Вопрос: У нашего предприятия нет финансовых возможностей для установки средств защиты информации, является ли это нарушением закона "О персональных данных"? Возможно ли ограничиться выполнением нижеописанных мероприятий?
- Определение классов информ. систем и моделей возможных угроз безопасности (издание приказа о создании комиссии по классификации, комиссия проводит классификацию подписывает акт)
- Установление прав, полномочий, обязанностей сотрудников, имеющих доступ к ПД (Положение об обработке пд, приказ об утверждении списка лиц, имеющих доступ к пд, приказ о назначении ответственных за обработку пд, приказ о допуске к работе с информационной системой 1С, обязательство о неразглашении пд, Инструкция по хранению личных дел)
- Подписание с работниками согласия на обработку пд
- Подача в Роскомнадзор уведомления об обработке ПД
Ответ: Согласно Федеральному закону от 27 июля 2006 года N 152-ФЗ «О персональных данных» Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Выполненные Вами меры соответствуют требованиям закона, но не в полном объеме, который предусмотрен части 2 ст.19 данного закона.