Разработка организационно-распорядительных документов (ОРД) – один из этапов подготовки к соблюдению ФЗ №152. Является прямой обязанностью оператора (лицо или компания, которая оперирует конфиденциальными данными).
ФЗ №152 требует получение документированного согласия от владельца на работу с конфиденциальными данными. Все это требуется подтверждать документально перед РКН (Роскомнадзор).
Если не соблюдать эти нормы, то это нарушение ФЗ. Влечет административную ответственность, а также обязанность компенсировать ущерб, нанесенный всем пострадавшим лицам.
Что включает в себя пакет документов ОРД
ОРД по защите персональных данных включает:
- Пользовательские соглашения. В письменном или цифровом виде. С обязательной фиксацией, когда и кем заявленные условия были приняты, какие действия доступны при работе с ПДн. Бывают и комбинированные соглашения: одновременно в письменном и цифровом виде, а ещё в форме публичной оферты.
- Политика конфиденциальности. Чаще публикуют в форме открытой публичной оферты. Документ готовят в электронном виде, заверяют через ЭЦП и хранят на сервере компании. Обязательно наличие ключа, по которому определяют, когда был создан и загружен файл.
- Правила взаимодействия с ПДн. Список действий, которые оператор может выполнять при работе с ПДн. Там же указываются операции, которые запрещено выполнять. Или ссылки на конкретные нормы ФЗ №152 по защите персональной информации в РФ.
- Согласие на обработку ПДн. Если выполняется сбор разных типов информации, то соглашений потребуется несколько. Отдельно для публичной, для биометрической и прочей.
- Согласие на использование ПДн в коммерческих целях (если нужно). Компании часто собирают информацию в маркетинговых целях. Для изучения клиентской базы или для разработки методов модернизации защиты ИСПДн предприятия. Для таких действий нужно дополнительное соглашение от оператора.
- Журнал обращений к ПДн. В электронном или письменном виде. В нем фиксируются все факты получения доступа к ПДн, обработки и изменения конфиденциальной информации. И по каждому случаю определяется ответственный.
- Приказы об инициировании уничтожения корпоративных документов. Тех, которые содержат конфиденциальную информацию и их требуется уничтожать по ФЗ №152.
- Иные документы по информационной безопасности. Как внутренние, так и внешние.
Часть из перечисленных документов относятся к внутренней корреспонденции, поэтому готовятся правила по взаимодействию с ними, хранению, ликвидации и передаче в архив.
Для чего нужны документы
Разработка документов 152 ФЗ — это требование со стороны РКН. Несоблюдение норм влечет за собой получение постановления об устранении выявленных ошибок и административный штраф.
Этапы подготовки ОРД
Подготовка организационно распорядительных документов делится на следующие этапы:
- Изучение документации, которая используется при взаимодействии с ИСПДн.
- Формирование документов для работы базы, платформы, используемой оператором. Если применяются множество программных, аппаратных комплексов – это тоже учитывается.
- Формирование документов для соблюдения юридических норм «заказчика», который будет использовать собранную, переработанную информацию.
- Создание соглашений о неразглашении для сотрудников.
- Создание соглашения для владельцев персональной информации, которые передают данные в ИСПДн.
- Разработка документальной базы для получения и взаимодействия с обращениями владельцев персональной информации.
- Подготовка иных документов.
Список ОРД для каждой компании — индивидуален. Зависит от специфики работы компании, от того, сбор какой информации производится, от уровня риска по компрометации.
Что будет без ОРД
Работа с ИСПДн без ОРД — это законодательное нарушение. Операции с конфиденциальной информацией без должной документальной базы — это посягательство на права владельца ПДн.
Не имея соглашения на обработку ПДн, каждое действие оператора — это новое нарушение. Если ПДн будут скомпрометированы, то оператор несет финансовую ответственность за все последствия. Как материальные, так и репутационные.
Сколько стоит разработка ОРД
Стоимость зависит от объема ИСПДН и точек взаимодействия с персональной информацией. Влияет и политика компании, точнее — список действий, которые планируется выполнять с ПДН.
Если клиент обращается в нашу компанию, то для него предварительно готовится смета по каждому пункту ОРД.
Итоговая цена фиксируется в договоре. Это позволяет планировать расходы предприятия, рассчитать расходы для следующего отчетного периода.
Что мы предлагаем
Наша компания специализируется на защите по ИСПДН, на организацию работы компании с соблюдением ФЗ №152. Помимо разработки документов ФЗ 152 для предприятия, мы оказываем следующие услуги:
- Проведение независимого аудита с целью определить, выполняет ли предприятие все требования и нормативы ФЗ №152.
- Разработка модели угроз, выявление, устранение уязвимостей.
- Модернизация уже действующей системы защиты и безопасности. Аппаратные, программные комплексы.
- Аттестация по ИСПДН.
- Подготовка предприятия к прохождению аудита РКН.
- Оценка уровня защищенности персональной информации. Клиент получает отчет с описанием всех выявленных уязвимостей, рекомендаций по их устранению.
Работаем по всей РФ, в том числе в дистанционном режиме. Поэтому обращаться к нам могут клиенты из любых городов, регионов.