Правила работы с персональными данными регламентированы 152-ФЗ, а операторы ПДн обязаны обеспечивать их конфиденциальность и предотвращать утечки. Чтобы избежать штрафов, необходимо правильно организовать процесс обработки данных. В статье 18.1 152-ФЗ указаны основные требования, которые должен соблюдать оператор:
1. Компания обязана утвердить документы, регламентирующие работу с ПДн. Отсутствие таких документов грозит штрафами как для должностных лиц, так и для организации или ИП. В ЛНА необходимо прописать:
- правила обработки, хранения и использования ПДн;
- перечень ответственных сотрудников, имеющих доступ к данным;
- список документов, содержащих персональные данные;
- порядок передачи сведений внутри компании и третьим лицам;
- меры дисциплинарной ответственности за нарушение правил.
2. Работодатель должен назначить сотрудника, отвечающего за организацию всех процессов обработки данных. Он определяет, кто может получить доступ к ПДн, и контролирует соблюдение требований безопасности. Доступ к данным должен быть ограничен, а все сотрудники, работающие с ПДн, обязаны подписать соглашение о неразглашении.
3. Оператор обязан разрабатывать формы согласия на обработку данных, соответствующие требованиям 152-ФЗ. Только после получения согласия можно собирать и использовать персональные сведения.
4. Направить в Роскомнадзор уведомление о том, что оператор намерен обрабатывать персональные данные сотрудников или клиентов.
Также важно позаботиться о правильном хранении и защите персданных.
Как хранить информацию ― зависит от того, каким способом она обрабатывается. Например, если используются автоматизированные способы ― следует соблюдать требования Приказа ФСТЭК №21 от 18.02.2013 года. То есть периодически изменять пароли, ограничить доступ к базам данных. При ручной обработке, когда ПДн хранятся на бумажных носителях, следует позаботиться о правильной организации мест для хранения информации, а также оборудования помещения системами сигнализации и видеонаблюдения.