Соблюдение закона «О персональных данных» на предприятиях

 ВЛАДИМИР СТОЛЯРОВ, юрисконсульт ИД «Положевец и партнеры», law@samag.ru

Соблюдение закона
«О персональных данных» на предприятиях

В России с 2006 года действует Федеральный закон №152 «О персональных данных». За это время он значительно изменился, а сами данные теперь должны храниться на территории Российской Федерации и быть соответственно защищены. На практике это приводит к повышению ответственности института предпринимательства в отношении обработки данных. Расскажем о том, насколько сложно соблюдать требования закона «О персональных данных», какой реальный эффект это дает

Любое юридическое лицо, осуществляющее свою деятельность в российском правовом поле, подпадает под данное регулирование.

Рассмотрим некоторые из объектов защиты

Первый тип данных – сами данные о клиенте. Например, это будут его имя, дата и место рождения, паспортные данные, для юридических лиц – данные об организации. Клиент приначале работы с сервисом соглашается передать эту информацию на обработку, а хостер (хранитель такой информации) обязуется работать с ними в соответствии с законом. Этоболее-менее понятный и простой объект защиты.

Второй тип данных – информация, которая непосредственно хранится клиентами на VDS/VPS-сервере. Это как раз более значимый и важный объект защиты. Примерами таких данных могут быть логин-пароль к социальной сети, электронной почте, личная бухгалтерия у физических лиц. А у юридических лиц спектр подобной информации еще шире – этои клиентские базы данных, и бухгалтерия, и специализированное программное обеспечение (ПО).

С точки зрения закона юридические лица, передавая данные на хранение или обработку, несут полную ответственность за защиту этой информации. Именно поэтому банки, брокеры, крупные предприниматели проверяют потенциального партнера по организации хранения и обработки данных. Проверяется абсолютно все. Нужно отметить, чтонекоторые клиенты часто сами приезжают в соответствующий дата-центр с целью убедиться, что физический носитель и каналы связи находятся под надежной охраной, а персонал действительно компетентный и ему можно доверять.

Как можно организовать защиту данных

Имеются различные источники угроз личной информации – к примеру, использование данных клиентов в личных целях сотрудником компании, уничтожение данных клиента, будь это физическое или юридическое лицо, кража данных путем взлома сервера.

Это скорее всего самые известные и понятные угрозы, с которыми каждый оператор связи сталкивается. Полный список, конечно, будет гораздо шире.

Есть разные способы и уровни защиты данных

Если говорить в терминах 152-го закона, то этапы защиты информации можно перечислить как: определение угроз, разработка мер безопасности и учет носителей информации, применение мер и оценка их эффективности и мониторинг всей этой системы безопасности. Ответственная компания последовательно выполняет все необходимые действия длямаксимальной защиты данных, и первое, с чего начинается работа, – это кадры. Каждый сотрудник компании при поступлении на работу знакомится со списком конфиденциальной информации, к которой, в частности, относятся персональные данные клиентов. Он подписывается под своей ответственностью за то, что будет работать с этими данными в рамках законодательства Российской Федерации.

Однако полагаться только на добропорядочность и сознательность в данном вопросе нельзя. Именно поэтому действует четкая система разграничения и контроля прав доступа. Спомощью таких систем доступ к данным о клиентах (первый тип, о котором говорили ранее) получают только те сотрудники, которые имеют соответствующую, подтвержденную сертификатом квалификацию по работе с конфиденциальной информацией, и строго по регламенту. При этом доступ всегда персонифицирован, с так называемым логированием всех действий сотрудника. Поэтому, если специалист что-то модифицировал, скачал, отправил, сохранил данные о клиенте, всегда можно будет увидеть и однозначно определить, кто этосделал.

Доступ же к данным клиентов (второй тип данных), которые они хранят на сервере, сотрудники могут получить только при наличии заявки от клиента, к примеру, для оказания помощи в настройке или каких-либо дополнительных специфических услуг. При этом сотрудник, который проводит любые работы на сервере клиента, также сертифицирован дляработы с конфиденциальной информацией, а компьютеры, с которых в случае необходимости осуществляется доступ к данным клиента, оборудованы специализированным программным обеспечением для предотвращения несанкционированного доступа и сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК).

Такая организация работы, по сути, гарантирует защиту данных клиентов от потенциальных злонамеренных действий сотрудников и ограничивает потенциальную утечку информации областью защищенных и недоступных извне машин. К слову, операторский зал тоже должен быть оборудован круглосуточным видеонаблюдением для предотвращения утечек с помощью подручных средств фотофиксации.

Однако остается вопрос, над решением которого бьются системные администраторы и сотрудники служб безопасности многих компаний, – взлом информационных систем. Следует заметить, что при работе с виртуальным сервером обеспечить защиту от взлома значительно проще и прозрачнее. Когда вам нужно обеспечить безопасность передачи данных между физическими компьютерами сотрудников, на каждом из которых в отдельности есть конфиденциальная информация, вам необходимо контролировать каждый персональный компьютер, деятельность на нем в каждый момент времени. А если у вас все данные на одном виртуальном сервере, то вам нужно контролировать лишь доступ к нему.

А вот в работе с банками и брокерами есть определенная специфика, но с точки зрения безопасности данных на самом деле работа с такими клиентами не сложнее и не проще, чем слюбыми другими. Стандарты безопасности и уровень сервиса одинаково высоки как для небольшого розничного клиента, так и для крупного юридического. Спросите, почему? Дапотому, что лицензию могут отозвать за нарушение в отношении любого клиента. Да и как юридическое лицо может доверить свои данные оператору, который не может защитить данные розничного клиента? Однако стоит сказать, что по запросу самых крупных клиентов есть возможность установить дополнительные средства мониторинга, защиты, которые, по мнению клиента, нужны именно ему.

Любой оператор связи, который предоставляет свои услуги через свой узел связи (дата-центр), обязан обладать лицензиями Роскомнадзора на соответствующую деятельность. Желательно, чтобы компания была лицензирована для предоставления телематических услуг связи и услуг по передаче данных (без голосовой информации). Отдельно для работы сконфиденциальной информацией и государственной тайной необходимо получить лицензию ФСТЭК. Лицензию можно получить только при наличии внутренних процедур позащите информации, специального сертифицированного ПО и оборудования для контроля доступа к данным, а также физическую защиту носителей информации от любого способа кражи или воздействия.

Реальная же защита данных начинается с нескольких уровней безопасности и кордонов охраны помещения с видеонаблюдением, персонифицированным доступом в помещение соборудованием, а само оборудование и операторский зал при этом также находятся под круглосуточным видеонаблюдением. Вся связь проходит через сертифицированные защищенные коммутаторы, а обработка личных данных клиентов и их хранение происходят на выделенной машине под контролем специализированного программного обеспечения, гарантирующего защиту от утечек.

Так как само помещение имеет глухие стены толщиной минимум один метр, то это послужит гарантией при применении прослушивающих устройств. Зачастую подобные условия защиты невозможно создать в офисных помещениях, не говоря уже о технологической составляющей в поддержании постоянной температуры, бесперебойной связи иэлектропитания, газового пожаротушения. По сути, это хранилище данных уровня надежного банковского хранилища.

Вам интересно, к чему же все эти меры?

Во всем мире уже давно известно, что информация – это своего рода нефть. Она может быть абсолютно бесполезна, как когда-то ничего не стоила и сама нефть. Но при правильном ее использовании может стать золотой жилой и обогатить своего обладателя. В нашей стране это не так давно осознали и начали заниматься защитой данного всеобъемлющего ресурса. Самое простое применение такой информации – базы данных потенциальных клиентов. Это, вероятно, самое безвредное, если можно так выразиться. Спектр же применения самый обширный, вплоть до сбора компрометирующих личность данных и взломов банковских счетов с помощью полученной информации. Поэтому защита нужна серьезная и постоянная.

Итак, продолжим раскрывать тему организации защиты персональных данных и лицензирования при предоставлении различного рода услуг.

Допустим, вы – владелец какого-либо предприятия, размер не важен – от маленькой бухгалтерской конторы до крупной транснациональной корпорации. Содержание своей инфраструктуры для вас дорого или неприемлемо по какой-либо причине, и вы хотите передать управление по хранению и обработке данных третьей стороне.

При решении данной задачи вы должны поставить перед собой следующие вопросы:

• Имеете ли вы право передавать обработку третьей стороне и какие условия при этом требуется соблюдать вам и вашим партнерам по обработке данных? Кто несет ответственность за персональные данные при передаче обработки партнеру – третьей стороне?
• Нужны ли вам какие-либо лицензии? Какие отчеты по ним вам будет необходимо сдавать? Кто такой оператор персональных данных?
• Будете ли вы работать с конфиденциальной информацией, какие условия вы и ваш партнер при этом должны выполнять? Какие лицензии нужны?

Ответ на вопрос об ответственности за данные является одновременно самым простым и при этом основополагающим

Конечно, у вас есть возможность передавать обработку персональных данных третьей стороне, однако вы должны учитывать, что, если обработка и хранение данных передаются третьему лицу, оно должно обладать знаниями, опытом, соответствующими возможностями и мощностями и, в зависимости от типа передаваемой информации, обладать теми илииными лицензиями. Однако ответственность за хранение и обработку данных в любом случае остается на изначальной компании, то есть на вас. Поэтому подходить к выбору партнера в этом деле нужно довольно тщательно. В зависимости от типа деятельности и собираемой информации ваша компания и ваш партнер должны иметь те или иные лицензии.

Вы всегда должны руководствоваться одним принципом: если вашей компании для работы с информацией нужна конкретная лицензия, то она обязательно должна быть и у вашего партнера при передаче обработки данных.

Какие лицензии вам необходимы?

Это зависит от типа вашей деятельности и собираемой информации. Если ваш бизнес предполагает только сбор информации о клиентах, а услуги при этом не включают в себя предоставление связи (к примеру, вы – салон-парикмахерская, собираете данные о клиентах на сайте, чтобы организовать работу по записи), вам не нужна никакая лицензия (кроме лицензий на, возможно, медицинские услуги в салоне). Тут все довольно просто.

А если вы, так или иначе, предоставляете услуги связи на своем оборудовании (вы – провайдер интернета, хостер сайтов и тому подобное), то согласно закону «О связи» предоставление услуг связи с использованием своего оборудования требует наличия лицензии Роскомнадзора на предоставление телематических услуг связи, а также услуг связи безпередачи голосовой информации. Данная лицензия подразумевает, что компания-оператор имеет свой собственный сертифицированный узел связи, через который осуществляется вся деятельность по предоставлению услуг.

Алгоритм получения данной лицензии состоит в подаче заявления установленного образца, оплаты госпошлины. В течение месяца после подачи заявления вы либо получите лицензии, либо мотивированный отказ.

Лицензия обязывает оператора подавать годовую и ежеквартальную отчетность по оказанным услугам.

Следует отметить, что это касается вашей компании, если вы оказываете услуги связи от своего имени. Если вы перепродаете услуги связи от своего партнера (скажем, вы укажете вдоговоре с клиентом, что связь предоставлена другим оператором связи), формально вы можете работать без лицензии.

Возможно, у вас возникнет закономерный вопрос: «А кто регулирует пункт: «согласен на обработку персональных данных»?»

Этот пункт регулирует 152-й Федеральный закон «О персональных данных». С точки зрения закона сбор данных могут осуществлять как государственные органы, так июридические и даже физические лица. То есть он относится ко всем – и к салону красоту из примера выше, и к мобильному оператору из большой тройки. Общее для них то, чтопри сборе и обработке данных они должны руководствоваться следующими принципами:

• безусловное согласие клиента на обработку данных (галочка при предупреждении о сборе данных или подпись в дополнительном соглашении, договоре);
• прозрачная и понятная цель сбора данных (к примеру, вы собираете данные клиентов для возможности связи с ними при необходимости). Передача данных в рекламные агентства без явного согласия клиента уже является нарушением данных принципов;
• наличие принятых мер к защите данных от несанкционированного доступа (защита базы данных, ограниченный доступ сотрудников, внутренние регламенты и меры воздействия и ответственности);
• исключение из сбора данных о религиозной, расовой принадлежности, состоянии здоровья, интимной жизни, информации, являющейся конфиденциальной или относящейся кгосударственной тайне;
• наличие физической возможности по требованию клиента прекратить обработку и удалить собранные о нем данные.

Как мы видим, закон в этом отношении достаточно лоялен к бизнесу и понимает, что фактически сбором данных занимаются все, даже парикмахерская, где вы оставляете свой контактный номер. Закон в данном случае не создает препятствий, а лишь регламентирует принципы целевой обработки данных, чтобы исключить попадание телефона клиента вруки рекламщиков.

Если вы работаете с паспортами (к примеру, со сканами), собираете прочие документы, которые не являются, с одной стороны, конфиденциальной информацией, но, с другой стороны, явно избыточны при регистрации, к примеру, в интернет-магазине, вам стоит подумать о том, чтобы зарегистрироваться в качестве оператора ПДн. Стать оператором связи при этом можно в уведомительном порядке. Это будет ответом на вопрос: «Кто такой оператор персональных данных?»

Таким образом, для начала работы вашего бизнеса в большинстве случаев хватит внутренней политики по обработке персональных данных, а если вы предоставляете услуги связи, то лицензий Роскомнадзора будет вполне достаточно. Однако при этом никогда не следует забывать, что выполнять указанные выше принципы и иметь лицензии должны и ваш партнер по обработке данных, и вы, несмотря на то что обработку данных на своей стороне вы не производите.

Допустим, вы планируете работать в основном с конфиденциальной информацией (КИ)

К примеру, вы будете сотрудничать с юридическими лицами, которые собирают и хранят конфиденциальную информацию, может быть, с государственными учреждениями или сами таковым являетесь. В такой ситуации вы должны обладать соответствующей квалификацией, ресурсами, опытом и лицензией для работы с КИ.

Регулируют работу с конфиденциальной информацией Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ).

Как правило, достаточно лицензии на техническую защиту конфиденциальной информации (ТЗКИ) (если вы сами не разрабатываете средства защиты). Ее выдает ФСТЭК.

Что подразумевает под собой лицензия и как ее получить?

Чтобы иметь возможность подать заявку на данную лицензию, вы должны отвечать следующим требованиям:

• технические средства, информационные системы, помещения, где обрабатывается информация (в том числе переговорные комнаты), должны быть оборудованы средствами защиты от утечек информации по техническим каналам;
• доступ к информации должен быть под постоянным контролем, исключающим любое несанкционированное проникновение к ней;
• в штате оператора должно быть минимум два сотрудника, имеющих диплом, подтверждающий их право работать с конфиденциальной информацией;
• все объекты (сотрудники, компьютеры, ПО, помещения), которые участвуют в обработке конфиденциальной информации, должны быть аттестованы.

Помимо указанных требований, организация обязана иметь у себя набор нормативно-правовой документации (для служебного пользования). Также требуется удостоверить право собственности (аренды) помещения, которое будет аттестовано для работы с конфиденциальной информацией.

Срок получения лицензии от момента подачи всех документов на уже сертифицированное помещение может быть до полугода.

Все эти пункты отнимают массу времени, средств, однако без этого нельзя получить право работать с конфиденциальной информацией.

Если говорить о помещении и о сотрудниках, то здесь все более-менее ясно. Интерес и потенциальные сложности вызывает защита информационных систем и в целом всего программного обеспечения, которое находится в защищенном помещении под контролем сертифицированных сотрудников. Большинство операционных систем из семейства Windows, которые востребованы на рынке, являются сертифицированными. Также многие операционные системы семейства Linux сертифицированы ФСТЭКом.

Также следует напомнить вам, что разделение клиентов по принципу «ФСТЭК – не ФСТЭК» не должно «расслабить» вас в отношении клиентов «без ФСТЭКа». С того момента, кактолько вы предоставили услугу связи, начали сбор данных, вы находитесь под бдительной регуляцией и контролем Роскомнадзора и 152-го ФЗ. Потому стандарт ответственности при работе с данными должен быть одинаково высок для всех клиентов.

Соблюдение мер, направленных на защиту персональных данных, для любой организации вне зависимости от масштабов ее деятельности является обязательным. В наш высокотехнологичный век информация действительно становится по-настоящему драгоценной, а ее грамотная защита – гарантией успеха. И поэтому в сегодняшней статье мыпостарались на основе закона «О персональных данных» хотя бы немного упростить жизнь тем, для кого это действительно важно и кто сталкивается с проблемой обеспечения защиты персональных данных.

На нашем сайте samag.ru вы можете оставить свои вопросы и комментарии по этой статье. Мы обязательно обратим на них внимание и учтем ваши замечания и пожелания приподготовке нашей следующей публикации об ИТ-правоотношениях.

Комментарии могут оставлять только зарегистрированные пользователи