Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Другими словами, если набор данных позволяет определить (установить личность) субъекта, то это персональные данные. Но также верно то, что в случае если субъект уже определен (например, работник организации), то любые сведения о нем – это уже персональные данные. Даже, если бы этих сведений самих по себе было недостаточно для установления его личности.

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» регулирует деятельность по обработке (использованию) персональных данных.  В частности, он определяет условия, когда возможна обработка персональных данных, права субъектов, обязанности операторов и порядок государственного контроля обработки персональных данных.

Оператор – организация или физическое лицо, организующие и (или) осуществляющие обработку персональных данных.

Оператор может поручать обработку персональных данных другим лицам (организациям), которые будут ее осуществлять. Такие организации несут ответственность за действия с персональными данными перед Оператором. Однако такие организации всегда являются Операторами собственных персональных данных.

Организация, осуществляющая любые действия с персональными данными, с использованием средств автоматизации или без них становится оператором персональных данных.

Зачастую организации могут не знать, что являются операторами персональных данных, что не отменяет их обязанностей, установленных законодательством РФ.

Все организации должны соблюдать требования 152-ФЗ, так как обрабатывают как минимум персональные данных своих работников. Но наибольшая ответственность ложится на компании, работающие с клиентами – физическими лицами.

Роскомнадзор — регулятор в области персональных данных — проверяет наличие порядка 50 документов: приказов, политик, положений, инструкций, журналов, планов и перечней.

Система DocShell позволяет подготовить и поддерживать в актуальном состоянии все указанные документы.

Сотрудники DocShell не могут разрабатывать документы за клиента, так как при подготовке документов должны быть учтены особенности обработки данных, функционирования информационных систем и распределение обязанностей работников компании-клиента. Такими исходными данными обладает только клиент.

Если по каким-то причинам вы не можете самостоятельно ответить на вопросы системы и указать необходимую информацию, то вы можете обратится к нашим Партнерам, которые проведут обследование в Вашем офисе и внесут всю необходимую информацию в Сервис.

Для выполнения Требований недостаточно только разработать документы — они должны быть утверждены, подписаны и доведены до работников. Также работников необходимо ознакомить с основными положениями законодательства РФ в области персональных данных и правилами защиты этих данных принятыми в компании. Необходимо постоянно контролировать, что принятые компании и документированные меры действительно выполняются работниками.

Мы гарантируем что экспертный контент, заложенный в систему DocShell (документы, перечни мероприятий, инструктажи) соответствует текущему законодательству РФ и актуальным требования регуляторов в области защиты персональных данных.

Система DocShell подходит и действительно используется операторами персональных данных из многих отраслей. В систему заложены подсказки и типовые значения для наиболее часто встречаемых случаев обработки персональных данных. Для экзотических и редко встречаемых случаев система позволяет пользователям добавлять собственные варианты.

Организация, имеющая работников обязана заключить трудовые договоры / соглашения с ними, выплачивать заработную плату и выполнять другие обязанности в отношении работников. Всё это влечет необходимость обработки персональных данных как минимум собственных работников.

Посмотреть информацию об обработке персональных данных в конкретной организации можно по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/

Операторы персональных данных обязаны уведомить Роскомнадзор как можно скорее и информировать этого регулятора о любых изменениях ранее поданного уведомления.

План проверок Роскомнадзора публикуется отдельно на портале каждого территориального органа – раздел 5 Плана деятельности Управления на 2018 год.

Выполнять Требования по персональным данным должны оба контрагента (каждый обязан говорить документы по своей организации). Можно поручить подготовку документов по защите персональных данных организации на аутсорсинге, при этом подписаны и утверждены такие документы должны быть в основной организации.

За нарушение требований законодательства в области обработки и защиты персональных данных предусмотрена административная и уголовная ответственность. При множественных нарушениях за административные правонарушения по статьям 13.11, 13.12 и 19.7 суммарно может превысить 300 тыс. рублей. За уголовные правонарушения по статье 137 предусмотрена ответственность с лишением свободы на срок до 5 лет.

  • Сбор информации об информационных системах персональных данных, процессах обработки персональных данных и применении средств защиты
  • Распределение ответственности в области организации обработки персональных данных, защиты персональных данных и эксплуатации средств защиты
  • Допуск пользователей к обработке персональных данных, местам хранения персональных данных, эксплуатации средств защиты. Актуализация перечней
  • Разработка и утверждение организационно-распорядительной документации (ОРД)
  • Классификация информационных систем, моделирование угроз, определение контрмер
  • Публикация политики, ознакомление работников с ОРД, правилами защиты персональных данныхи эксплуатации средств защиты
  • Внутренний контроль соблюдения законодательства РФ

Роскомнадзор осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям 152-ФЗ и подзаконных нормативно правовых актов.

ФСТЭК России осуществляет контроль деятельности по технической защите персональных данных.

ФСБ России осуществляет контроль эксплуатации средств криптографической защиты информации.

DocShell – эффективное решение задач в сфере информационной безопасности для государственных и муниципальных предприятий, а также коммерческих организаций. Например, задач по разработке документов, проведение инструктажей планирования мероприятий по защите персональных данных, обеспечению информационной безопасности и эксплуатации СКЗИ.

DocShell – единственная система, сочетающая в себе возможности управления процессами информационной безопасности организации с возможностями разработки внутренних документов по вопросам защиты персональных данных и эксплуатации средств криптографической защиты информации.

В сервисе DocShell учитывается опыт реализации множества проектов и регулярного прохождения проверок регуляторов в области обработки и защиты персональных данных.

Хотите изредка получать полезные кейсы?

Подпишитесь на рассылку