К чему сводится обеспечение соответствия ФЗ-152 "О персональных данных"?

Законы пишутся на бумаге, порождая множество производных бумаг. Обеспечение соответствия закону - это, прежде всего, написание большого количества новых бумаг, особенно, если это касается обеспечения безопасности. Подсчитано, что для обеспечения соответствия ФЗ-152 "О персональных данных" оператору требуется разработать и ввести в действие в среднем около 40 новых документов. Примерно на те же цифры мы выходим и в случае обеспечения соответствия ISO 27001.

У бумаг тоже существует своя иерархия, своя степень важности и востребованности. Расскажем здесь о самой важной бумаге для оператора ПДн и ее кратком содержании. Для этого приведем краткий перечень основных обязанностей оператора ПДн. Их не так много:

• определить цели и содержание обработки персональных данных (ст. 3, п. 2)
• обеспечить конфиденциальность ПДн (ст. 7, п. 1), за исключением обезличенных и общедоступных ПДн
• соблюдать базовые принципы обработки ПДн, определяемые законодательством (ст. 5)
• получить согласие субьектов на обработку ПДн (ст. 6, п. 1), за исключением случаев, когда обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных и ряда других случаев
• предоставить доказательства согласия субъекта на обработку его ПДн (ст. 9, п. 3), для этого желательно получать письменное согласие по определяемой законом форме (ст. 9, п. 4)
• если персональные данные были получены не от субъекта персональных данных ...  предоставить субъекту персональных данных информацию об их обработке, определяемую в законе (ст. 18, п. 3)
• предпринимать меры по обеспечению безопасности ПДн, определяемые Правительством РФ (ст. 19)
• до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ст. 22, п. 1) за исключением случаев, предусмотренных законом
• в случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке (ст. 6, п. 4)

Это основные обязанности. Кроме них есть еще более специфичные обязанности, связанные с трансграничной передачей ПДн, предоставлением или уничтожением ПДн по требованию субъекта и ньюансы, связанные с обработкой специальных категорий ПДн.

Поэтому, для того чтобы соответствовать требованиям ФЗ-152, понимать как и в чем вы соответствуете и быть способным продемонстрировать свое соответствие, каждому оператору ПДн следует разработать специальный документ под названием "Положение об обработке персональных данных в организации" (называться может и по другому, но суть от этого не меняется), в котором простым человеческим языком, подробно, с конкретизацией по каждой идентифицированной ИСПДн, описать каким образом в организации выполняется каждый из перечисленных выше пунктов.

Положение об обработке персональных данных - самая важная бумага для оператора ПДн. С ее написания должна начинаться и ей должна заканчиваться любая деятельность по обеспечению соответствия ФЗ-152.

20-07-2010  | Permalink |  Comments (0)