Персональные данные. Строим процесс

26.02.2019

Выполнение требований 152-ФЗ «О персональных данных» – это не пакет документов и не технические средства защиты, а непрерывный процесс, требующий вовлеченности всех сотрудников организации.

 С каждым днем в мире увеличивается ценность персональных данных. Если 10 лет назад главным трендом в бизнесе было освоение Интернета, то сейчас для бизнеса задача номер один – это сбор и управление данными, чтобы лучше понимать свою аудиторию и непрерывно адаптировать свои предложения для нее. Джек Ма, основатель интернет-гиганта Alibaba сказал: «Я не понимаю, как сегодня можно зарабатывать деньги без данных. Они чрезвычайно важны для развития общества. В будущем данные будут стоить, как нефть, и мы должны учитывать это уже сейчас».

В ответ на заинтересованность бизнеса собирать и использовать персональные данные государство берет на себя роль регулятора, который отстаивает права субъектов персональных данных. В Российской Федерации обработка персональных данных регулируется 152-ФЗ «О персональных данных». Его действие распространяется на все организации за исключением небольшого количества случаев:

организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

обработки персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Положения закона «О персональных данных» дополняет ряд других нормативных документов: (Положение Правительства №1119, Приказы ФСТЭК №17 и №21, Приказ ФСБ №378 и т.д.). Возникает необходимость в изучении всей нормативной базы (десятки документов), чтобы обеспечить правомерность сбора, обработки и защиты персональных данных. Задача не самая тривиальная, учитывая, что до сих пор есть много спорных моментов и нужно обращаться к практике регулятора.

Инициатива и понимание необходимости соблюдения законов должна исходить от высшего руководства, иначе представители разных отделов чаще всего будут перекладывать обязанности друг на друга. В организации данным вопросом должен заниматься специалист по информационной безопасности, у которого есть соответствующие знания и опыт. Таких специалистов не так много и часто компании привлекают внешних экспертов для решения этой задачи.

На этом этапе очень важно ставить правильные задачи перед проектом, чтобы получить соответствующий результат. Например:

Провести аудит текущего состояния выполнения требований 152-ФЗ «О персональных данных» и выдать рекомендации по устранению несоответствий.

В качестве результата Вы получите срез текущего соответствия требованиям законодательства и при желании нейтрализуете нарушения. Но что будет через год? Или через 3 года? Скорее всего, у Вас снова появятся несоответствия и Вам придется возвращаться к процессу аудита. Это не совсем рационально.

Необходимо зарегистрироваться в реестре операторов, обрабатывающих персональные данные.

Отправка уведомления в Роскомнадзор не является обязательным требованием для всех организаций, так как 152-ФЗ подразумевает ряд исключений, которые перечислены в 22 статье закона. И наличие в реестре операторов персональных данных – это всего лишь одно из многих требований законодательства. Таким образом, подобная постановка задачи не сможет привести к успешному соблюдению закона.

Необходимо построить процесс управления рисками, как для физических лиц, так и для организации, связанными с обработкой персональных данных

Такая задача подразумевает изучение всего жизненного цикла персональных данных в организации, понимание целей, состава и участников обработки персональных данных. При построении этого процесса Вы получите не просто срез текущего соответствия требованиям законодательства, но у Вас появится механизм управления процессом обработки персональных данных в рамках которого и будут отслеживаться изменения в компании, в законодательстве или в практике регулятора. Например, Вы переедете в другой офис, у Вас изменится организационная структура, Вы поменяете свою CRM, или в процессе сбора данных появится новый элемент в виде нового партнера у которого есть требования к организациям и т.д. То же самое касается изменений в законодательстве, выхода новых нормативных документов, новых веяний в практике регулятора. С помощью налаженного механизма Вы сможете оперативно реагировать на подобные изменения в части выполнения требований закона.

Вы своевременно сможете обновлять имеющуюся документацию, корректировать организационные и технические меры. Именно этого требует закон, чтобы Вы постоянно выполняли его требования, а не делали это с определенной периодичностью или вообще только в случае возникновения риска проверки.

Такой подход позволит Вам сохранить гибкость бизнеса, минимизировать риски, связанные с регулятором и проявлять уважение к своим сотрудникам, клиентам и партнерам, показывая высокую этику при работе с их персональными данными.