Защита данных банковских карт
Узнать больше
Обязанности оператора персональных данных прописаны в 152-ФЗ от 27.07.2006, но в общем порядке. Конкретные правила, права использования персональных данных (ПД) оператором устанавливает заключенное с владельцем данных соглашение. Зачастую люди не придают большого значения при подписании соглашения на использование ПД с оператором, открывая тем самым для последнего множество возможностей в работе с личной информацией.
Какие обязанности должен выполнить оператор при сборе и обработке ПД?
-
Провести информационную работу с носителями персональной информации. Известить владельца о необходимости получения персональных данных, объяснить зачем это нужно. Первоначально необходимо пояснить с какой целью, для чего и как будут использованы ПД. Заключить с владельцем соглашение на использование ПД. В случае отказа от соглашена объяснить, чем это может грозить.
-
Обеспечить полную конфиденциальность переданных сведений. Для этого передавать вверенные ПД третьей стороне разрешено только в особых случаях и после получения одобрения в письменной форме от владельца. Объяснить сотрудникам, ведущим работу с личной информацией, что она используется только в конкретных целях. Ограничить доступ к данным для лиц не имеющих для этого соответствующих полномочий. Использовать только тот объем сведений, который необходим для решения текущих задач. Проводить регулярный контроль на соответствие информационной защиты на требования законодательства.
-
Установить круг ответственных лиц, занимающихся ПД. Для этого назначают работников с привилегированными правами доступа, ведущими обработку персональной информации. Для контроля их детальности проводят регулярные проверки с отчетностью по проделанной работе и совершенным действиям.
-
Принять надлежащие меры информационной защиты. Обеспечиваются путем своевременного выявления потенциальных угроз и разработки способов противодействия им. Задействуют сертифицированные средства информационной защиты. Проводят учет физических носителей информации. Устанавливают права доступа к информации, ведут учёность по совершаемым действиям с ПД. Периодически выполняют проверку системы на взлом и утечки. Оценивают эффективность проведённых мер, дополняют в случае необходимости дополнительными инструментами.
-
Устранить возможные нарушения при работе с ПД. При выявлении нарушений при обработке и хранении вверенных персональных сведений оператор должен их заблокировать, обеспечить прекращение любых операций, связанных с ними, завершить обработку согласно установленным первоначально целям.
Какая ответственность грозит оператору ПД за невыполнение и нарушение обязанностей?
Не редкость случаи, когда оператор персональной информации пользуясь доверием клиента извлекает дополнительные выгоды для себя или использует ПД не по целевому назначению. Это способно привести к информационным утечкам, нанести ущерб владельцу. Ответственность за нарушение обязанностей оператора ПДн определена в 152-ФЗ от 27.07.2006, трудовом, гражданском, административном, уголовном кодексах РФ. В зависимости от провинности к нарушителю могут быть применены следующие меры:
-
Штраф на сумму 2 000-6 000 рублей для физических лиц, 10 000-20 000 рублей для должностных лиц, 60 000-100 000 рублей для юридических лиц при выявлении факта, что работа с ПД велась в случаях, не предусмотренных законодательством или в несоответствии целям сбора. (ст. 13.11 КоАП РФ)
-
Штраф на сумму 6 000-10 000 рублей для физических лиц, 20 000-40 000 рублей для должностных лиц, 30 000-150 000 рублей для юридических лиц при выявлении факта, что работа с ПД велась без письменного согласия владельца. (ст. 13.11 КоАП РФ)
-
Штраф на сумму 1 500-4 000 рублей для физических лиц, 8 000-20 000 рублей для должностных лиц, 50 000-100 000 рублей для юридических лиц при выявлении факта нарушения конфиденциальности данных приведшее к неправомерному или случайному доступу третьей стороной, а также изменению, уничтожению информации. (ст. 13.11 КоАП РФ)
-
Штраф на сумму до 200 000 рублей или обязательные работы сроком до 360 часов, или принудительные работы на 2 года, либо арест на 2-4 месяца, либо тюремное заключение на 2 года за неправомерный сбор сведений частного лица и их последующее распространение в открытом доступе без согласия владельца. (ст. 137 УК РФ)
Обязанности оператора персональных данных налагают на него большую ответственность, которая регулируется законодательством РФ. Чтобы сохранить вверенные конфиденциальные сведения в неприкосновенности и защитить их от утечки оператору придётся принять комплекс защитных мер организационного, правого, технического характера. Надежным помощником в этом деле станет использование DLP-систем по типу Solar Dozor.