Алешина Ольга Адвокат
17 038

Защита персональных данных

Требования законодательства в отношении обращения с персональными данными постоянно изменяются и ужесточаются. Разберем, что такое защита персональных данных и какие меры требуется предпринимать для ее осуществления.

Содержание

Что такое защита персональных данных

Любой организации или индивидуальному предпринимателю приходится при осуществлении хозяйственной деятельности работать с персональными данными (ПДн), используя сведения о работниках или клиентах. Организации или ИП является оператором персональных данных и обязан в своей деятельности руководствоваться Федеральным законом № 152-ФЗ от 27.07.2006.

К персданным относится любая информация, которая содержит сведения о человека и позволяет идентифицировать его личность. Перечень ПДн законодательством не установлен, является открытым. Он включает в себя, в частности, такую информацию:

  1. ФИО.
  2. Дату и место рождения.
  3. Реквизиты документов (паспорт, ИНН, СНИЛС и др.).
  4. Место работы, учебы.
  5. Адрес, номер телефона, электронную почту.
  6. Состояние здоровья.
  7. Национальность.
  8. Вероисповедание и пр.
Надо знать: что относится к сведениям конфиденциального характера

При обработке персданных оператор обязан обеспечить их защиту от несанкционированного доступа к ним третьих лиц. Учитывая, что в настоящее время практически повсеместно для обработки персональных данных используется компьютерная техника и информационные системы, требуется обеспечить эффективную защиту от кибератак.

Для сведения: как стать оператором персональных данных в реестре Роскомнадзора

Мероприятия по защите персональных данных

Защита персональных данных предполагает проведение целого комплекса мероприятий, которые направлены на обеспечение их сохранности и безопасности. Они подразделяются на:

  1. Организационные меры.
  2. Технические меры.
ВАЖНО!
Конкретные мероприятия, которые требуется проводить оператору, зависят от установленного уровня защищенности персональных данных.

Уровни защиты персональных данных

В зависимости от различных факторов различают уровни защищенности ПДн. К таким факторам относятся:

  1. Категория ПДн.
  2. Актуальные угрозы (непреднамеренный или запланированный неправомерный доступ к ПДн, в результате чего произойдет их утечка, изменение, блокировка, копирование и т.п.). Угрозы подразделяются на различные типы.
  3. Форма взаимодействия с субъектами персданных (обработка данных только сотрудников или иных лиц).
  4. Объем обрабатываемых персданных (до 100 000 или более 100 000 человек).
По теме: какие оборотные штрафы за утечку персональных данных

Выделяют четыре уровня защищенности (постановление Правительства РФ № 119 от 01.11.2012):

  1. УЗ1 — информационная система производит обработку специальных, биометрических и иных персданных при угрозах 1-го типа; обработку специальных персданных более чем 100 000 человек, которые не являются штатными работниками организации при угрозах 2-го типа. Является самым высоким уровнем, требующим наибольших защитных мер.
  2. УЗ2 — инфосистемой обрабатываются общедоступные ПДн при угрозах 1-го типа; при угрозах 2-го типа проводится обработка специальных ПДн сотрудников организации либо лиц, не работающих у оператора, в количестве менее 100 000 человек, общедоступных у иных лиц числом более 100 000 человек, а также биометрических ПДн; при угрозах 3-го типа — обработка специальных персданных у более чем 100 000 человек, не состоящих в штате организации.
  3. УЗ3 — при угрозе 2-го типа информационная система обрабатывает общедоступные и иные персональные данные сотрудников, иных лиц числом менее 100 000 человек; при угрозах 3-го типа обрабатываются специальные персональные данные сотрудников, иных лиц числом менее 100 000 человек, иные — более чем 100 000 человек, а также биометрические персданные.
  4. УЗ4 — инфосистемой обрабатываются общедоступные персданные, иные ПДн работников или других лиц в количестве менее 100 000 человек, при угрозе 3-го типа.
ВАЖНО!
Для определения уровня защищенности персональных данных и дальнейших необходимых мер защиты можно воспользоваться специальным калькулятором на сайте ФСТЭК. Но если неправильно указать хотя бы один параметр, то есть риск получить неверный результат и ошибиться при разработке уровней защищенности. В итоге это повлечет негативные последствия при проведении проверочных мероприятий со стороны контрольных органов. За решением данного вопроса лучше обращаться к соответствующим специалистам.

Организационные меры по защите персональных данных

Организационные меры по защите персональных данных включают в себя следующий комплекс мероприятий:

  1. Разработка и принятие локальных нормативных актов и организационно-распорядительных документов по работе с персональными данными и их защите. Организации требуется принять такие ЛНА, как: политика защиты персданных, обработка пользователей ПДн сайтов; положения о порядке уничтожения персданных, о внутреннем аудите работы с персональными данными и т.д. Недостаточно скачать бланки необходимой документации из интернета, поставив название своей организации. Требуется адаптировать шаблоны документов под специфику осуществляемой хозяйственной деятельности.
  2. Назначение ответственного лица (или лиц) за работу с ПНд. Указанные обязанности возлагаются в небольших организациях на одного сотрудника (как правило, юриста или кадровика) или нескольких. Обязанности по защите возлагаются приказом. В крупных компаниях создаются структурные подразделения, занимающиеся вопросами защиты персданных. Обязанности возлагаются приказом или закрепляются трудовым договором, должностными обязанностями. Рекомендуется разрабатывать документацию отдельно для каждой категории ПДн (например, для сотрудников компании и ее контрагентов).
  3. Ознакомление сотрудников оператора с законодательными актами, ЛНА и внутренними приказами (распоряжениями), регламентирующими порядок работы с ПДн.
  4. Обучение сотрудников в области работы и защиты персональных данных. Необходимо ответственно подходить к исполнению назначенным сотрудником возложенных на него обязанностей, понимать, что назначение не является формальностью. Назначенный работник должен обладать необходимыми знаниями и навыками. Это достигается путем прохождение специального обучения по работе и защите пресданных или самообразования.
  5. Организация работы с субъектами персональных данных, контрагентами, что включает в себя заключение соглашений о конфиденциальной информации, выдачу поручения обрабатывать ПНд, получение согласия субъектов персданных.
  6. Своевременное выявление и устранение нарушений требований к порядку работы с ПДн.
  7. Организация рабочих помещений, в которых хранится и обрабатывается носитель ПДн: введение пропускного режима или контроля допуска третьих лиц в помещения, где хранятся носители ПДн, их нахождение только в сопровождении и под контролем работников организации (ИП), оборудование сейфов и специально отведенных мест для хранения носителей персданных.
  8. Проведение анализа процессов работы с персданными для определения перечня необходимых технических мер защиты.
  9. Регулярное изменение паролей на компьютерах и в информационных системах, которые используются для обработки персданных.

Технические меры по защите персональных данных

Маловероятно сейчас найти организацию или ИП, которые работают полностью «на бумаге», без использования информационных технологий. Компьютеры, цифровые носители, информационные системы используются в том числе и при работе с персданными. Поэтому так важны в современных реалиях технические меры защиты ПДН. К техническим мерам относятся, в частности, следующие (Приказ ФСТЭК № 21 от 18.02.2013):

  1. Прохождение аттестации безопасности информационной системы, используемой для обработки персданных, с получением аттестата.
  2. Управление доступом к персональным данным (протоколирование действий с персданными, оповещение о несанкционированном доступе в систему посредством применения соответствующих утилитов).
  3. Обеспечение целостности персданных, которое осуществляется средствами самих операционных систем и систем управления базами данных. Необходимо использовать операционные системы, сертифицированные ФСТЭК и ФСБ.
  4. Использование антивирусов, имеющих сертификаты ФСБ (например, Лаборатории Касперского), с целью предотвращения вирусных атак и сохранности ПДн.
  5. Создание межсетевого экрана. Рекомендуется использовать межсетевые экраны третьего или четвертого уровня в зависимости от категории защищенности, к которой относится оператор персданных.
  6. Анализирование защищенности на рабочих терминалах и серверах, принятие мер по устранению выявленных недостатков, усиление защитных мер. Для анализа используются сетевые сканеры, сертифицированные ФСТЭК и ФСБ.
ВАЖНО!
Аттестация безопасности инфосистемы обязательна для государственных и муниципальных организаций. Коммерческие компании получают аттестат по собственному желанию.

Как разработать меры защиты персональных данных

Разработать меры защиты персданных оператор может самостоятельно, учитывая все требования законодательства, либо передать их на аутсорсинг.

Советуем прочитать: судебная практика по спорам о защите персональных данных

При самостоятельной разработке мер защиты указанным вопросом занимается специально назначенное должностное лицо, ответственное за работу с ПДн, в крупных компаниях — соответствующее структурное подразделение. Аутсорсинг целесообразно применять при установлении высоких категорий уровней защиты, которые предусматривают необходимость проведения большого комплекса мероприятий по защите ПДн. Привлечь допускается юридическое или физическое лицо. Главным условием является наличие у исполнителя таких услуг соответствующих лицензий ФСТЭК и ФСБ, а применяемые ими средства защиты должны пройти необходимую сертификацию.

Полный актуальный текст этого документа есть в КонсультантПлюс Скачать бесплатно

Закончила Владимирский государственный университет в 2005 году. С 2011 года по настоящее время являюсь адвокатом.