Работаем со всеми регионами РФ
Если организация обрабатывает персональные данные, то она является оператором. В таком случае необходимо принять меры для их защиты. Какие именно это будут меры, и в каком они будут объеме, оператор решает самостоятельно. При этом нужно соблюсти определенные требования, указанные в федеральном законе. Очень важно, чтобы эти меры были достаточными для выполнения оператором обязанностей по защите ПДн. Важно помнить, что вы являетесь оператором персональных данных в отношении не только работников своей организации, но и других физических лиц, чьи данные получаете. Такими лицами могут быть клиенты, партнеры или просто граждане, интересующиеся вашими услугами или товарами, лица, которые посещают ваш сайт, получают СМС-рассылку и т.д.
При обработке персональных данных физических лиц, к примеру клиентов, партнеров, вы должны принять меры, чтобы не допустить любые противоправные действия в отношении этих данных, в частности их копирование, распространение и т.д. Важно не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними. В противном случае Вас могут привлечь к ответственности за нарушение законодательства о персональных данных.
В ряде случаев необходимо получать согласие на обработку персональных данных от лиц, которые обращаются в вашу организацию. Например, у кандидатов на вакантные должности, которые приходят на собеседования, так как в их анкетах содержаться персональные данные.
Все меры защиты можно разделить на несколько категорий: правовые, технические и организационные.
В рамках принятия правовых мер необходимо создать определенный пакет организационно-распорядительных документов. Среди них политика обработки персональных данных, положение об обработке персональных данных, приказы о назначении ответственных за обработку персональных данных должностных лиц и другие документы.
Если у вас есть интернет-сайт, на котором вы обрабатываете персональные данные, вы должны опубликовать на нем политику обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить доступ к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. Неисполнение этого требования является нарушением законодательства и вы можете быть привлечены к административной ответственности.
Кроме этого, в рамках принятия организационных и технических мер по защите персональных данных, необходимо ограничить доступ в помещения, установить пароли, организовать криптографическую защиту канала передачи персональных данных, установить средства защиты на оборудование, осуществляющее обработку ПДн, вести определенные журналы учета, обучить сотрудников работе с персональными данными.
Сложнее всего организовать техническую защиту данных, которые хранятся в электронном виде. Для этого необходимо провести целый комплекс мероприятий, начиная разработкой модели угроз и потенциального нарушителя и заканчивая подтверждением соответствия применяемых мер, требованиям законодательства. Как правило, подтверждение соответствия проводится в форме аттестации.
Другими словами – нужно обеспечить безопасность персональных данных по всем направлениям работы организации.
