Как подготовиться и какие необходимо провести мероприятия для организации работы по обработке персональных (личных) данных? Что необходимо сделать, чтобы избежать штрафных санкций за невыполнение требований закона №152-ФЗ о персональных данных в случае проверки, пока не «грянул гром»?
Начните с анализа законодательной базы в области персональных данных, чтобы появилось четкое представление о последовательности ваших действий по их обработке, хранению и защите. Далее необходимо провести организационные и технические мероприятия.
Организационные мероприятия
Определение информационных систем, с помощью которых вы будете обрабатывать и хранить персональные данные. В случае, когда они будут храниться на бумажных носителях, то определить где, как, в чем и каком месте.
Разработать форму документа (бланка), который будет заполняться и содержать личные сведения.
Провести классификацию персональных данных человека, разделив их на информацию общего содержания, когда ее достаточно для идентификации личности человека, и конфиденциальную информацию, в случае обнародования которой человеку может быть принесен ущерб.
Провести аудит законности действий с персональными сведениями (обязательное требование – согласие носителя сведений на их обработку).
Разработать приказы, распоряжения, положения по организации по персональным данным.
Назначить ответственных за работу с ними.
Определить круг лиц, имеющих доступ к персональным сведениям.
Обозначить перечень потенциальных угроз безопасности персональным сведениям.
Провести обучение лиц, ответственных за обработку личных сведений.
Вести контроль и учет передачи персональных сведений внутри организации.
Разработать Методические материалы, Положение о внутреннем использовании (передаче) персональных данных, Журнал учета их передачи.
Регистрация (например, заявка-заявление от детской поликлиники) как оператора персональных сведений в уполномоченном органе (например, в Роскомнадзоре) в установленном законом порядке.
Технические мероприятия
Организовать рабочее место оператора персональных сведений.
Приобрести компьютерную программу для обработки и хранения персональных данных (в случае необходимости) и установить или обновить антивирусную защиту.
Установить пароли доступа к информационной базе персональных данных и исключить несанкционированное копирование.
Ограничить допуск посторонних лиц в помещение, где хранится база данных.
В этой статье изложен лишь примерный перечень действий по выполнению требований законодательства в области защиты и обработки персональных данных, которые позволят вам избежать «стимулирования» в виде штрафных санкций в случае проверки.
Первый отдел детского медицинского центра «Маркушка».