблем, как правило (в случае квалифицированности консалтинговой компании), не возникает. Пока не вступят в силу новые поправки в закон или не произойдут существенные изменения внутри компании. Более того, многие организации, заказавшие до 2011 года такую услугу, уже сталкиваются с проблемами. В этом году ФЗ обновился, а это значит, что их документация, несмотря на то, что сменилось несколько деталей, уже неактуальна.
Как часто на практике приходится обновлять пакет документов? Примерно 1 раз в год или даже чаще. Хотя, на самом деле, большинство организаций регулярно забывают актуализировать пакет документов по учету персональных данных.
Своими силами: Дополнение к 1C от ARinteg
Согласитесь, удобно было бы установить программное обеспечение для автоматического ведения документации и учета ПДн с функцией корректировки, сохранения документов в архивном виде, а также с интеграцией программы с другими системами. Однако, как показывает практика, под нее необходимо переучивать сотрудников компании. По этой причине лучше приобрести дополнение к стандартной программе, интерфейс которой прост, привычен и надежен. Платформа 1С известна с 1991 года и работает на всех более-менее известных ОС. Этой платформой выпущено ПО для расчета заработной платы и учета сотрудников организации — программа «1С: Зарплата и управление персоналом», которой пользуются компании разных масштабов.
Для исполнения почти всех требований № 152 ФЗ «О защите персональных данных» от 27.07.2006 служит конфигурация к «1С:ЗУП» ПО «Учет персональных данных» от компании ARinteg[1]. При установке дополнения не нужно вносить изменения в изначальную конфигурацию, интерфейс программы полностью знаком сотрудникам, которые привыкли работать в «1С:Предприятия». Интеграция с платформой позволяет не переживать за актуальность персональных данных сотрудников.
В программу загружены шаблоны регламентов. По мере обновлений законодательства программа автоматически актуализирует документы. При внутренних изменениях в организации внести правки в исходные документы очень просто путем интеграции через 1С.
Основные функции этого модуля позволят в рамках одной программы:
- вести реестр ответственных за обработку ПДн сотрудников;
- создавать комиссии, определять уровни защищенности ПДн;
- регламентировать трансграничную передачу данных;
- проводить учет доступа в помещения, где происходит хранение и обработка ПДн;
- вести работы с ПДн одновременно в нескольких организациях и подразделениях;
- фиксировать запросы на ознакомление с ПДн, уточнения, уничтожения и перемещения ПДн;
- хранить инструкции на парольной либо антивирусной защите;
- обрабатывать запросы контролирующих органов.
Помимо этого, программное обеспечение получило сертификацию «1С: Совместимо». Разработчик этого дополнения к конфигурации «1С :Учет персональных данных» — компания ARinteg[2], присутствующая на российском рынке информационной безопасности уже более 25 лет.
Вести документацию самому, рассчитывать на удачу, получить услуги консалтинговой компании или установить дополнение к 1С «ЗУП» — какое бы средство для ведения документации по ПДн выбрано не было, желаем Вам легкой жизни с персональными данными!