Что нужно, чтобы закрыть вопрос по требованиям ФЗ-152 «О защите персональных данных»? Заучивать обязанности «оператора» наизусть, ставить дедлайны по сдачи документации (которую нужно составлять) и помечать красным цветом в календаре 12-часовой рабочих день ускоренной подготовки перед проверкой «сверху». Или можно по-другому?
Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ регламентирует работу сбора персональных данных пользователя (далее — ПДн) и отчетности по ней. Следовать требованиям этого федерального закона должны все организации, обрабатывающие персональные данные граждан, с которыми они не связаны трудовым договором, то есть практически любые организации. В большей степени это касается банков, медицинских организаций, органов государственной власти, внебюджетных фондов и других организаций из-за большого объема обрабатываемых сведений.
Организации, работающие с ПДн, как минимум, должны:
Что будет, если нарушить этот закон? В ст.13.11 описано, за какие случаи, связанные с обработкой данных, можно получить штраф. Взыскание достигает 75 тыс. руб. и назначается за каждый случай. Например, если в штате 100 человек, штраф за нарушение может составлять 7 500 000 руб.
Проблема первая – создать документы. Можно ли это сделать самостоятельно? Да, для выполнения работ подобного рода аудиторам необязательно иметь лицензии ФСТЭК или ФСБ, как, например, в случае выполнения аудита кредитных организаций по 382-П.
Однако для этого надо хорошо знать нормативную базу и иметь шаблоны документов, выверенные с юридической точки зрения. По этой причине компании часто предпочитают перепоручить эти обязанности экспертным компаниям на аутсорсинг.
Проблема вторая – поддерживать актуальность этих документов в соответствии с ФЗ-152. Для этого необходимо своевременно переделывать документы в случае:
К тому же при проверке регулятором учитывается не только наличие факта исполнения локальных актов, но и их результативность.
Если компания заказала пакет документов на аутсорсинге, проблем, как правило (в случае квалифицированности консалтинговой компании), не возникает. Пока не вступят в силу новые поправки в закон или не произойдут существенные изменения внутри компании. Более того, многие организации, заказавшие до 2011 года такую услугу, уже сталкиваются с проблемами. В этом году ФЗ обновился, а это значит, что их документация, несмотря на то, что сменилось несколько деталей, уже неактуальна.
Как часто на практике приходится обновлять пакет документов? Примерно 1 раз в год или даже чаще. Хотя, на самом деле, большинство организаций регулярно забывают актуализировать пакет документов по учету персональных данных.
Согласитесь, удобно было бы установить программное обеспечение для автоматического ведения документации и учета ПДн с функцией корректировки, сохранения документов в архивном виде, а также с интеграцией программы с другими системами. Однако, как показывает практика, под нее необходимо переучивать сотрудников компании. По этой причине лучше приобрести дополнение к стандартной программе, интерфейс которой прост, привычен и надежен. Платформа 1С известна с 1991 года и работает на всех более-менее известных ОС. Этой платформой выпущено ПО для расчета заработной платы и учета сотрудников организации — программа «1С: Зарплата и управление персоналом», которой пользуются компании разных масштабов.
Для исполнения почти всех требований № 152 ФЗ «О защите персональных данных» от 27.07.2006 служит конфигурация к «1С:ЗУП» ПО «Учет персональных данных» от компании ARinteg[1]. При установке дополнения не нужно вносить изменения в изначальную конфигурацию, интерфейс программы полностью знаком сотрудникам, которые привыкли работать в «1С:Предприятия». Интеграция с платформой позволяет не переживать за актуальность персональных данных сотрудников.
В программу загружены шаблоны регламентов. По мере обновлений законодательства программа автоматически актуализирует документы. При внутренних изменениях в организации внести правки в исходные документы очень просто путем интеграции через 1С.
Основные функции этого модуля позволят в рамках одной программы:
Помимо этого, программное обеспечение получило сертификацию «1С: Совместимо». Разработчик этого дополнения к конфигурации «1С :Учет персональных данных» — компания ARinteg[2], присутствующая на российском рынке информационной безопасности уже более 25 лет.
Вести документацию самому, рассчитывать на удачу, получить услуги консалтинговой компании или установить дополнение к 1С «ЗУП» — какое бы средство для ведения документации по ПДн выбрано не было, желаем Вам легкой жизни с персональными данными!