Как выполнить 152-ФЗ
"О защите персональных данных"
Разберем по шагам, что необходимо сделать для соответствия закону, а также чтобы избежать штрафов при проверке Роскомнадзора.
Что такое персональные данные?
Персональные данные — это любая информация, которая прямо или косвенно относится к определенному человеку и позволяет его идентифицировать.
Проблема в том, что в законе нет точного списка, что считать персональными данными. Некоторые суды полагают, что ими могут быть ФИО человека, его паспортные данные, адрес, номера телефонов. При этом сами по себе ФИО, адрес и номер телефона могут не быть персональными данными: ФИО могут повторяться, по адресу могут регистрироваться разные люди, номер телефона может перейти к другому абоненту, если расторгнут договор на оказание абонентских услуг.

Персональные данные человека собирают, например, когда проводят опросы, оформляют договоры или открывают доступ к сервисам на сайте.

Те, кто собирает данные, считаются операторами персональных данных, а люди, чьи данные собрали, — субъектами персданных. Оператором может быть кто угодно: физлицо, ИП, организация, государственный орган.

ст. 3 закона «О персональных данных»

Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта персональных данных разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя, иначе оператора привлекут к ответственности.

Все свои действия — что будут собирать и как будут работать с данными — операторы описывают в документах.
Кто является оператором персональных данных?
Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое: самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД; определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней. Реестр операторов, осуществляющих обработку персональных данных ведет Роскомнадзор.

В реестре указывается дата и основание включение в реестр, наименование оператора и его данные, цель обработки персональных данных, правовые основания, ответственное лицо оператора и другие данные.

Что понимается под обработкой персональных данных?
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта персональных данных разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя, иначе оператора привлекут к ответственности.

Все свои действия — что будут собирать и как будут работать с данными — операторы описывают в документах.
Требования к системе защиты персональных данных
Требования к системе защиты персональных данных утверждены Постановлением Правительства от 01.11.2012 N 1119.

При определении мер по защите персональных данных, необходимо в первую очередь определиться с возможными угрозами безопасности, после чего принять все возможные организационные и технические меры по обеспечению этой самой безопасности.

К таковым мерам можно отнести:

  • использование технических средств защиты информации (пароли, антивирусы и т.д.);
  • назначение ответственного по безопасности, его инструктаж и контроль;
  • установление правил доступа к данным, в том числе с регистрацией пользователей в системе с возможностью отслеживания их действий;
  • проведение регулярных проверок и анализа их результатов;
  • ограничение доступа к данных неуполномоченных или третьих лиц;
  • обеспечение безопасности помещения, в котором хранятся все данные.
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта персональных данных разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя, иначе оператора привлекут к ответственности.

Все свои действия — что будут собирать и как будут работать с данными — операторы описывают в документах.
Нужна помощь чтобы разобраться в 152-ФЗ?
Как выполнить требования 152-ФЗ
Шаг 1. Обеспечить защиту данных
  • Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:
  • Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
  • Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
  • Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
  • Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского».

Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений.

Подобрать решение
Шаг 2. Разработать документы, описывающие порядок работы с персональными данными
Публичные документы: их показываем тем, у кого берем персональные данные:
  • Согласие на обработку персональных данных
  • Положение об обработке и защите персональных данных
  • Политика конфиденциальности.

Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными:
  • Модель угроз безопасности.
  • Приказ о назначении ответственного за безопасность персональных данных.
  • Приказ о допуске к обработке персональных данных.
  • Инструкция пользователя системы персональных данных.

И другие документы - полный перечень может варьироваться в зависимости от сферы деятельности и системы работы с информацией.

Заказать услугу
Шаг 3. Уведомить Роскомнадзор
Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.
Шаг 4. Получать согласие на хранение и обработку персональных данных
Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

  • Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
  • Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.
Что будет, если вы...
Не защитите данные
Не разработаете документы
Не отправите уведомление
Не станете получать согласие клиентов
Ответственность за отсутствие защиты данных
Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:

  • Физлицо — на 700–2000 рублей.
  • Должностное лицо — на 4 000–10 000 рублей.
  • ИП — на 10 000–20 000 рублей.
  • Юрлицо — на 25 000–50 000 рублей.

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.
Ответственность за отсутствие документации
Можно получить сразу два штрафа:

  • За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
  • За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.
Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.
Ответственность за отказ от уведомления Роскомнадзора
Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

  • 100–500 рублей для физлиц
  • 300–500 рублей для должностных лиц.
  • 3 000—5 000 рублей для юрлиц.
Ответственность за отсутствие согласия клиентов на хранение и обработку персональных данных
За это нарушение положен большой штраф:

  • 3 000–5 000 рублей для физлиц.
  • 10 000–20 000 рублей для должностных лиц и ИП.
  • 15 000–75 000 рублей для юрлиц.
Не хотите разбираться самостоятельно?
Мы проведем аудит и оценим состояние вашей системы, а также составим ТЗ с перечнем необходимых решений для вашей организации.
Вы НЕ защищены, если считаете…
Мы собрали для вас самые частые заблуждения клиентов по поводу соответствия закону 152-ФЗ
Мы храним персональные данные в дата-центре. Теперь они отвечают за соблюдение закона
Дата-центр отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако.

Все остальное обеспечивает оператор персональных данных. Именно оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи их утечки.
Теперь я точно соблюдаю закон: поставил антивирус и межсетевой экран, считаю этого достаточно.
Все верно. Но соблюдение 152-ФЗ начинается не с установки антивируса, а с подготовки организационно-распорядительной документации (ОРД).

Роскомнадзор, прежде всего, проверяет не наличие технических средств защиты, а правовые основания для обработки персональных данных (ПДн).
Пакет документов имеется, персональные данные храним у провайдера
Для соблюдения закона в части передачи работ обработки персональных данных третьим лицом, не забудьте подписать необходимое поручение. Обязательно укажите все требования по обеспечению защиты персональных данных субъектов. Без этого документа провайдер ничем вам не обязан.
Почему выбирают "ГЭНДАЛЬФ"
30 лет на защите информационной безопасности
Полное соответствие законодательству
Работаем по лицензиям ФСТЭК России и ФСБ России
Партнеры ведущих
производителей ПО
Индивидуальный подход, выполнение заказа "под ключ"
Экспертная поддержка
заказчиков
Получить консультацию
You agree to our Terms and Conditions