Хранение персональных данных в организации

Обеспечение соответствия процессов обработки персональных данных в организации регламентируется Конституцией, ФЗ-152, ФЗ-149, Трудовым Кодексом и другими нормативными актами, предполагая усиление контроля над обрабатываемыми данными путем их идентификации, анализа источников обрабатываемой информации, контроля уровня риска и применяемых мер защиты.

Внутренние правила хранения ПД

В любой компании, которая собирает персональные данные, должен быть разработан специальный документ, в котором предусмотрены:

  • общие положения;
  • способы выявления и профилактики несанкционированного доступа и распространения персональных данных;
  • цели обработки;
  • содержание личной информации, подлежащей хранению;
  • категории субъектов;
  • сроки обработки и хранения данных;
  • механизм уничтожения данных;
  • ответственность за нарушение правил.

Особенности хранения персональных данных (ПД)

  • Определение и применение соответствующих мер безопасности к типу персональных данных, обрабатываемых в его организации, основано на анализе рисков. Оценка риска происходит в контексте безопасности физического лица (т.е. мы анализируем последствия утечки, кражи или несанкционированной обработки данных). Мы определяем, какие потенциальные угрозы могут возникнуть в результате таких инцидентов, и применяем соответствующие технические и организационные меры безопасности.
  • В случае проверки компания должна быть в состоянии доказать и продемонстрировать, что на основе проведенного анализа рисков внедрены надлежащие меры безопасности, адаптированные к виду деятельности и к предвиденным угрозам. Меры, используемые для обеспечения безопасности, должны систематически проверяться и обновляться посредством проверок безопасности.
  • При анализе процессов обработки персональных данных в организации важно не допускать копирования и выноса за пределы зоны обработки целых баз данных и использования частных внешних носителей информации, не зарегистрированных в технических ресурсах организации. Стоит позаботиться о применении технических мер безопасности для предотвращения создания несанкционированных копий персональных данных (это может быть, например, программная блокировка портов на компьютерах отдельных пользователей). И обрабатываемые персональные данные должны быть целостными, и вся система обработки данных должна быть защищена от несанкционированного доступа, как IT-система, так и традиционная бумажная система.
  • Обрабатываемые оператором персональные данные в организации должны быть доступны по мере необходимости, но только уполномоченным лицам и только в рамках разрешений предоставленных прав доступа (обязательным является подписание работником соглашения о неразглашении конфиденциальной информации). Никакой сбой не может предотвратить защиту доступа к этим данным.

Основным способом выполнения этих требований является систематическое создание резервных копий информации и персональных данных, обрабатываемых в организации. Оператор должен обеспечить безопасное хранение созданных резервных копий. Они должны храниться в отдельной комнате от сервера, на котором они созданы. Важно систематически тестировать сохраненные резервные копии не реже одного раза в год. Поэтому организации следует разработать политику создания хранилища и тестирования резервных копий.

Эффективная система хранения ПД

В вашей компании создана эффективная система хранения персональных данных, если:

  • В Роскомнадзор подана заявка о том, что ваша компания является оператором персональных данных;
  • Уровень защиты информации достаточно высокий по сравнению с актуальными угрозами;
  • Все сотрудники компании, которые работают с персональными данными клиентов/поставщиков/заказчиков, подписали документ о неразглашении;
  • Работники компании дали согласие на совершение операций с личными сведениями;
  • Разработанный внутри компании документ в части работы с персональными данными соответствует федеральному законодательству и донесен до персонала под подпись;
  • Разработаны формы согласия на обработку персональных данных;
  • Вы работаете с персональными данными в соответствии с законодательно установленными правилами и регулярно проводите аудит.