В середині минулого року вступив в силу закон про захист персональних даних. Згідно з цим законом, вся робота з персональною інформацією в організації повинна бути регламентована. Кожна організація або індивідуальний підприємець можуть бути перевірені на предмет відповідності їх діяльності законодавству. Забезпечення безпеки персональних даних знаходиться в компетенції чотирьох державних структур: Уряд Російської Федерації, ФСБ, ФСТЕК (Федеральна служба з технічного та експортного контролю) і Роскомнадзор (Федеральна служба з нагляду в сфері зв'язку, інформаційних технологій і масових комунікацій).
Будь-яка перевірка починається з перевірки документації. Які документи потрібно підготувати, щоб не боятися ніякої перевірки?
Головний документ, що регламентує діяльність організації в даній сфері - положення про захист персональних даних (або положення про персональні дані працівників, якщо в організації не використовується інша особиста інформація). Це внутрішній документ, він робиться у вільній формі і визначає порядок зберігання та використання персональних даних в фірмі. Дане положення затверджується керівником підприємства наказом про захист персональних даних і є обов'язковим до виконання всіма співробітниками організації.
На основі Положення повинні бути зроблені всі інші документи щодо захисту персональних даних. В першу чергу - це Наказ про допуск до персональних даних. У ньому перераховуються всі співробітники, що мають право працювати з цими документами. І по кожному прописується, з якими саме документами, вони можуть працювати. Всі співробітники, згадані в наказі, повинні ознайомитися з цим наказом під розпис. Крім того, вони повинні ознайомитися з Положенням і розписатися в листі ознайомлення.
Далі повинна бути розроблена інструкція по захисту персональних даних. У ній детально прописуються правила, які повинні дотримуватися співробітники при роботі з такою інформацією. Рекомендується з кожним із службовців, допущених до особистої інформації, укладати угоду про нерозголошення персональних даних. Хоча в невеликих організаціях, які не спеціалізуються на зборі персональної інформації, зазвичай таких угод не укладають.
Для організацій, які займаються збором та обробкою персональних даних клієнтів, все набагато складніше. Такі організації повинні бути зареєстровані в Роскомнадзоре (уповноваженому органі з захисту прав суб'єктів персональних даних) і бути внесені до реєстру операторів персональних даних. Перед початком збору таких даних ці організації повинні направити в Роскомнадзор повідомлення про обробку персональних даних. У цьому повідомленні потрібно чітко прописати підстави для роботи з особистою інформацією і заходи щодо забезпечення безпеки. Тільки після виконання всіх перерахованих вище дій, керівник організації може бути впевнений, що він виконав усі вимоги законодавства.