Какие меры по защите персональных данных физлиц нужно принимать при обработке этих данных

 

При обработке персональных данных физлиц, к примеру ваших клиентов, партнеров, вы должны принять меры, чтобы не допустить любые противоправные действия в отношении этих данных, в частности их копирование, распространение.

Для этого вам нужно создать определенный пакет документов, включая положение об обработке персональных данных и приказы о назначении ответственных, а также принять ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.

Сложнее всего организовать защиту данных, которые вы храните в электронном виде. Для этого вам придется предварительно определить тип угрозы и подобрать нужный уровень защищенности данных.

 

Оглавление:

  1. Какие требования предъявляются к защите персональных данных
  2. Какие действия нужно совершить, чтобы обеспечить защиту персональных данных при их обработке
  3. Какие документы нужно создать для защиты персональных данных при их обработке

 

  1. Какие требования предъявляются к защите персональных данных

Если вы обрабатываете персональные данные (являетесь оператором), то вы должны принять меры для их защиты. Вы сами решаете, какие именно меры и в каком составе будете принимать, кроме случаев, когда закон обязывает вас принять конкретные меры, например назначить ответственное лицо (ч. 1 ст. 22.1 Закона об обработке персональных данных).

Учтите, что эти меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними (ч. 1 ст. 18.1, ч. 1 ст. 19 Закона о персональных данных). В противном случае вас могут привлечь к ответственности за нарушение законодательства о персональных данных.

Вы должны принять меры нескольких видов:

  • правовые. Это создание комплекта документов, необходимых для защиты персональных данных;
  • технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. Например, установить шифрование, обучить сотрудников.

Специальные требования по защите персональных данных предусмотрены для отдельных категорий операторов. Например, существует специальный Перечень мер для операторов-госорганов. А компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR) (к примеру, если они продают товары гражданам Евросоюза), должны учитывать также требования этого регламента.

 

  1. Какие действия нужно совершить, чтобы обеспечить защиту персональных данных при их обработке

Чтобы обеспечить защиту персональных данных физлиц при их обработке, вам нужно принять ряд организационных и технических мер.

В основном эти меры совпадают с мерами по защите персональных данных работников, поскольку Закон о персональных данных не проводит различий между персональными данными работников и прочих физлиц.

Конкретный перечень этих мер зависит от того, как вы храните данные — в электронном виде или на бумажном носителе. В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе).

Сложнее организовать защиту электронных данных. Для этого вам потребуется определить, какой у вас тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности (п. п. 712 Требований к защите персональных данных при их обработке в информационных системах). От уровня защищенности будет зависеть конкретный комплекс мер, которые вы должны принять (п. п. 1316 указанных Требований).

 

 

См. также:

·     Как организовать защиту персональных данных работников при обработке этих данных, если они хранятся на бумажных носителях

·     Как организовать защиту персональных данных работников при обработке этих данных, если они хранятся в электронном виде

 

  1. Какие документы нужно создать для защиты персональных данных при их обработке

Четкий перечень этих документов законом не установлен. Рекомендуем подробно отразить в документах весь процесс обработки персональных данных. Это позволит вам, в частности, избежать претензий со стороны контролирующих органов в случае проверки.

Создайте следующий комплект основных документов:

  • политика в отношении обработки персональных данных или иной локальный нормативный акт (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Это самый главный документ, который устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению.

Если у вас уже есть подобный локальный акт по персональным данным работников, вы можете в нем же предусмотреть положения о защите прав иных физлиц (например, добавить специальный пункт по физлицам).

Если у вас есть интернет-сайт, через который вы получаете персональные данные, разместите на нем политику в отношении обработки персональных данных (или иной аналогичный акт) так, чтобы посетители сайта имели доступ к ней (ч. 2 ст. 18.1 Закона о персональных данных);

  • приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц. Вы обязаны назначить такое лицо (ч. 1 ст. 22.1 Закона о персональных данных). Им может стать любой ваш работник, например руководитель отдела по работе с клиентами. Если у вас уже назначен ответственный за персональные данные работников, вы можете назначить его же ответственным за данные прочих физлиц. Это удобно, поскольку обязанности ответственного лица не зависят от того, чьи данные вы обрабатываете — работников или, например, клиентов;
  • приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц. Такой приказ может служить доказательством того, что конкретное лицо имело доступ к персональным данным. Это важно, в случае если произошло разглашение данных и нужно установить виновных;
  • соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета и движения персональных данных или подробные регламенты по работе с персональными данными.