Приведение в соответствие обработки персональных данных

Приведение в соответствие обработки персональных данных требованиям законодательства, включая: проведение аудита, разработку ОРД, проектирование системы защиты, обучение персонала, сопровождение проверок, консультационную поддержку

C 27 июля 2006 федеральный закон №152 «О персональных данных» регулирует обработку персональных данных в России. Помимо этого, при обработке персональных данных работников также применяется 14 глава Трудового кодекса.

1 сентября 2015 вступили в силу изменения в 152-ФЗ, предполагающие локализацию баз персональных данных российских граждан на территории России.

Российское законодательство конкретизирует конвенцию №108 Совета Европы. В отношении международных компаний может применяться общий регламент о защите персональных данных.

Постановления правительства устанавливают порядок обработки и обеспечения безопасности персональных данных

Нормативные документы ФСТЭК и ФСБ устанавливают требования к защите персональных данных

Принципы

  • Чёткие, заранее определенные цели обработки ПДн
  • Все действия с персональными данными должны соответствовать целям
  • Наличие законных оснований (согласие, договор, закон, и т.д.)
  • Содержание и объем ПДн должны быть минимизированы с учетом цели обработки
  • ПДн должны уничтожаться сразу по достижению цели обработки
  • Обеспечивать безопасность и конфиденциальность персональных данных
  • Главное – соблюдение прав субъектов ПДн

Определения

Персональные данные
любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Оператор персональных данных
государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Обработка персональных данных
любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Что должен сделать оператор?

  • Выявить потоки обрабатываемых данных, определить цели и сроки обработки, обеспечить законность обработки (получить согласия)
  • Определить используемые для обработки информационные системы
  • Регламентировать передачу персональных данных третьим лицам
  • Разработать необходимую документацию и опубликовать политику в отношении обработки персональных данных
  • Обеспечить безопасность и конфиденциальность
  • Проинструктировать персонал
  • Подать уведомление

Что будет, если не сделать?

  • Штраф до 300 тысяч ₽ в соответствии со ст. 13.11 КоАП РФ и предписание об устранении нарушения в краткие сроки
  • Блокировка сайта в соответствии с ст. 15.5 149-ФЗ
  • Негативное освещение в СМИ деятельности оператора

Необходимо отметить, что компании, нарушающие GDPR, могут быть оштрафованы на сумму до 20 миллионов €, либо 4% от мирового годового оборота.

А что делают другие?

C 2006 года около 400 000 операторов подали уведомление

Ежегодно Роскомнадзор проводит около 100 плановых и внеплановых проверок.

Более 30 000 жалоб поступает ежегодно на операторов персональных данных в адрес Роскомнадзора.

Наши услуги

Чаще всего к нам обращаются за следующими услугами:

  • Оценка (аудит) соответствия
  • Разработка документации по вопросам организации надлежащей обработки
  • Тренинги для персонала, вовлечённого в обработку
  • Обучение рабочей группы
  • Подготовка и сопровождение проверки Роскомнадзора
  • Консультационная поддержка
  • Техническая защита персональных данных

Также наши клиенты назначают нас в качестве ответственного лица за организацию обработки персональных данных.

Наши клиенты

Мы работаем преимущественно с крупным иностранным бизнесом в России.

pfizer
astellas
mosoblgaz
bsh
repsol
man
volkswagen
enka

Опыт выполненных проектов по персональным данным с 2009 года.

Проектная команда обладает высочайшей экспертизой, имеет опыт успешного прохождения проверок Роскомнадзора. Высокое качество работы подтверждается отзывами и рекомендациями заказчиков.

Обратитесь к нам

Вы можете распечатать эту страницу и использовать её в качестве справочного материала.

Мы проводим презентации по практике прохождения проверок Роскомнадзора, во время которых раскрываем секреты успешного прохождения проверок, рассказываем об особенностях выполнения требований законодательства и минимизации расходов на техническую защиту персональных данных.