Совершение операций с ПДн требует соблюдения установленных законом требований. Для процессов, в которых задействуются планшеты, ПК, ноутбуки и т.д., и обработки персональных данных, осуществляемой без использования средств автоматизации, установлены отдельные правила. При неавтоматизированном подходе к работе с личной информацией применение, уничтожение, уточнение и распространение осуществляются с участием человека. Занимаясь организацией работы предприятия, важно учитывать, что к данной категории относятся сведения, которые могут быть получены из ИСПДн или не иметь к ней никакого отношения. Задача оператора — правильно идентифицировать тип операций и обеспечить достаточный уровень защиты ПДн, в частности, предупредить несанкционированный доступ к ним.
Требования, которых необходимо придерживаться
Обязательными для ознакомления и соблюдения являются для операторов ФЗ-152 и Положение Правительства РФ № 687, принятое более 12 лет назад. Документы определяют, что обработка ПДн без использования средств автоматизации должна выполняться с согласия субъекта и соответствовать изначально поставленным целям. То есть оператор имеет право хранить, использовать и уточнять сведения только в рамках установленных задач, например, для выдачи пропуска на территорию предприятия.
Другие существенные моменты, связанные с организацией операций с ПДн:
- если базы данных (картотеки) созданы для разных целей, объединять их запрещено;
- не допускается сбор и оперирование большего объема информации, чем требуется для достижения поставленной цели;
- во время использования, распространения ПДн нужно обеспечивать их актуальность, точность и полноту, а если это невозможно — уничтожить;
- запрещается хранить сведения после достижения установленных задач и целей;
- оператор несет ответственность за обезличивание, уничтожение ПДн, а также их незаконное применение из-за недостаточной защищенности операций без использования средств автоматизации.
Нарушение нормативно-правовых требований может привести к серьезным проблемам, начиная от штрафных санкций, заканчивая судебными разбирательствами. С другой стороны, если ответственно отнестись к организации защиты, то получится оптимизировать работу предприятия на всех этапах, избежать многочисленных проверок Роскомнадзора и завоевать доверие со стороны клиентов и партнеров.
Организация обработки данных, извлеченных или не связанных с ИСПДн, без использования средств автоматизации
Четко установленных способов сбора, использования и уничтожения ПДн законом не предусмотрено, соответственно, предприниматель или фирма может выбрать их по собственному усмотрению. В расчет принимается множество факторов, начиная от масштабов деятельности и специализации, заканчивая количеством сотрудников и имеющимися в распоряжении финансовыми ресурсами. Однако есть общие принципы, который нужно придерживаться, чтобы не попасть в поле зрения проверяющих инстанций. Среди них:
- отделение ПДн от прочей информации путем переноса на материальные носители, поля форм, бланки с обязательным соблюдением режима их хранения;
- фиксация на одном носителе данных, используемых для одной и той же цели;
- информирование сотрудников о порядке обработки ПДн без средств автоматизации, особенностях каждого этапа, требованиях, которые необходимо соблюдать;
- четкое распределение должностных обязанностей;
- соблюдение ряда условий в случае применения типовых форм документов, например, обязательном указании наименования и адреса оператора, Ф.И.О. субъекта, пометки о согласии на обработку ПДн и т.д.;
- подготовка внутренней документации, регулирующей доступ и должностные обязанности работников, задействованных в процессе обработки сведений о физических лицах;
- обезличивание (может быть полным либо частичным), уничтожение с материального носителя без возможности дальнейшего копирования, предоставления, корректировки и т.д.
Фактически на предпринимателя или компанию возлагается обязанность контролировать все аспекты деятельности, связанные с ПДн, для предупреждения вероятных угроз. Не менее важно сделать так, чтобы персонал, который имеет право доступа, мог быстро и легко выполнять текущие задачи, не забывая о своей ответственности и понимая порядок действий. Успеха можно достичь лишь при комплексном подходе, который включает внедрение тщательно продуманных правил, отслеживание их выполнения, разъяснительные беседы и аудит.
Как обеспечить защиту персональных данных без использования средств автоматизации
Ключевыми при урегулировании этого вопроса являются следующие моменты:
- Все процессы должны выполняться на основании соответствующих внутренних документов (актов, приказов, инструкций и т.д.).
- Нужно добиться того, чтобы было легко определить место хранения каждой категории ПДн.
- Доступ к личным сведениям должен иметь только определенный круг лиц.
- Хранение флеш-накопителей, бланков, форм, журналов следует организовать таким образом, чтобы посторонние не имели возможности их использовать, распространить, уничтожить или изменить.
- На предприятии в обязательном порядке должен быть сотрудник, который отвечает за реализацию предусмотренных инструкциями мер безопасности.
Позаботиться об информационной безопасности оператору следует как можно раньше, в идеале — перед запуском бизнеса. Выбор и внедрение защиты «с нуля» требует меньших затрат времени, поскольку не требуется проводить анализ текущих процессов. Самостоятельно непрофессионалу это сделать будет сложно ввиду запутанности нормативно-правовой базы и большого количества нюансов, которые нужно учесть. Наш центр предлагает помощь экспертов ИП и компаниям разной специализации, помогая добиться необходимого уровня защищенности.