Пишем Политику компании в отношении обработки персональных данных (Часть 4)

Меры по обеспечению безопасности при обработке персональных данных

(формулировки из ФЗ-152, главы 4, статьи 19, части 1)

При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

(формулировки из ФЗ-152, главы 4, статьи 19, части 2)

Обеспечение безопасности персональных данных достигается в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные  Правительством Российской Федерации уровни защищенности персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данных и принятием мер по исключению такого в дальнейшем;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

- организацией контроля доступа в помещения, в которых ведётся обработка персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

(для банков формулировки из СТО БР ИББС-1.0-2014, статьи 7.10.9.)

При работе с материальными носителями персональных данных Оператором предусмотрены следующие меры защиты персональных данных:

- обособление персональных данных от иной информации, в частности, путём фиксации их на отдельных съёмных носителях персональных данных, в специальных разделах или на полях форм документов (при обработке персональных данных на бумажных носителях);

-  учёт съёмных носителей персональных данных;

- установление, выполнение и контроль выполнения порядка хранения съёмных, в том числе машинных, носителей персональных данных и доступа к ним;

- хранение персональных данных, цели обработки которых заведомо несовместимы, на отдельных съёмных носителях;

- регистрация и учёт мест хранения материальных носителей персональных данных с фиксацией категории обрабатываемых персональных данных (специальные категории персональных данных, персональные данные, полученные из общедоступных источников, или иные персональных данных) включая раздельное хранение ресурсов персональных данных, обработка которых осуществляется с различными целями;

- назначение работников, ответственных за организацию хранения материальных носителей персональных данных;

- установление и выполнение порядка уничтожения (стирания) информации с машинных носителей персональных данных.

Ответственность за нарушение требований Федерального закона “О персональных данных»

(формулировки из ФЗ-152, главы 5, статьи 24, части 1)

Лица, виновные в нарушении требований Федерального закона “О персональных данных”, несут предусмотренную законодательством Российской Федерации ответственность.

(формулировки из ФЗ-152, главы 5, статьи 24, части 2)

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом “О персональных данных”, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом “О персональных данных”, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Заключительные положения

Настоящая Политика является внутренним документом Оператора, является общедоступной и подлежит размещению на официальном сайте Оператора;

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации и специальных нормативных документов по обработке и защите персональных данных.

(Часть 1, часть 2, часть 3)