Как не получить штраф за нарушение 152-ФЗ: 3 грубых ошибки

Направление законодательства, связанное с защитой персональных данных (далее - ПДн), является одним из наиболее устоявшихся в мире информационной безопасности. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) вступил в силу еще в 2007 году и до сих пор определяет основные требования к процессам сбора, обработки и хранения ПДн. Однако, несмотря на кажущуюся легкость и устоявшуюся практику, многие организации допускают грубые ошибки при обработке ПДн.

Ошибки при сборе согласий на обработку ПДн

Практика показывает, что многие организации допускают ошибку на этапе получения согласия субъекта ПДн.

Что необходимо сделать при сборе согласий на обработку ПДн?

1. В первую очередь необходимо понять:

• для каких целей обработки необходим сбор ПДн,
• какой именно состав ПДн действительно нужно собирать для определенных целей,
• каким образом собранные данные планируется обрабатывать,
• какой срок обработки и хранения ПДн необходим и достаточен.

На данном этапе важно избегать избыточности: перечень ПДн должен отвечать целям обработки. Собирать нужно только те данные, которые действительно необходимы.

2. Далее необходимо организовать сбор согласий на обработку ПДн:

• согласия должны быть оформлены отдельно от иных документов,
• согласия должны включать в себя информацию, предусмотренную частью 4 статьи 9 152-ФЗ,
• в согласиях нужно обязательно указывать сроки обработки ПДн.

На данном этапе важно учесть следующее:

• сроки обработки ПДн должны быть не дольше, чем этого требуют цели обработки;
• действия с ПДн, указанные в согласии на обработку ПДн, могут включать «распространение», если оно действительно осуществляется и, если отдельно оформляется согласие на «распространение» согласно статье 10.1 152-ФЗ.

Важно помнить, если для выполнения целей обработки ПДн необходима передача ПДн третьим лицам, то субъект должен дать согласие на такую передачу ПДн. При этом важно донести до субъекта конкретную информацию: кому и какие именно ПДн будут передаваться. С третьими лицами необходимо заключить поручение на обработку и (или) соглашение о конфиденциальности.

Ошибки при реализации мер защиты ПДн

Законодательство требует не только правильно выстроенного процесса обработки ПДн, но и выполнение отдельных требований по обеспечению безопасности ПДн согласно статье 18 и 19 152-ФЗ. Невыполнение данных требований может привести к утечке, нарушению конфиденциальности и распространению ПДн. Многие крупные утечки данных происходят из-за несоблюдения требований по безопасности. Это приводит к потере доверия, штрафам и судебным искам.

Распространенными ошибками при реализации мер защиты ПДн являются:

1. Отсутствие контроля за выданными правами доступа.
При выдаче прав доступа важно не только организовать сам процесс, но и реализовать последующий контроль, а именно:

• отслеживать наличие незаблокированных учетных записей сотрудников (например, при увольнении сотрудников или неиспользовании учетной записи в течении определенного количества времени),
• отслеживать необходимость изменения прав доступа в случаях изменения должности сотрудника или его обязанностей.

2. Отсутствие контроля за выданными правами доступа для подрядных организаций.

В случаях, когда доступ необходимо предоставить сотрудникам подрядной организации, важно соблюсти необходимые условия, которые позволят исключить возможность утечки ПДн или нарушения законодательства:

• необходимо определить перечень ресурсов, доступ к которым необходим подрядной организации для выполнения работ. У подрядчика должна быть конкретная, изолированная часть инфраструктуры, которая предназначена только для его использования, с целью предотвращения несанкционированного доступа и обеспечения безопасности. В отдельных случаях, когда такая изоляция невозможна, необходимо контролировать действия подрядной организации,
• необходимо предоставлять права по принципу «минимальной необходимости»,
• в случаях, если доступ предполагает ознакомление с ПДн, необходимо обеспечить законность и безопасность данного процесса и собрать с субъектов ПДн необходимые согласия. С подрядной организацией необходимо заключить поручение на обработку ПДн и (или) соглашение о конфиденциальности, а также применить необходимые меры по обеспечению безопасности ПДн.

3. Отсутствие мер по регистрации и учету.
При реализации мер защиты необходимо обеспечивать регистрацию событий безопасности, которая поможет вовремя обнаружить попытки несанкционированного доступа, атаки, утечки или другие инциденты.

Хотелось бы также напомнить про общий перечень действий, который необходимо выполнить для построения системы защиты:

1. Определить перечень подразделений, которые осуществляют обработку ПДн.

2. Определить перечень работников, которые непосредственно осуществляют обработку ПДн.

3. Назначить ответственного за организацию обработки ПДн. На данного работника необходимо возложить ответственность за процессную составляющую обработки: все операции, связанные с обработкой ПДн, должны быть под контролем, регламентированы и выполнены в соответствии с законом.

4. Назначить ответственного за обеспечение безопасности ПДн. На данного работника необходимо возложить ответственность за выполнение требований по безопасности: установка, эксплуатация и контроль технических и организационных мер защиты.

5. Определить способы обработки ПДн:

• в случае автоматизированной обработки ПДн, необходимо определить перечень информационных систем персональных данных (далее – ИСПДн), которые осуществляют обработку ПДн. Это необходимо для того, чтобы понять объем и границы обработки ПДн, а также обеспечить безопасность и контроль обработки ПДн. В состав ИСПДн необходимо включить все информационные платформы, программы, базы данных, сервера и автоматизированные рабочие места пользователей, в которых осуществляется обработка ПДн;
• в случаях неавтоматизированной обработки необходимо определить места такой обработки, места временного и постоянного хранения документов.

Для неавтоматизированного способа обработки необходимо определить меры по обеспечению физической безопасности:

• установить требования к хранению документов, не допускать их свободного и постоянного хранения на рабочих столах сотрудников. Для временного хранения документов необходимо организовать использования закрываемых ящиков, шкафов и т.д.;
• установить требования к помещениям, где будет осуществляться постоянное хранение документов, а также ограничить доступ к таким помещениям;
• обеспечивать раздельное хранение материальных носителей ПДн, обработка которых осуществляется в различных целях.

Для автоматизированного способа обработки необходимо:

• определить уровень защищенности в отношении каждой ИСПДн, согласно Постановлению Правительства Российской Федерации (далее – РФ) от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• определить актуальные угрозы безопасности в отношении каждой ИСПДн, в соответствии с методическим документом ФСТЭК России;
• на основе установленного уровня защищенности и актуальных угроз безопасности информации необходимо выбрать и внедрить организационные и технические меры по обеспечению безопасности ПДн. При выборе мер защиты необходимо руководствоваться Приказом ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

6. Определить меры и средства, которыми будет осуществляться уничтожение ПДн. В случаях автоматизированной обработки необходимо выбрать средства, которые обеспечат гарантированное уничтожение информации (стирание остаточных файлов, поиск копий документов и т.д.).

7. При использовании съемных машинных носителей (флэш-носителей, внешних жестких дисков и т.д.) необходимо организовать их учет и контроль за выдачей и использованием.

8. На периодической основе, не реже 1 раза в 3 года, необходимо проводить оценку эффективности принимаемых мер по защите ПДн.

Ошибки при сборе ПДн

Распространенным способом сбора ПДн является их сбор посредством интернет-ресурсов, например, лендингов, форм регистрации, опросов. В большинстве случаев организации могут использовать сторонние сервисы для сбора ПДн, не обращая внимание на то, где именно будут обрабатываться собранные ПДн.

152-ФЗ требует, чтобы базы данных с ПДн граждан РФ находились на территории РФ. Нахождение баз данных, которые содержат ПДн граждан РФ, за пределами страны недопустимы. Несоблюдение требований по локализации может привести к штрафам и нарушениям законных прав субъектов.

Что необходимо сделать, чтобы не нарушить требования законодательства?

1. Обеспечить использование баз данных на территории РФ, например, в дата-центрах, имеющих подтверждение выполнения требований по обеспечению безопасности информации.

2. Внимательно выбирать сторонние сервисы, убедившись, что они соблюдают требования по локализации и сохраняют данные на территории РФ.

3. Вести учет и проверять места хранения собранных ПДн и договоры с поставщиками услуг.

Возможные риски:

За грубыми нарушениями законодательства в области защиты ПДн могут последовать негативные последствия:

1. Претензии субъектов ПДн: нарушение условий обработки ПДн, а также их законных прав и интересов может привести к формированию претензий и исков со стороны субъектов ПДн.

2. Штрафы и административные взыскания: за несоблюдение требований законодательства предусмотрена административная ответственность в соответствии со статьей 13.11 Кодекса РФ об административных правонарушениях. Штрафы могут быть разные, в зависимости от нарушения, например:

• за обработку ПДн без согласия субъекта или в случаях, если согласие не соответствует нормам законодательства, предусмотрен штраф от 300 тысяч до 700 тысяч рублей (для юридических лиц);
• за обработку ПДн, несовместимую с целями сбора ПДн, предусмотрен штраф от 150 тысяч до 300 тысяч рублей (для юридических лиц);
• за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) ПДн, предусмотрены разные размеры штрафов в зависимости от объема ПДн. Размер штрафа варьируется от 3 миллионов до 15 миллионов рублей (для юридических лиц);
• за использование баз данных, которые содержат ПДн граждан РФ, но которые находятся за пределами РФ, предусмотрен штраф от 1 миллиона до 6 миллионов рублей (для юридических лиц).

3. Проверки регулирующих органов: по фактам выявленных нарушений могут проводиться проверки со стороны органов, что также может привести к необходимости сбора материалов и документов, возникновению административных мер наказания.

Защита персональных данных — это непрерывный процесс, требующий внимания к деталям на всех этапах: от получения согласия до технической защиты инфраструктуры. 152-ФЗ совершенствуется, а ответственность за его несоблюдение неуклонно растет.

Чтобы минимизировать юридические риски и избежать штрафов, бизнесу стоит регулярно проводить аудит процессов обработки данных, контролировать права доступа и внимательно выбирать площадки для хранения баз данных. В условиях требований регулятора превентивные меры безопасности являются не только способом избежать административных взысканий, но и фундаментом доверия между компанией, её заказчиками и партнёрами.