Найти в Дзене
Сергей Воробьев | Информационная безопасность бизнеса
3 подписчика

Как у Вас с защитой персональных данных? Какие меры необходимо принять в каждой компании?

2
12 мин
Принятый почти 17 лет назад Федеральный закон от 27.06.06 № 152 «О персональных данных» (далее – закон № 152-ФЗ) накладывает определенные обязательства на каждую компанию, обрабатывающую персональные данные (далее – ПДн) физических лиц. Однако большинство компаний не спешат предпринимать требуемые меры по защите персональных данных. Так, в настоящее время в реестре операторов персональных данных числится чуть больше 175 тыс. операторов (то есть тех, кто подал уведомление в Роскомнадзор), тогда как в ЕГРЮЛ зарегистрировано около 4,5 млн юридических лиц. Выжидательная позиция большинства операторов ПДн объясняется, во-первых, распространенным заблуждением относительно того, что закон № 152-ФЗ касается лишь компаний, которые в силу специфики деятельности обрабатывают большой объем ПДн (банков, страховых и туристических компаний, агентств по продаже железнодорожных и авиабилетов и т. д.), а во-вторых, тем, что вступление закона № 152-ФЗ в полную силу (в части требований к информационным
Оглавление
  1. Давайте еще раз уточним какие все-таки компании считаются операторами персональных данных ?
  2. Что относится к информационных системы персональных данных?
  3. Какие локальные акты по защите персональных данных обязательны для компании?

Принятый почти 17 лет назад Федеральный закон от 27.06.06 № 152 «О персональных данных» (далее – закон № 152-ФЗ) накладывает определенные обязательства на каждую компанию, обрабатывающую персональные данные (далее – ПДн) физических лиц.

  • Основные обязанности операторов ПДн сводятся к трем пунктам: проведение организационных мероприятий и технических мероприятий в компании по защите ПДн;
  • получение у субъектов ПДн согласия на обработку их данных;
  • направление в Роскомнадзор уведомления об обработке ПДн.
Однако большинство компаний не спешат предпринимать требуемые меры по защите персональных данных.

Так, в настоящее время в реестре операторов персональных данных числится чуть больше 175 тыс. операторов (то есть тех, кто подал уведомление в Роскомнадзор), тогда как в ЕГРЮЛ зарегистрировано около 4,5 млн юридических лиц. Выжидательная позиция большинства операторов ПДн объясняется, во-первых, распространенным заблуждением относительно того, что закон № 152-ФЗ касается лишь компаний, которые в силу специфики деятельности обрабатывают большой объем ПДн (банков, страховых и туристических компаний, агентств по продаже железнодорожных и авиабилетов и т. д.), а во-вторых, тем, что вступление закона № 152-ФЗ в полную силу (в части требований к информационным системам) долгое время откладывалось.

Давайте разберемся в том, какие компании в действительности попадают под действие закона № 152-ФЗ, какие меры обязана предпринять компания для защиты ПДн, в каких случаях нужно требовать согласия физических лиц на обработку их данных и какая ответственность грозит за несоблюдение требований законодательства о ПДн.

Любая компания является оператором персональных данных
Согласно статье 3 закона № 152-ФЗ, персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его Ф.И.О., год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3 закона № 152-ФЗ).

Оператором ПДн считается любая компания, организующая и (или) осуществляющая обработку ПДн, а также определяющая цели и содержание обработки этих данных. При этом под обработкой ПДн понимаются любые действия (операции) с данными – их сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование (то есть действия с ПДн, порождающие юридические последствия для субъекта ПДн), распространение (в том числе передача другим лицам), обезличивание, блокирование, уничтожение персональных данных.

Таким образом, фактически любая компания признается оператором ПДн, поскольку каждая организация так или иначе обрабатывает данные физических лиц (как минимум данные своих работников в целях реализации трудовых отношений, удержания налогов с их зарплаты и т. д., обработки резюме кандидатов на имеющиеся вакансии и т. д.). Следовательно, закон № 152-ФЗ распространяется на всех юридических лиц, работающих с ПДн, независимо от вида их деятельности.

Защита персональных данных

Каждый оператор ПДн обязан обеспечить конфиденциальность (ст. 7 закона № 152-ФЗ), а также безопасность ПДн, приняв необходимые организационные и технические меры для защиты данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, от иных неправомерных действий (ч. 1 ст. 19 закона № 152-ФЗ). Важно отметить, что в отличие от остальных обязанностей оператора ПДн (в частности, по уведомлению Роскомнадзора о начале обработки ПДн, по получению согласия субъекта ПДн на обработку его данных) для обязанности по обеспечению мер защиты не предусмотрено каких-либо исключений. Другими словами, даже если компания обрабатывает только ПДн своих работников, она обязана принять организационные и технические меры по защите этих данных.

Информационные системы

Под информационной системой ПДн понимается совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств (п. 9 ст. 3 закона № 152-ФЗ).

Это означает, что любая база данных ПДн (в том числе кадровый учет работников компании) представляет собой информационную систему ПДн.

Требование к обеспечению безопасности ПДн при их обработке в информационных системах в соответствии с пунктом 2 статьи 19 закона № 152-ФЗ утверждены постановлением Постановление Правительства Российской Федерации от 01.11.2012 г. N 1119.

Виды информационных систем персональных данных

Традиционно считается, что первым шагом, предваряющим комплекс мероприятий по обеспечению защиты ПДн, является подача в Роскомнадзор уведомления об обработке или о намерении начать обработку ПДн (ч. 1 ст. 22 закона № 152-ФЗ). Но это мнение по большей части ошибочно. Дело в том, что уведомление должно содержать описание информационных систем ПДн, категории обрабатываемых компанией ПДн и субъектов ПДн. То есть перед составлением уведомления необходимо определить виды информационных систем и модели возможных угроз безопасности ПДн. Соответственно именно определение типа ИСПДн, актуальных угроз систем, обрабатываемых персональных данных является первоочередной задачей.

Типы ИСПДн

Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные;
  • персональные данные сотрудников.

Актуальные угрозы ИСПДн

После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы:

  • первого типа;
  • второго типа;
  • третьего типа.

Уровни защищенности ИСПДн

Существует четыре уровня защищенности.

Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов:

  • чьи персональные данные обрабатываются (работников или не работников);
  • количество субъектов ПДн.

Внутренний регламент компании по защите персональных данных

Существенной мерой защиты ПДн является разработка организационно-распорядительных документов, регламентирующих весь процесс получения, хранения, передачи и защиты ПДн.

Локальные нормативные акты

Одними из первых создаются приказ о назначении ответственных за обеспечение безопасности ПДн (ими могут быть как отдельные работники, так и подразделения компании), а также положение о порядке обработки ПДн.

Название последнего документа может варьироваться, это может быть не один документ, а комплект из нескольких документов, которые определяют организационные меры по обеспечению безопасности ПДн в компании. С данным положением необходимо ознакомить всех сотрудников, чья деятельность так или иначе связана с обработкой ПДн.

В комплект внутренних документов, которые призваны регламентировать порядок обработки ПДн, обычно входят: положение об организации доступа в помещения, где осуществляется обработка ПДн, приказ об утверждении мест хранения материальных носителей, предназначенных для хранения информации, составляющей ПДн, регламент взаимодействия с субъектами ПДн, регламенты взаимодействия при передаче ПДн третьим лицам, план внутренних проверок обеспечения информационной защиты, должностные инструкции лиц, осуществляющих обработку ПДн и имеющих к ним доступ, инструкции о порядке учета, хранения и уничтожения носителей информации, составляющей ПДн, и др.

Официального перечня инструкций законодательством не предусмотрено, но любая работа сотрудников компании с ПДн должна быть регламентирована. Например, отдел по работе с персоналом должен иметь специальную инструкцию по хранению личных дел сотрудников, а для работников call-центра разрабатываются специальные соглашения о неразглашении какой-либо конфиденциальной информации и т. п.

Подобные инструкции и регламенты могут иметь форму как самостоятельных документов, так и пунктов (или разделов), включенных в иные документы (например, в должностные инструкции).

Главная цель – установить права, полномочия и обязанности сотрудников, имеющих доступ к ПДн.

Журналы учета

Отдельной группой обязательных внутренних документов являются журналы (реестры, книги) учета носителей ПДн, обращений субъектов ПДн и учета посетителей.

Требования к их ведению установлены постановлением Правительства РФ от 15.09.08 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – положение № 687).

Эти журналы могут вестись как в бумажном, так и в электронном виде. В случае ведения журнала в электронном виде в конце установленного периода его следует распечатать, пронумеровать, сброшюровать, скрепить печатью и завизировать у сотрудника, ответственного за ведение журнала.

Иные типовые формы

Кроме того, компании потребуется набор документов, которые регламентируют отношения с субъектами ПДн. Одной из первых в этом списке по степени важности можно обозначить форму письменного согласия субъекта на обработку ПДн для случаев, когда обработка требует обязательного согласия субъекта (ч. 1 ст. 9 закона №152-ФЗ).

Кроме того, обычно операторы ПДн разрабатывают и типовые формы для ответа на различные возможные запросы со стороны субъектов ПДн, которые имеют право обратиться к оператору, например, с требованием уточнить его ПДн, внести в них изменения, блокировать, уничтожить и т. п. (ст. 14 закона № 152-ФЗ).

На каждый из таких запросов удобнее подготовить соответствующую форму ответа, а для случая уничтожения ПДн по требованию субъекта ПДн – и акт об уничтожении ПДн. Типовую договорную базу с использованием ПДн физических лиц тоже нужно переработать, если в процессе таких договорных отношений возникает необходимость передачи ПДн третьей стороне. В этом случае в договоре должны быть отражены условия обеспечения безопасности и конфиденциальности ПДн при их обработке третьим лицом (ч. 4 ст. 6 закона № 152-ФЗ).

В целом в компании, являющейся оператором ПДн, нужно создать общую подшивку типовых форм документов, содержащих ПДн (различные анкеты, формы, шаблоны). Они потребуются в случае проверки компании Роскомнадзором.

Способы обработки персональных данных

Сложность организационных и технических мероприятий по защите ПДн, необходимых в компании, варьируется в зависимости от способа обработки ПДн, используемого конкретным оператором.

Возможны три варианта: обработка ПДн с использованием средств автоматизации, неавтоматическая обработка ПДн и смешанная обработка.

Первый вариант подразумевает применение в той или иной степени средств автоматизации (в частности, персональных компьютеров, программных средств), а неавтоматизированная обработка подразумевает обработку ПДн (и их хранение) с помощью материальных носителей (как правило, бумажных). При смешанном варианте часть ПДн обрабатывается автоматически, часть – только на бумаге.

В случае когда компания использует только неавтоматическую обработку, технология защиты ПДн упрощается, поскольку достаточно разработать организационные меры, не прибегая к техническим.

Например, ограничить доступ в помещение, где хранятся материальные носители, содержащие ПДн (в том числе используя сейфы).

Обезличивание ПДн

Обезличивание ПДн – это действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту (п. 8 ст. 3 закона № 152-ФЗ).

Обезличивание является не только способом обработки данных, но и особым способом их защиты из разряда организационных мероприятий, поскольку обезличенные ПДн не требуют обеспечения конфиденциальности (ч. 2 ст. 7 закона № 152-ФЗ).

Разумеется, использовать обезличивание целесообразно лишь в тех случаях, когда это не противоречит цели использования данных (например, при обработке статистической информации, составлении аналитических отчетов, для которых не важна идентификация данных по конкретным субъектам). Способы и алгоритмы обезличивания оператор может взять их документа методические рекомендации по исполнению приказа Службы от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Самый простой способ – уменьшение перечня обрабатываемых сведений, то есть сокращение списка конкретных данных о субъекте, таких как Ф.И.О., реквизиты документов, удостоверяющих личность, адреса и т. д.

Возможны замена части сведений идентификаторами, деление сведений на части и разнесение этих частей по различным информационным системам.

Например, база данных разделяется на две части, в одной из которых – идентификаторы, а в другой перечислены субъекты.

В России такой вариант считается одним из способов обезличивания, хотя в других странах Европы этот подход не оценивается как достаточный для обезличивания, если есть возможность доступа к обеим базам.

Особенности шифрования персональных данных

Если для обеспечения безопасности ПДн в компании принято решение использовать средства шифровальной (криптографической) защиты информации (далее – СКЗИ), то стандартный набор документов, регламентирующих защиту ПДн в конкретной компании, будет больше, чем в случае, когда СКЗИ не используются.

Ввод в эксплуатацию каждого СКЗИ сопровождается соответствующим актом или заключением о возможности эксплуатации СКЗИ.

В процессе эксплуатации СКЗИ составляются и ведутся журнал поэкземплярного учета СКЗИ и журнал учета криптографических ключей. Кроме того, понадобятся приказ о назначении лиц (пользователей СКЗИ), допущенных к работе с ключами СКЗИ, должностные инструкции для этих лиц, касающиеся использования СКЗИ, и регламенты, подтверждающие обязанности сотрудников, имеющих доступ к работе с СКЗИ, а также регламент организации контроля в компании за соблюдением порядка использования СКЗИ в целях защиты ПДн.

Помощь эксперта по 152-ФЗ

Меня зовут Сергей Воробьев, эксперт по защите данных.

Добавьте описание
Добавьте описание

Защита персональных данных по 152-ФЗ:

  • защита информации, содержащейся в информационных системах;
  • прохождение проверок Роскомнадзора;
  • приведение обработки персональных данных в соответствие с требованиями законодательства 152-ФЗ;
  • экспертный аудит по информационной безопасности с выдачей практических рекомендаций;
  • техническая поддержка информационных систем;
  • анализ уязвимостей и тестирование на проникновение;
  • выполнение требований 187-ФЗ;
  • улучшение веб-безопасности.

Пишите, обсудим Ваш проект!

Вконтакте | Почта | whatsapp | telegram |