Экспертиза

22
апреля
2021 год

Гайд от ARinteg: Как просто решить вопрос отчетности по №152 ФЗ «О защите персональных данных»

Arinteg

Что нужно, чтобы закрыть вопрос по требованиям ФЗ-152 «О защите персональных данных»? Заучивать обязанности «оператора» наизусть, ставить дедлайны по сдачи документации (которую нужно составлять) и помечать красным цветом в календаре 12-часовой рабочих день ускоренной подготовки перед проверкой «сверху». Или можно по-другому?

Кому нужно отчитываться согласно ФЗ-152?



Image:Кому_нужно_отчитываться_согласно_ФЗ-152.jpg

Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ регламентирует работу сбора персональных данных пользователя (далее — ПДн) и отчетности по ней. Следовать требованиям этого федерального закона должны все организации, обрабатывающие персональные данные граждан, с которыми они не связаны трудовым договором, то есть практически любые организации. В большей степени это касается банков, медицинских организаций, органов государственной власти, внебюджетных фондов и других организаций из-за большого объема обрабатываемых сведений.

Организации, работающие с ПДн, как минимум, должны:

  • назначать ответственных лиц за обработку ПДн;
  • издавать локальные акты по вопросам обработки персональных данных;
  • создавать локальные акты для регламентации процедуры предотвращения и определения нарушений в области ПДн;
  • проводить внутренний контроль обработки персональных данных.

Что будет, если нарушить этот закон? В ст.13.11 описано, за какие случаи, связанные с обработкой данных, можно получить штраф. Взыскание достигает 75 тыс. руб. и назначается за каждый случай. Например, если в штате 100 человек, штраф за нарушение может составлять 7 500 000 руб.

Основные трудности ведения отчетности



Image:Основные_трудности_ведения_отчетности.jpg

Проблема первая – создать документы. Можно ли это сделать самостоятельно? Да, для выполнения работ подобного рода аудиторам необязательно иметь лицензии ФСТЭК или ФСБ, как, например, в случае выполнения аудита кредитных организаций по 382-П.

Однако для этого надо хорошо знать нормативную базу и иметь шаблоны документов, выверенные с юридической точки зрения. По этой причине компании часто предпочитают перепоручить эти обязанности экспертным компаниям на аутсорсинг.

Проблема вторая – поддерживать актуальность этих документов в соответствии с ФЗ-152. Для этого необходимо своевременно переделывать документы в случае:

  • смены ответственных лиц или их должностей;
  • изменений в нормативной базе, из-за чего нужны новые шаблоны основных документов по ПДн;
  • модернизации информационных систем, в которых хранятся данные;
  • изменений в составе технических средств защиты информации (СЗИ).

К тому же при проверке регулятором учитывается не только наличие факта исполнения локальных актов, но и их результативность.

Заказ пакета документов на аутсорсинге — в чем подвох?



Image:Заказ_пакета_документов_на_аутсорсинге_—_в_чем_подвох.jpg

Если компания заказала пакет документов на аутсорсинге, проблем, как правило (в случае квалифицированности консалтинговой компании), не возникает. Пока не вступят в силу новые поправки в закон или не произойдут существенные изменения внутри компании. Более того, многие организации, заказавшие до 2011 года такую услугу, уже сталкиваются с проблемами. В этом году ФЗ обновился, а это значит, что их документация, несмотря на то, что сменилось несколько деталей, уже неактуальна.

Как часто на практике приходится обновлять пакет документов? Примерно 1 раз в год или даже чаще. Хотя, на самом деле, большинство организаций регулярно забывают актуализировать пакет документов по учету персональных данных.

Своими силами: Дополнение к 1C от ARinteg



Image:Дополнение_к_1C_от_ARinteg_вариант_с_лого.png

Согласитесь, удобно было бы установить программное обеспечение для автоматического ведения документации и учета ПДн с функцией корректировки, сохранения документов в архивном виде, а также с интеграцией программы с другими системами. Однако, как показывает практика, под нее необходимо переучивать сотрудников компании. По этой причине лучше приобрести дополнение к стандартной программе, интерфейс которой прост, привычен и надежен. Платформа известна с 1991 года и работает на всех более-менее известных ОС. Этой платформой выпущено ПО для расчета заработной платы и учета сотрудников организации — программа «1С: Зарплата и управление персоналом», которой пользуются компании разных масштабов.

Для исполнения почти всех требований № 152 ФЗ «О защите персональных данных» от 27.07.2006 служит конфигурация к «1С:ЗУП» ПО «Учет персональных данных» от компании ARinteg[1]. При установке дополнения не нужно вносить изменения в изначальную конфигурацию, интерфейс программы полностью знаком сотрудникам, которые привыкли работать в «1С:Предприятия». Интеграция с платформой позволяет не переживать за актуальность персональных данных сотрудников.

В программу загружены шаблоны регламентов. По мере обновлений законодательства программа автоматически актуализирует документы. При внутренних изменениях в организации внести правки в исходные документы очень просто путем интеграции через 1С.

Основные функции этого модуля позволят в рамках одной программы:

  • вести реестр ответственных за обработку ПДн сотрудников;
  • создавать комиссии, определять уровни защищенности ПДн;
  • регламентировать трансграничную передачу данных;
  • проводить учет доступа в помещения, где происходит хранение и обработка ПДн;
  • вести работы с ПДн одновременно в нескольких организациях и подразделениях;
  • фиксировать запросы на ознакомление с ПДн, уточнения, уничтожения и перемещения ПДн;
  • хранить инструкции на парольной либо антивирусной защите;
  • обрабатывать запросы контролирующих органов.

Помимо этого, программное обеспечение получило сертификацию «1С: Совместимо». Разработчик этого дополнения к конфигурации «1С :Учет персональных данных» — компания ARinteg[2], присутствующая на российском рынке информационной безопасности уже более 25 лет.

Вести документацию самому, рассчитывать на удачу, получить услуги консалтинговой компании или установить дополнение к 1С «ЗУП» — какое бы средство для ведения документации по ПДн выбрано не было, желаем Вам легкой жизни с персональными данными! 

Источник: tadviser.ru


Вернуться к списку экспертиз

Подписаться

Подпишитесь на нашу рассылку, чтобы быть в курсе новостей АБИСС