С чего начать выполнение требований ФЗ-152?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Начинать выполнение требований законодательства о персональных данных нужно не с документов и не с уведомления регулятора, а с понимания того, какие персональные данные и для каких целей обрабатывает организация.

Первый шаг — провести внутренний анализ процессов обработки персональных данных: определить, какие данные собираются, где они хранятся, кто имеет к ним доступ и для каких задач используются. После этого можно выстраивать систему соблюдения требований закона: готовить документы, внедрять меры защиты и выполнять обязанности оператора.
Фактически выполнение требований закона начинается с инвентаризации обработки персональных данных внутри организации.

Что говорит законодательство

Требования к организации обработки персональных данных установлены Федеральный закон №152‑ФЗ «О персональных данных».

В частности, статья 18.1 закона устанавливает обязанность оператора принимать правовые, организационные и технические меры, направленные на обеспечение выполнения требований законодательства о персональных данных.

К таким мерам относятся:

• назначение лица, ответственного за организацию обработки персональных данных;

• принятие локальных актов по вопросам обработки и защиты персональных данных;

• применение организационных и технических мер защиты;

• контроль за соблюдением требований законодательства;

• оценка вреда, который может быть причинён субъектам персональных данных;

• ознакомление сотрудников с требованиями законодательства и внутренними документами.

Как это работает на практике

На практике выполнение требований законодательства о персональных данных обычно начинается с нескольких последовательных шагов.

1. Определение процессов обработки персональных данных

Организация должна понять:

• какие персональные данные она собирает;

• в каких системах и документах они хранятся;

• для каких целей используются;

• кто имеет доступ к этим данным.

Чаще всего персональные данные обрабатываются:

• в кадровых системах;

• в бухгалтерских программах;

• в CRM-системах;

• на сайте компании (например, через формы обратной связи).

Даже простая форма обратной связи на сайте означает, что организация уже является оператором персональных данных.

Не можете разобраться в требованиях закона?

Аудит и документы для реального соответствия 152-ФЗ

Проведем аудит вашего сайта и внутренних процессов на предмет уязвимостей. Выявим ошибки в документах, формах сбора данных и дадим четкий план, как избежать штрафов.

Оставить заявку

2. Определение целей и правовых оснований обработки

Для каждого процесса обработки необходимо определить:

• цель обработки персональных данных;

• правовое основание обработки (согласие, договор, требования закона и т.д.).

3. Формирование перечня обрабатываемых персональных данных

После определения целей необходимо определить состав персональных данных, которые обрабатываются в организации.

Важно убедиться, что собираются только те данные, которые действительно необходимы для заявленных целей.

4. Разработка организационно-распорядительных документов

Следующий этап — подготовка внутренних документов, регулирующих обработку персональных данных. Обычно это:

• политика обработки персональных данных;

• приказы о назначении ответственных лиц;

• регламенты доступа сотрудников к персональным данным;

• формы согласия на обработку персональных данных;

• и многое другое.

5. Организация защиты персональных данных

После определения процессов обработки необходимо внедрить меры защиты персональных данных, например:

• разграничение прав доступа сотрудников;

• использование антивирусной защиты;

• резервное копирование данных;

• контроль доступа к информационным системам.

6. Уведомление Роскомнадзора

В большинстве случаев оператор обязан уведомить Роскомнадзор о начале обработки персональных данных, если деятельность не подпадает под установленные законом исключения.

Не знаете, как заполнить уведомление?

Уведомление для Роскомнадзора

Возьмем на себя подачу уведомления об обработке персональных данных. Подготовим текст, выделим цели и основания обработки, поможем подписать.

Оставить заявку

Выводы и рекомендации

Начинать выполнение требований законодательства о персональных данных следует с анализа того, какие персональные данные обрабатываются в организации и для каких целей.

После этого можно последовательно выстроить систему соблюдения закона:

1. определить процессы обработки персональных данных;

2. установить цели и правовые основания обработки;

3. определить состав персональных данных;

4. разработать внутренние документы;

5. внедрить меры защиты персональных данных;

6. выполнить обязанности оператора перед регулятором.

Такой последовательный подход позволяет системно внедрить требования ФЗ-152 и снизить риски нарушений законодательства.

Не хотите рисковать?

Доверьте защиту персональных данных профессионалам

Не только разработаем документы для сайта (политику, согласия), но и выстроим внутренние регламенты.

Подробнее об услуге