главная → ОТРАСЛИ → Малое и среднее предпринимательство → Совет предпринимателей ЕМР → Полезная информация → Памятка

Памятка о выполнении требований 152-ФЗ

27.07.2006 года был принят Федеральный закон о Персональных данных ФЗ-152 (Далее – Закон) в соответствии с Конвенцией Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (ETS №108, 1981г), которую Россия ратифицировала в 2005 году. Операторы персональных данных, а это практически все государственные и коммерческие организации, обязаны выполнить положения настоящего Закона и привести свои информационные системы персональных данных (ИСПДн) в соответствие с предъявляемыми требованиями не позднее 1 июля 2011 года. Кроме этого, необходимо подать уведомление в Роскомнадзор об обработке (о намерении осуществлять обработку) персональных данных в электронном виде.

Законом определены органы, осуществляющие контроль и надзор за выполнением требований по защите персональных данных – ФСБ России, ФСТЭК России, Роскомнадзор.

Неисполнение требований закона может повлечь за собой меры воздействия в виде штрафов от 5 до 500 тысяч рублей, а также в виде административной и уголовной ответственности руководства компании-оператора персональных данных. Вся ответственность за невыполнение 152-ФЗ «О персональных данных» возлагается на руководителя предприятия.

Основные шаги, которые должны предпринять предприятия, обрабатывающие персональные данные (сотрудников, клиентов, партнеров):

1.      Определить класс систем, в которых обрабатываются персональные данные. В зависимости от класса предъявляются соответствующие требования к средствам защиты персональных данных.

2.      Подготовить и направить в адрес Роскомнадзора уведомление о намерении осуществлять обработку персональных данных. Утвержденная форма уведомления направляется в региональное отделение за подписью руководителя организации.

3.      Разработать внутреннюю нормативно – распорядительную документацию по защите персональных данных на предприятии. В пакет документации должны входить приказы, положения, регламенты, инструкции, регулирующие обработку персональных данных на предприятии.

4.      Спроектировать, разработать и внедрить систему защиты персональных данных (СЗПДн). Данный вид работ, как правило, выполняется специализированными компаниями, имеющими соответствующие компетенции и лицензии в области защиты конфиденциальной информации.

5.      Провести аттестацию (для государственных учреждений), либо декларирование соответствия внедренной системы защиты персональных данных. Аттестацию проводит организация, имеющая для этого соответствующие лицензии. Декларирование соответствия оператор может осуществлять самостоятельно.

Практика показывает, что на выполнение всех требований Федерального закона 152-ФЗ «О персональных данных» необходимо от 2 до 6 месяцев.

Неисполнение требований ФЗ-152 «О персональных данных» влечет для бизнеса компании также риски следующего характера:

·           Гражданские иски со стороны клиентов или работников.

·           Приостановление действия или аннулирование лицензий на основной вид деятельности компании.

·           Риски недобросовестной конкуренции (приостановление деятельности компании с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных).