Многие руководители не понимают необходимости организационно-распорядительной документации при обработке персональных данных субъектов. В этой статье мы попробуем разобраться что это, почему это важно, и насколько это важно.

Защиту персональных данных регламентирует, в основном, 152-ФЗ «О персональных данных». И что характерно, нигде в его тексте ни слова не сказано про обязательный пакет ОРД на предприятии. Необходимость в пакете следует из требований закона, но не напрямую. Например, закон требует на основании статьи 18.1.1 назначить ответственного за обработку персональных данных. И всё. Как это относится к ОРД, ведь про документы там ничего не сказано? А на практике это выливается в приказ по предприятию о назначении ответственного за обработку ПДн, а также в утверждение «Инструкции ответственного за обработку ПДн». Одно требование, а уже два документа, один из которых довольно объемный. Или статья 18.1.5 – оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона. Выливается в «Инструкцию по оценке вреда», бланк «Акта оценки вреда».

Требования закона к ОРД изложены в статьях 18 и 19, но их нужно полностью понять, прочитать максимально подробно, в том числе и между строк, и закрыть даже самое призрачное требование утвержденным документом. Статья 19.1 по сути обязывает защищать персональные данные на основании 21 приказа ФСТЭК, статья 19.2.1, определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, обязывает писать модель угроз согласно методике ФСТЭК, и так далее.

Разобраться со всем этим, особенно с непривычки, без профильного образования, без понимания как думает регулятор и проверяющие, практически невозможно. Достаточно будет сказать, что полный пакет ОРД для обработки ПДн — это около сорока различных документов, которые должны быть приняты, введены в действие, а некоторые даже, такие как «Политика обработки ПДн», размещены в открытом доступе.

Какой вред несет предприятию игнорирование закона и ОРД? Для начала – административные штрафы. Нет «Политики…» в открытом доступе – штраф от 15 до 30 т.р. на юридическое лицо. Обработка ПДн без согласия, или с неправильно оформленным согласием – штраф от 15 до 75 т.р. Это неприятно. Далее следуют репутационные потери. Граждане, субъекты ПДн, очень не любят, когда их данные попадают спамерам и мошенникам, а без должной организации это очень вероятное событие. Ну и самое важное – неорганизованность внутри предприятия. Не понятно где что хранится и кто за что и в каком объеме отвечает.

Теперь стоит сказать о пользе. Главная польза вытекает из главного вреда. Организация. При запуске в работу полного пакета ОРД все становится на учет. Все фиксируется, есть понимание, где какие данные обрабатываются, в каком объеме, где хранятся, кто отвечает за их сохранность. Руководитель предприятия максимально разгружается от ответственности. Более того, система ОРД, с ее учетом, инструкциями и распределением ответственности легко масштабируется на всю систему защиты информации в организации в целом, а это сильно повышает надежность и непрерывность бизнес-процессов. Когда всё организовано и понятно – это очень удобно. Репутационные потери из-за утечки ПДн становятся практически невероятным событием, ведь каждый работник знает, за что отвечает и в каком объеме. Ну и, разумеется, проверяющим и регулятору тоже становится практически не к чему придраться. Это важнее, чем кажется. Уже рассматривается и, очень вероятно, скоро будет введен законопроект, делающий штрафы за нарушение режима обработки ПДн оборотными, до полумиллиарда рублей.

Для введения пакета ОРД на предприятии есть два пути. Делать самим или нанять специалистов со стороны. Самостоятельно – это вполне приемлемый путь, если в организации есть подразделение по защите информации с профильными специалистами, или грамотный юридический отдел. Однако, учитывая общее состояние ИБ в организациях, случай этот слишком редкий, и на практике практически не встречается. Нанять специалистов со стороны может быть более быстрым и выгодным вариантом. Для них это достаточно быстрая работа. Они знают все требования, у них есть наработанная база, они следят за изменениями в законодательстве.

Самое главное, что нужно понять руководителям, это важность ОРД. Важность даже не ради соблюдения закона, а ради организованности ИБ на предприятии. Меры, которые будут приняты в ходе мероприятий по защите ПДн, защитят не только их, но и всю сеть предприятия, а учет данных и конкретизация ответственности спасут от действий нарушителей или некомпетентных пользователей.