Как избежать штрафных санкций за невыполнение требований закона РФ №152-ФЗ?

Как подготовиться и какие необходимо провести мероприятия для организации работы по обработке персональных (личных) данных? Что необходимо сделать, чтобы избежать штрафных санкций за невыполнение требований закона №152-ФЗ о персональных данных в случае проверки, пока не «грянул гром»?

Начните с анализа законодательной базы в области персональных данных, чтобы появилось четкое представление о последовательности ваших действий по их обработке, хранению и защите. Далее необходимо провести организационные и технические мероприятия.

Организационные мероприятия

Определение информационных систем, с помощью которых вы будете обрабатывать и хранить персональные данные. В случае, когда они будут храниться на бумажных носителях, то определить где, как, в чем  и каком месте.

Разработать форму документа (бланка), который будет заполняться и содержать личные сведения.

Провести классификацию персональных данных человека, разделив их на информацию общего содержания, когда ее достаточно для идентификации личности человека, и конфиденциальную информацию, в случае обнародования которой человеку может быть принесен ущерб.

Провести аудит законности действий с персональными сведениями (обязательное требование – согласие носителя сведений на их обработку).

Разработать приказы, распоряжения, положения по организации по персональным данным.

Назначить ответственных за работу с ними.

Определить круг лиц, имеющих доступ к персональным сведениям.

Разработать «Положение о защите персональных данных», регламентирующее процедуру их обработки.

Обозначить перечень потенциальных угроз безопасности персональным сведениям.

Провести обучение лиц, ответственных за обработку личных сведений.

Вести контроль и учет передачи персональных сведений внутри организации.

Разработать Методические материалы, Положение о внутреннем использовании (передаче) персональных данных, Журнал учета их передачи.

Регистрация (например, заявка-заявление от детской поликлиники) как оператора персональных сведений в уполномоченном органе (например, в Роскомнадзоре) в установленном законом порядке.

Технические мероприятия

Организовать рабочее место оператора персональных сведений.

Приобрести компьютерную программу для обработки и хранения персональных данных (в случае необходимости) и установить или обновить антивирусную защиту.

Установить пароли доступа к информационной базе персональных данных и исключить несанкционированное копирование.

Ограничить допуск посторонних лиц в помещение, где хранится база данных.

В этой статье изложен лишь примерный перечень действий по выполнению требований законодательства в области защиты и обработки персональных данных, которые позволят вам избежать «стимулирования» в виде штрафных санкций в случае проверки.