Описание мер защиты персональных данных при регистрации оператора в Роскомнадзоре
Анализ требований законодательства
Меры по статье 18.1 Федерального закона "О персональных данных"
"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом" (Источник: Федеральный закон "О персональных данных", статья 18.1 часть 1)
К таким мерам относятся:
"1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18.1 часть 1 пункт 1)
"2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18.1 часть 1 пункт 2)
"3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона" (Источник: Федеральный закон "О персональных данных", статья 18.1 часть 1 пункт 3)
Меры по статье 19 Федерального закона "О персональных данных"
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19 часть 1)
Конкретные меры включают:
"1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19 часть 2 пункт 1)
"8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19 часть 2 пункт 8)
Рекомендации по заполнению формы
Объем описания мер
В соответствии с требованиями к уведомлению:
"описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств" (Источник: Федеральный закон "О персональных данных", статья 22 часть 3 пункт 7)
Примерная структура описания
Меры по статье 18.1:
- Назначен ответственный за организацию обработки персональных данных
- Разработана и утверждена Политика в отношении обработки персональных данных
- Приняты локальные акты, определяющие порядок обработки ПДн
- Проводится внутренний контроль соответствия обработки ПДн требованиям законодательства
- Работники ознакомлены с положениями законодательства о персональных данных
Меры по статье 19:
- Определены актуальные угрозы безопасности персональных данных
- Установлены правила доступа к персональным данным
- Обеспечивается регистрация и учет действий с персональными данными
- Применяются организационные и технические меры защиты
- [Указать конкретные средства защиты, например] Используются средства шифрования: [название шифровальных средств]
- Обеспечивается сохранность носителей персональных данных
- Регулярно оценивается эффективность принимаемых мер защиты
Выводы и рекомендации
-
Описание должно быть конкретным - указывайте фактически принимаемые меры, а не общие формулировки
-
Технические меры обязательны к указанию - особенно сведения о шифровальных средствах, если они применяются
-
Объем описания - достаточно лаконичного, но содержательного перечня реализуемых мер
-
Основа описания - отражайте меры, которые действительно реализованы в вашей организации
-
При необходимости - рекомендую обратиться к адвокату, специализирующемуся на вопросах защиты персональных данных, для подготовки точного и соответствующего законодательству описания мер защиты.
Помните, что предоставление неполных или недостоверных сведений может повлечь требование Роскомнадзора об уточнении предоставленных сведений до их внесения в реестр операторов.