Как обеспечить безопасность

Какие меры предпринять

В закон № 152-ФЗ введена новая статья 18.1. В ней предусмотрены меры, направленные на обеспечение обновленных требований. Работодателю следует определить перечень мер, необходимых для выполнения обязанностей по обработке персональных данных. Он должен включать:

– назначение лица, ответственного за организацию обработки персональных данных;

– издание компанией документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки таких сведений и предотвращения (устранения) нарушений;

– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

– осуществление внутреннего контроля соответствия обработки персональных данных указанному закону и принятым на основании его нормативным правовым актам;

– оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;

– ознакомление работников компании, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства о защите персональных данных, локальными актами по указанным вопросам и обучение этих работников.

Обратите внимание: строительной организации теперь помимо Положения по защите персональных данных работников, которое следовало принять в соответствии с Трудовым кодексом РФ, необходимо разработать новый документ – Политику в отношении обработки персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

– определением угроз безопасности данных при их обработке в информационных системах;

– применением организационных и технических мер;

– учетом машинных носителей персональных данных;

– обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

– восстановлением данных, модифицированных или уничтоженных вследствие несанкционированного доступа;

– установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с ними в информационной системе;

– контролем за уровнем защищенности информационных систем.

Не следует забывать и о том, что в настоящее время действуют документы:

– приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;

– Методика определения актуальных угроз безопасности персональных данных … утвержденная ФСТЭК России 14 февраля 2008 г.;

– Базовая модель угроз безопасности персональных данных… утвержденная ФСТЭК России 15 февраля 2008 г.

Учтите: по запросу уполномоченного органа по защите прав субъектов персональных данных строительная фирма обязана представить документы и локальные акты или иным образом подтвердить принятие соответствующих мер.

>|Образец уведомления об обработке (о намерении осуществлять обработку) персональных данных и рекомендации по его заполнению утверждены приказом Роскомнадзора от 19 августа 2011 г. № 706.|<

По общему правилу уведомить Роскомнадзор об осуществлении обработки персональных данных обязаны все операторы, которые этим занимаются (п. 1 ст. 22, п. 4 ст. 25 закона № 152-ФЗ). Однако есть и исключения. Они приведены в пункте 2 статьи 22 закона № 152-ФЗ. Например, если строительная компания имеет дело лишь с личными данными работников (обрабатываемыми в соответствии с трудовым законодательством), указанное требование на нее не распространяется.