Защита персональных данных. Какие меры необходимо принять в любой компании

1050
В этой статье:Какие компании считаются операторами персональных данныхЧто такое информационные системы персональных данныхКакие локальные акты по защите информации обязательны в компании

Принятый почти пять лет назад Федеральный закон от 27.06.06 № 152 «О персональных данных» (далее – закон № 152-ФЗ) накладывает определенные обязательства на каждую компанию, обрабатывающую персональные данные (далее – ПДн) физических лиц. Основные обязанности операторов ПДн сводятся к трем пунктам: проведение организационных и технических мероприятий в компании по защите ПДн, получение у субъектов ПДн согласия на обработку их данных и направление в Роскомнадзор уведомления об обработке ПДн. Однако большинство компаний не спешат предпринимать подобные меры. Так, в настоящее время в реестре операторов персональных данных числится чуть больше 175 тыс. операторов (то есть тех, кто подал уведомление в Роскомнадзор), тогда как в ЕГРЮЛ зарегистрировано около 4,5 млн юридических лиц. Выжидательная позиция большинства операторов ПДн объясняется, во-первых, распространенным заблуждением относительно того, что закон № 152-ФЗ касается лишь компаний, которые в силу специфики деятельности обрабатывают большой объем ПДн (банков, страховых и туристических компаний, агентств по продаже железнодорожных и авиабилетов и т. д.), а во-вторых, тем, что вступление закона № 152-ФЗ в полную силу (в части требований к информационным системам) долгое время откладывалось. Главная тема этого номера поможет разобраться в том, какие компании в действительности попадают под действие закона № 152-ФЗ, какие меры обязана предпринять компания для защиты ПДн, в каких случаях нужно требовать согласия физических лиц на обработку их данных и какая ответственность грозит за несоблюдение требований законодательства о ПДн.

Любая компания является оператором персональных данных
Согласно статье 3 закона № 152-ФЗ, персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его Ф.И.О., год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3 закона № 152-ФЗ). Оператором ПДн считается любая компания, организующая и (или) осуществляющая обработку ПДн, а также определяющая цели и содержание обработки этих данных. При этом под обработкой ПДн понимаются любые действия (операции) с данными – их сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование (то есть действия с ПДн, порождающие юридические последствия для субъекта ПДн), распространение (в том числе передача другим лицам), обезличивание, блокирование, уничтожение персональных данных. Таким образом, фактически любая компания признается оператором ПДн, поскольку каждая организация так или иначе обрабатывает данные физических лиц (как минимум данные своих работников в целях реализации трудовых отношений, удержания налогов с их зарплаты и т. д., обработки резюме кандидатов на имеющиеся вакансии и т. д.). Следовательно, закон № 152-ФЗ распространяется на всех юридических лиц, работающих с ПДн, независимо от вида их деятельности.

Защита персональных данных
Каждый оператор ПДн обязан обеспечить конфиденциальность (ст. 7 закона № 152-ФЗ), а также безопасность ПДн, приняв необходимые организационные и технические меры для защиты данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, от иных неправомерных действий (ч. 1 ст. 19 закона № 152-ФЗ). Важно отметить, что в отличие от остальных обязанностей оператора ПДн (в частности, по уведомлению Роскомнадзора о начале обработки ПДн, по получению согласия субъекта ПДн на обработку его данных) для обязанности по обеспечению мер защиты не предусмотрено каких-либо исключений. Другими словами, даже если компания обрабатывает только ПДн своих работников, она обязана принять организационные и технические меры по защите этих данных.

Информационные системы. Под информационной системой ПДн понимается совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств (п. 9 ст. 3 закона № 152-ФЗ). Это означает, что любая база данных ПДн (в том числе кадровый учет работников компании) представляет собой информационную систему ПДн. Требования к обеспечению безопасности ПДн при их обработке в информационных системах в соответствии с пунктом 2 статьи 19 закона № 152-ФЗ утверждены постановлением Правительства РФ от 17.11.07 № 781.

Срок приведения в соответствие с требованиями закона № 152-ФЗ информационных систем ПДн несколько раз откладывался. Изначально был установлен срок – до 1 января 2010 года, затем его отложили на год. Наконец, Федеральный закон от 23.12.10 № 359-ФЗ продлил этот срок до 1 июля 2011 года. Это касается информационных систем, созданных до 1 января 2011 года. Соответственно информационные системы, создаваемые с начала 2011 года, изначально должны соответствовать закону № 152-ФЗ.

Классификация информационных систем персональных данных

Традиционно считается, что первым шагом, предваряющим комплекс мероприятий по обеспечению защиты ПДн, является подача в Роскомнадзор уведомления об обработке или о намерении начать обработку ПДн (ч. 1 ст. 22 закона № 152-ФЗ). Но это мнение по большей части ошибочно. Дело в том, что уведомление должно содержать описание информационных систем ПДн, категории обрабатываемых компанией ПДн и субъектов ПДн (см. образец). То есть перед составлением уведомления необходимо определить классы информационных систем и модели возможных угроз безопасности ПДн. Соответственно именно классификация систем является первоочередной задачей.Порядок классификации. Классификация проводится в соответствии с порядком, установленным приказом ФСТЭК России, ФСБ России и Мининформсязи России от 13.02.08 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Классификация начинается с издания в компании приказа о создании комиссии по классификации. В функции комиссии входит непосредственное проведение классификации и подписание акта классификации информационных систем ПДн. Классы информационных систем определяются исходя из состава содержащихся в них ПДн, а также на основе разработанной модели угроз безопасности ПДн. На основе оценки угроз формируются объективные требования по техническому обеспечению информационной безопасности. Особенность акта классификации в том, что его разработка под силу только квалифицированным специалистам в области информационной безопасности. Таким образом, для классификации необходимо создать рабочую группу, в которую войдут не только юристы компании, но и специалисты по информационной безопасности.

Внутренний регламент компании по защите персональных данных

Существенной мерой защиты ПДн является разработка организационно-распорядительных документов, регламентирующих весь процесс получения, хранения, передачи и защиты ПДн.

Локальные нормативные акты. Одними из первых создаются приказ о назначении ответственных за обеспечение безопасности ПДн (ими могут быть как отдельные работники, так и подразделения компании), а также положение о порядке обработки ПДн. Название последнего документа может варьироваться, это может быть не один документ, а комплект из нескольких документов, которые определяют организационные меры по обеспечению безопасности ПДн в компании. С данным положением необходимо ознакомить всех сотрудников, чья деятельность так или иначе связана с обработкой ПДн. В комплект внутренних документов, которые призваны регламентировать порядок обработки ПДн, обычно входят: положение об организации доступа в помещения, где осуществляется обработка ПДн, приказ об утверждении мест хранения материальных носителей, предназначенных для хранения информации, составляющей ПДн, регламент взаимодействия с субъектами ПДн, регламенты взаимодействия при передаче ПДн третьим лицам, план внутренних проверок обеспечения информационной защиты, должностные инструкции лиц, осуществляющих обработку ПДн и имеющих к ним доступ, инструкции о порядке учета, хранения и уничтожения носителей информации, составляющей ПДн, и др. Официального перечня инструкций законодательством не предусмотрено, но любая работа сотрудников компании с ПДн должна быть регламентирована. Например, отдел по работе с персоналом должен иметь специальную инструкцию по хранению личных дел сотрудников, а для работников call-центра разрабатываются специальные соглашения о неразглашении какой-либо конфиденциальной информации и т. п. Подобные инструкции и регламенты могут иметь форму как самостоятельных документов, так и пунктов (или разделов), включенных в иные документы (например, в должностные инструкции). Главная цель – установить права, полномочия и обязанности сотрудников, имеющих доступ к ПДн.

Журналы учета. Отдельной группой обязательных внутренних документов являются журналы (реестры, книги) учета носителей ПДн, обращений субъектов ПДн и учета посетителей. Требования к их ведению установлены постановлением Правительства РФ от 15.09.08 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – положение № 687). Эти журналы могут вестись как в бумажном, так и в электронном виде. В случае ведения журнала в электронном виде в конце установленного периода его следует распечатать, пронумеровать, сброшюровать, скрепить печатью и завизировать у сотрудника, ответственного за ведение журнала.

Иные типовые формы. Кроме того, компании потребуется набор документов, которые регламентируют отношения с субъектами ПДн. Одной из первых в этом списке по степени важности можно обозначить форму письменного согласия субъекта на обработку ПДн для случаев, когда обработка требует обязательного согласия субъекта (ч. 1 ст. 9 закона №152-ФЗ). Кроме того, обычно операторы ПДн разрабатывают и типовые формы для ответа на различные возможные запросы со стороны субъектов ПДн, которые имеют право обратиться к оператору, например, с требованием уточнить его ПДн, внести в них изменения, блокировать, уничтожить и т. п. (ст. 14 закона № 152-ФЗ). На каждый из таких запросов удобнее подготовить соответствующую форму ответа, а для случая уничтожения ПДн по требованию субъекта ПДн – и акт об уничтожении ПДн. Типовую договорную базу с использованием ПДн физических лиц тоже нужно переработать, если в процессе таких договорных отношений возникает необходимость передачи ПДн третьей стороне. В этом случае в договоре должны быть отражены условия обеспечения безопасности и конфиденциальности ПДн при их обработке третьим лицом (ч. 4 ст. 6 закона № 152-ФЗ).

В целом в компании, являющейся оператором ПДн, нужно создать общую подшивку типовых форм документов, содержащих ПДн (различные анкеты, формы, шаблоны). Они потребуются в случае проверки компании Роскомнадзором (п. 67.1 Административного регламента проведения проверок Роскомнадзора, утвержденного приказом Роскомнадзора от 01.12.09 № 630).

Способы обработки персональных данных

Сложность организационных и технических мероприятий по защите ПДн, необходимых в компании, варьируется в зависимости от способа обработки ПДн, используемого конкретным оператором. Возможны три варианта: обработка ПДн с использованием средств автоматизации, неавтоматическая обработка ПДн и смешанная обработка. Первый вариант подразумевает применение в той или иной степени средств автоматизации (в частности, персональных компьютеров, программных средств), а неавтоматизированная обработка подразумевает обработку ПДн (и их хранение) с помощью материальных носителей (как правило, бумажных). При смешанном варианте часть ПДн обрабатывается автоматически, часть – только на бумаге.

В случае когда компания использует только неавтоматическую обработку, технология защиты ПДн упрощается, поскольку достаточно разработать организационные меры, не прибегая к техническим. Например, ограничить доступ в помещение, где хранятся материальные носители, содержащие ПДн (в том числе используя сейфы).

Обезличивание ПДн. Обезличивание ПДн – это действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту (п. 8 ст. 3 закона № 152-ФЗ). Обезличивание является не только способом обработки данных, но и особым способом их защиты из разряда организационных мероприятий, поскольку обезличенные ПДн не требуют обеспечения конфиденциальности (ч. 2 ст. 7 закона № 152-ФЗ). Разумеется, использовать обезличивание целесообразно лишь в тех случаях, когда это не противоречит цели использования данных (например, при обработке статистической информации, составлении аналитических отчетов, для которых не важна идентификация данных по конкретным субъектам). Способы и алгоритмы обезличивания оператор может определять самостоятельно, так как четко определенных требований к данному процессу на сегодняшний день не существует. Самый простой способ – уменьшение перечня обрабатываемых сведений, то есть сокращение списка конкретных данных о субъекте, таких как Ф.И.О., реквизиты документов, удостоверяющих личность, адреса и т. д. Возможны замена части сведений идентификаторами, деление сведений на части и разнесение этих частей по различным информационным системам. Например, база данных разделяется на две части, в одной из которых – идентификаторы, а в другой перечислены субъекты. В России такой вариант считается одним из способов обезличивания, хотя в других странах Европы этот подход не оценивается как достаточный для обезличивания, если есть возможность доступа к обеим базам.

 

 

Вопрос в тему

Нужна ли компании лицензия, если она планирует использовать СКЗИ?

Лицензия требуется для разработки и производства СКЗИ, предоставления услуг в области шифрования информации, деятельности по техническому обслуживанию СКЗИ, а также по распространению СКЗИ (подп. 5-8 п. 1 ст. 17 Федерального закона от 08.02.01 № 128-ФЗ «О лицензировании отдельных видов деятельности»).

Каким документом регулируются конкретные методы защиты ПДн в информационных системах в зависимости от класса системы?

Они регулируются Положением о методах и способах защиты информации в информационных системах ПДн, утвержденным приказом ФСТЭК России от 05.02.10 № 58. Достаточность конкретных мер по обеспечению безопасности ПДн при их обработке в информационных системах, принятых в компании, оценивается при проведении государственного контроля и надзора (п. 3 положения № 781).

Чем нужно руководствоваться специалистам информационной безопасности при оценке угроз безопасности ПДн при их обработке в информационных системах?

Специальная методика определения актуальности угроз безопасности ПДн при обработке в информационных системах утверждена ФСТЭК России 14.02.08.

 

 

Особенности шифрования персональных данных

Если для обеспечения безопасности ПДн в компании принято решение использовать средства шифровальной (криптографической) защиты информации (далее – СКЗИ), то стандартный набор документов, регламентирующих защиту ПДн в конкретной компании, будет больше, чем в случае, когда СКЗИ не используются. Ввод в эксплуатацию каждого СКЗИ сопровождается соответствующим актом или заключением о возможности эксплуатации СКЗИ (п. 38 Положения о разработке, производстве, реализации и эксплуатации СКЗИ, утвержденного приказом ФСБ России от 09.02.05 № 66). В процессе эксплуатации СКЗИ составляются и ведутся журнал поэкземплярного учета СКЗИ и журнал учета криптографических ключей (п. 48 вышеуказанного положения). Кроме того, понадобятся приказ о назначении лиц (пользователей СКЗИ), допущенных к работе с ключами СКЗИ, должностные инструкции для этих лиц, касающиеся использования СКЗИ, и регламенты, подтверждающие обязанности сотрудников, имеющих доступ к работе с СКЗИ, а также регламент организации контроля в компании за соблюдением порядка использования СКЗИ в целях защиты ПДн.

 

 

Признаки автоматизированной информационной системы ПДн

Любая информационная система ПДн – это прежде всего технология хранения информации, будь то классический вариант бумажной картотеки или электронное файловое хранилище. В соответствии с Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке ПДн от 28.01.81 (ратифицирована Федеральным законом от 19.12.05 № 160-ФЗ) автоматизированная обработка включает операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и (или) арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение. Например, база данных в виде таблицы, созданной с помощью приложения Microsoft Excel, хранимая в электронном виде в компьютере (с возможностью индивидуального доступа к ней или одновременного доступа нескольких пользователей посредством сети), является автоматизированной системой ПДн. Та же самая таблица, распечатанная на бумаге или сохраненная на диске или флэш-карте, автоматически переходит в разряд неавтоматизированных систем ПДн.

 

Уведомление об обработке персональных данных (стр. 1)

Защита персональных данных. Какие меры необходимо принять в любой компании

 

 

Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации  ПИ № ФС77-62254 от 03.07.2015

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Простите, что прерываем ваше чтение

      Это профессиональный сайт для юристов-практиков. Чтобы обеспечить качество материалов и защитить авторские права редакции, мы вынуждены размещать лучшие статьи в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего полторы минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Вы продолжите читать статью через 1 минуту
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль