Одним из приоритетных направлений деятельности Центра «Эксперт» является создание комплексной системы защиты персональных данных.
«Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных…» ст. 19 ФЗ «О персональных данных».
Данное положение закона породило и закрепило развитие целого рынка технической защиты персональных данных. Большинство предложений в этой сфере базируется вокруг установки необходимых средств защиты и формирования пакета документов.
Однако, если подробно разобрать требования законодательства, мы увидим целый ряд важных вопросов, которые невозможно урегулировать только установкой средств защиты и формированием пакета документов.
Легче всего это можно увидеть из нормы статьи 13.11 Кодекса об Административных правонарушениях РФ, которая предусматривает ответственность за «нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)».
То есть, вас накажут не только за плохую защиту персональных данных, но и за нарушение порядка обработки!!! Соответственно и Роскомнадзор проверяет именно порядок и законность обработки персональных данных. Особенно ясно это видно из практики проверок, с которой можно ознакомиться на сайте регулятора. Объем такой обработки довольно большой в каждой организации:
а) с использованием средств автоматизации – кадровые и бухгалтерские информационные системы (1С и т.д.), базы данных клиентов, пациентов, пассажиров, системы контроля и управления доступом и т.д.
б) без использования средств автоматизации – личные дела, журналы на проходной, истории болезней и т.д.
В этой связи, специалисты Центра «Эксперт» не только защищают персональные данные, но и помогают организовать законный порядок обработки персональных данных.
Основное преимущество нашего подхода в том, что выполнение требований законодательства в вашей организации мы начинаем с определения правовой основы обработки персональных данных. Можно поставить эффективные средства защиты, потратив большое количество денег, и это все будет впустую, если, например, объем обрабатываемых вашей организацией данных превышает объем, установленный целями обработки.
Формальное выполнение всех требований законодательства о персональных данных часто приводит к большим затратам, поэтому для наших клиентов мы всегда стараемся найти законные способы их оптимизации.
В рамках создание системы защиты персональных данных осуществляются следующие мероприятия:
- подготовка проектов документов, требуемых законодательством;
- внесение изменений в локальные документы и типовые договоры заказчика (по необходимости);
- установление уровней защищенности информационных систем персональных данных;
- моделирование угроз безопасности в информационных системах;
- проектирование системы защиты персональных данных;
- поставка, установка и настройка сертифицированных средств защиты информации;
- аттестация информационных систем;
- подготовка отчетных документов, подтверждающих соответствие созданной системы защиты информации требованиям законодательства.