Бухгалтеру и не только

Мы открываем новую рубрику и надеемся на ваше участие в ней, уважаемый читатель. В рамках наших с вами общений вы получите ответы на вопросы, вашему вниманию будут предложены интересные решения возникающих вопросов в бухгалтерском и налоговом учете. Итак, сегодня предлагаем вам ознакомиться с основами защиты персональных данных.

Вот уже больше года, как закон о защите персональных данных работает в полной мере, без каких-либо оговорок и исключений. Контролирующие органы активно подключились к проверкам по соблюдению закона и не скупятся на штрафы.
Ответственность за нарушение в сфере охраны персональных данных законодатель отнес к административной. Заглянув в Кодекс об административных правонарушениях, увидим, что штрафы составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее руководителя, если в нарушении есть его вина (статья 13.11 КоАП РФ).
Проблема защиты персональных данных (далее ПДн) не является новой, она встала в 2009-2010 годах в связи с поэтапным вступлением в действие Федерального закона от 27.07.2006 №152-ФЗ «О защите персональных данных». Защита ПДн актуальна для большинства российских организаций, осуществляющих обработку персональных данных сотрудников и партнеров.
Основной задачей защиты персональных данных является определение и рекомендации по организации и проведению мероприятий по защите ПДн, а также разработка организационно-технической документации.
Мероприятия по организации безопасности персональных данных позволяют сохранить информацию от несанкционированного доступа посторонних лиц, а также упорядочить процесс ее учета и хранения.
Система защиты персональных данных представляет собой совокупность организационных и технических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомерных действий с ними.
В организации необходимо назначить должностное лицо, ответственное за обеспечение безопасности персональных данных.
Основные задачи системы защиты ПДн:
— защита от вмешательства к персональным данным посторонних лиц;
— разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам системы;
— регистрация действий пользователей системы ресурсов данных;
— контроль целостности среды исполнения программ и ее восстановление в случае нарушения;
— защита от несанкционированной модификации используемых информационных систем ПДн;
— своевременное выявление источников угроз безопасности ПДн.
Контроль за соблюдением режима персональных данных возложен на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
По данным Роскомнадзора, всего с момента возложения на эту организацию полномочий по контролю и надзору за соответствием обработки персональных данных требованиям Российской Федерации, проведено 3307 проверок.
Результатом этих проверок стали более чем 4500 предписаний об устранении выявленных нарушений и 7591 протоколов об административных нарушениях.
В 2011 году проведено 1743 проверки. При этом количество плановых и внеплановых (т.е. тех, которые проводятся по жалобам) проверок примерно равно 954 и 789 соответственно. Количество жалоб, поступающих от граждан и организаций, постоянного растет – с 465 в 2009 году до 3240 на 26 декабря 2011 года.
По результатам проверок в 2011 году в прокуратуру передано около 900 материалов. Возросли и штрафы. Так с 2007 по 2009 год к административной ответственности было привлечено всего 37 организаций и взыскано административных штрафов на общую сумму чуть менее 22 тысяч рублей. В 2011 году эта сумма составила около 12 миллионов рублей. Средний размер штрафа составляет 3-5 тысяч рублей.
Чтобы избежать штрафов, каждая организация должна выполнять требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», если у нее есть хотя бы один работник.
Первое, что хотят увидеть проверяющие, — это приказ руководителя о назначении ответственного за работу с персональными данными и обеспечения их защиты.
Далее потребуется утвердить документ, содержащий перечень персональных данных, которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации. В перечне должны присутствовать документы, содержащие сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики, военкомат). Трудоемкость защиты персональных данных напрямую зависит от степени важности обрабатываемых сведений. Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категории информации, которые подлежат более надежным средствам защиты, чем данные, идентифицирующие личность. Поэтому анализ составленного перечня и исключение из него данных, не являющихся, безусловно, необходимыми в деятельности организации, позволит существенного удешевить систему защиты персональных данных.
Следующий этап работы – это подготовка и утверждение списка лиц, допущенных к работе с персональными данными.
И, наконец, документ, который надо подготовить и утвердить – Положение о работе с персональными данными. В нем нужно детально прописать все требования к получению, хранению, комбинированию, передаче и любому использованию персональных данных, а также гарантии по их защите.
Вот мы и выполнили задачу данной заметки – нацелить все организации на проведение полной работы по выполнению требований Федерального закона от 27.07.2006 №152-ФЗ «О защите персональных данных».

Людмила Кравчик – директор ООО «НовочеркасскАудит-93».