2014-02-02
425
Какие меры предпринять
В закон № 152-ФЗ введена новая статья 18.1. В ней предусмотрены меры, направленные на обеспечение обновленных требований. Работодателю следует определить перечень мер, необходимых для выполнения обязанностей по обработке персональных данных. Он должен включать:
– назначение лица, ответственного за организацию обработки персональных данных;
– издание компанией документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки таких сведений и предотвращения (устранения) нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля соответствия обработки персональных данных указанному закону и принятым на основании его нормативным правовым актам;
– оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
– ознакомление работников компании, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства о защите персональных данных, локальными актами по указанным вопросам и обучение этих работников.
Обратите внимание: строительной организации теперь помимо Положения по защите персональных данных работников, которое следовало принять в соответствии с Трудовым кодексом РФ, необходимо разработать новый документ – Политику в отношении обработки персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
– определением угроз безопасности данных при их обработке в информационных системах;
– применением организационных и технических мер;
– учетом машинных носителей персональных данных;
– обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
– восстановлением данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
– установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с ними в информационной системе;
– контролем за уровнем защищенности информационных систем.
Не следует забывать и о том, что в настоящее время действуют документы:
– приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
– Методика определения актуальных угроз безопасности персональных данных … утвержденная ФСТЭК России 14 февраля 2008 г.;
– Базовая модель угроз безопасности персональных данных… утвержденная ФСТЭК России 15 февраля 2008 г.
Учтите: по запросу уполномоченного органа по защите прав субъектов персональных данных строительная фирма обязана представить документы и локальные акты или иным образом подтвердить принятие соответствующих мер.
>|Образец уведомления об обработке (о намерении осуществлять обработку) персональных данных и рекомендации по его заполнению утверждены приказом Роскомнадзора от 19 августа 2011 г. № 706.|<
По общему правилу уведомить Роскомнадзор об осуществлении обработки персональных данных обязаны все операторы, которые этим занимаются (п. 1 ст. 22, п. 4 ст. 25 закона № 152-ФЗ). Однако есть и исключения. Они приведены в пункте 2 статьи 22 закона № 152-ФЗ. Например, если строительная компания имеет дело лишь с личными данными работников (обрабатываемыми в соответствии с трудовым законодательством), указанное требование на нее не распространяется.
