Получить консультацию по Solar Dozor

Обязанности оператора персональных данных прописаны в 152-ФЗ от 27.07.2006, но в общем порядке. Конкретные правила, права использования персональных данных (ПД) оператором устанавливает заключенное с владельцем данных соглашение. Зачастую люди не придают большого значения при подписании соглашения на использование ПД с оператором, открывая тем самым для последнего множество возможностей в работе с личной информацией.

Какие обязанности должен выполнить оператор при сборе и обработке ПД?

  1. Провести информационную работу с носителями персональной информации. Известить владельца о необходимости получения персональных данных, объяснить зачем это нужно. Первоначально необходимо пояснить с какой целью, для чего и как будут использованы ПД. Заключить с владельцем соглашение на использование ПД. В случае отказа от соглашена объяснить, чем это может грозить.

  2. Обеспечить полную конфиденциальность переданных сведений. Для этого передавать вверенные ПД третьей стороне разрешено только в особых случаях и после получения одобрения в письменной форме от владельца. Объяснить сотрудникам, ведущим работу с личной информацией, что она используется только в конкретных целях. Ограничить доступ к данным для лиц не имеющих для этого соответствующих полномочий. Использовать только тот объем сведений, который необходим для решения текущих задач. Проводить регулярный контроль на соответствие информационной защиты на требования законодательства.

  3. Установить круг ответственных лиц, занимающихся ПД. Для этого назначают работников с привилегированными правами доступа, ведущими обработку персональной информации. Для контроля их детальности проводят регулярные проверки с отчетностью по проделанной работе и совершенным действиям.

  4. Принять надлежащие меры информационной защиты. Обеспечиваются путем своевременного выявления потенциальных угроз и разработки способов противодействия им. Задействуют сертифицированные средства информационной защиты. Проводят учет физических носителей информации. Устанавливают права доступа к информации, ведут учёность по совершаемым действиям с ПД. Периодически выполняют проверку системы на взлом и утечки. Оценивают эффективность проведённых мер, дополняют в случае необходимости дополнительными инструментами.

  5. Устранить возможные нарушения при работе с ПД. При выявлении нарушений при обработке и хранении вверенных персональных сведений оператор должен их заблокировать, обеспечить прекращение любых операций, связанных с ними, завершить обработку согласно установленным первоначально целям.

Какая ответственность грозит оператору ПД за невыполнение и нарушение обязанностей?

Не редкость случаи, когда оператор персональной информации пользуясь доверием клиента извлекает дополнительные выгоды для себя или использует ПД не по целевому назначению. Это способно привести к информационным утечкам, нанести ущерб владельцу. Ответственность за нарушение обязанностей оператора ПДн определена в 152-ФЗ от 27.07.2006, трудовом, гражданском, административном, уголовном кодексах РФ. В зависимости от провинности к нарушителю могут быть применены следующие меры:

  • Штраф на сумму 2 000-6 000 рублей для физических лиц, 10 000-20 000 рублей для должностных лиц, 60 000-100 000 рублей для юридических лиц при выявлении факта, что работа с ПД велась в случаях, не предусмотренных законодательством или в несоответствии целям сбора. (ст. 13.11 КоАП РФ)

  • Штраф на сумму 6 000-10 000 рублей для физических лиц, 20 000-40 000 рублей для должностных лиц, 30 000-150 000 рублей для юридических лиц при выявлении факта, что работа с ПД велась без письменного согласия владельца. (ст. 13.11 КоАП РФ)

  • Штраф на сумму 1 500-4 000 рублей для физических лиц, 8 000-20 000 рублей для должностных лиц, 50 000-100 000 рублей для юридических лиц при выявлении факта нарушения конфиденциальности данных приведшее к неправомерному или случайному доступу третьей стороной, а также изменению, уничтожению информации. (ст. 13.11 КоАП РФ)

  • Штраф на сумму до 200 000 рублей или обязательные работы сроком до 360 часов, или принудительные работы на 2 года, либо арест на 2-4 месяца, либо тюремное заключение на 2 года за неправомерный сбор сведений частного лица и их последующее распространение в открытом доступе без согласия владельца. (ст. 137 УК РФ)

Обязанности оператора персональных данных налагают на него большую ответственность, которая регулируется законодательством РФ. Чтобы сохранить вверенные конфиденциальные сведения в неприкосновенности и защитить их от утечки оператору придётся принять комплекс защитных мер организационного, правого, технического характера. Надежным помощником в этом деле станет использование DLP-систем по типу Solar Dozor.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Безопасность данных: что это такое и какие решения существуют

Безопасность данных: что это такое и какие решения существуют

Узнать больше
Авторское право: что это такое и как его защитить

Авторское право: что это такое и как его защитить

Узнать больше
Как обнаружить злоумышленника, который ведет себя нормально

Как обнаружить злоумышленника, который ведет себя нормально

Узнать больше