Обработка и защита персональных данных, или Как угодить регуляторам

 ЮРИЙ КНЯЗЕВ, ООО «Агентство Р.О.С.долгЪ», начальник отдела информационной безопасности, kyi-13@ya.ru

Обработка и защита персональных данных,
или Как угодить регуляторам

В статье представлен примерный перечень технических средств защиты и локально нормативных актов, необходимых для обработки оператором персональных данных в соответствии с требованиями законодательства и регуляторов

История персональных данных (ПДн) и их защиты начинается с 1976 года, тогда комитет министров Совета Европы принял решение о разработке Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» [1], она была заключена 28 января 1981 года в Страсбурге и позже открыта для подписания странами Европы. В России Конвенция была ратифицирована лишь в начале двухтысячных годов, после этого приступили кформированию нормативно-законодательной базы в области использования и защиты ПДн. 8 июля 2006 года Государственной думой РФ был принят базовый закон – Федеральный закон № 152-ФЗ «О персональных данных» [2], который регламентировал вопросы получения, использования, передачи и других действий с ПДн, а также вопросы их защиты.

Что же такое персональные данные

Согласно последней редакции Федерального закона ПДн является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Вся соль в словах «определенному или определяемому физическому лицу». Если по информации или ее совокупности можно понять, о ком речь, то это ПДн.

Приведу несколько примеров:

• Иванов Иван Иванович, паспорт серия 12 34 номер 567890 – прямо определенное физическое лицо.
• Иванов Иван Иванович, дедушка Ивана Иванова из 7-го «А» класса – косвенно определенное физическое лицо.
• Генеральный директор ООО «Рога и копыта», телефон +7(900)123-45-67 – определяемое физическое лицо.
• Блондинка Оля – физическое лицо не определено и не может быть определено (это не ПДн или, как их еще называют, обезличенные данные).

Основными ПДн, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Кто имеет право обрабатывать персональные данные

Обрабатывать ПДн имеет право Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Другими словами, под понятие Оператор формально попадают все. Абсолютно все. Однако есть исключение, согласно п. 2 ст. 1 закона действия по обработке ПДн не распространяются на отношения, возникающие при:

• Обработке ПДн физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов ПДн.
• Обработке ПДн при работе с документами Архивного фонда РФ и аналогичных документов.
• Обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
• ПДн относятся к публичной информации о деятельности судов в РФ.

Виды персональных данных

Согласно пункту 5 Постановления Правительства РФ от 01.11.2012 № 1119 ПДн можно разделить на пять видов [3]:

• Специальные категории персональных данных – это данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
• Биометрические персональные данные – это данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором дляустановления личности субъекта ПДн. Не обрабатываются сведения, относящиеся к специальным категориям ПДн.
• Общедоступные персональные данные – это данные субъектов ПДн, полученные только из общедоступных источников ПДн, т.е. эти данные не могут подвергаться сокрытию, например сведения о доходах представителей органов государственной и муниципальной власти, либо данные, доступ к которым предоставлен с разрешения самого субъекта.
• Иные категории персональных данных – это данные, не вошедшие в первый – третий пункты.
• Персональные данные сотрудников оператора – это данные только указанных сотрудников. В остальных случаях это ПДн субъектов ПДн, не являющихся сотрудниками оператора.

Есть еще понятие «Обезличенные персональные данные», к ним относится информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.

Для чего защищать персональные данные и кто контролирует

Защита ПДн является обязанностью организации, в которой они обрабатываются. Данное положение закрепляется статьей 19 Федерального закона «О персональных данных». Оператор вправе поручить обработку, в том числе и защиту ПДн, другому лицу на основании договора при условии получения согласия субъектов ПДн.

Требования по защите ПДн установлены Постановлениями Правительства РФ № 1119 и № 687, в которых описаны вопросы неавтоматизированной обработки ПДн и их обработки с использованием средств автоматизации. Обязанность поконтролю исполнения требований, а также по разработке необходимых нормативных документов возложена на уполномоченные органы исполнительной власти.

Уполномоченными органами являются:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор России).
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
• Федеральная служба безопасности (ФСБ России).

Данные органы действуют строго в рамках своей компетенции. Таким образом, Роскомнадзор отвечает за общий контроль и надзор, представление интересов физических лиц при обработке их ПДн в организациях. ФСТЭК России регламентирует только вопросы технической защиты ПДн, а ФСБ – вопросы криптографической защиты при передаче ПДн по каналам связи. Причем при осуществлении своих функций знакомиться с данными, обрабатываемыми ворганизации, имеют право только сотрудники Роскомнадзора.

За нарушение норм законодательства о ПДн предусматривается как административная, так и уголовная ответственность, а также гражданская, дисциплинарная и другие виды ответственности.

Что нужно сделать, чтобы выполнить требования

Если коротко, то совсем немного, всего шесть шагов:

• Назначить приказом по организации ответственного сотрудника за обработку ПДн. Назначить приказом по организации ответственного сотрудника за защиту ПДн (сотрудник, отвечающий за обработку и защиту, может быть в одном лице).
• Подготовить пакет документов. Разработать политики, положения, инструкции, акты (обычно получается чуть более 30 документов).
• Если необходимо, то разместить на сайте документы. Пользовательское соглашение и Политику конфиденциальности.
• Подать Уведомление в Роскомнадзор. Заполнить специальную форму на сайте Роскомнадзора. Оригинал Уведомления необходимо отправить почтой.
• Если необходимо, установить технические средства защиты и правильно их настроить.
• Поддерживать документы в актуальном состоянии. Вносить своевременные правки в случае изменений в организации или законодательстве.

На первый взгляд кажется все просто, но давайте разберем каждый пункт подробнее.

C чего начать?!

Итак, вы наконец то решили «разобраться» с защитой персональных данных в вашей организации. С чего же начать?!

Прежде всего необходимо назначить ответственного(ых) за обеспечение безопасности ПДн в организации – обычно это начальник отдела ИБ. В небольших организациях, где не предусмотрен штатным расписанием отдел ИБ, ответственным, как правило, назначают начальника отдела кадров или начальника отдела ИТ. Основные задачи ответственного – подготовка документов по защите ПДн, контроль за соблюдением требований по защите. Возможно, потребуется назначить администратора безопасности информационных систем (об этом чуть позже).

Далее необходимо определить, где и в каком виде присутствуют персональные данные в вашей организации. Напомню, что ПДн – это любая информация о людях. Это могут быть ПДн сотрудников, данные пациентов (если речь идет омедучреждении), данные граждан (если речь идет о госучреждении) и т.д. Особое внимание следует уделить специальным категориям ПДн. К ним относятся ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. В большинстве организаций обрабатываются только ПДн сотрудников. Как правило, они присутствуют в бумажных документах (трудовые договоры, платежные ведомости, личные дела, приказы и т.д.) и в электронном виде (программы для расчета заработной платы, подготовки и передачи отчетности, выписки доверенностей и т.д.).

Затем необходимо определиться с целями обработки персональных данных, т.е. вы должны четко понимать, для чего обрабатываются те или иные ПДн. Нельзя обрабатывать ПДн без конкретной цели. Обрабатываемые ПДн группируются по целям обработки. Например: «Сотрудники», «Пациенты», «Клиенты», «Должники».

Цели могут быть разные, например:

• Обеспечение трудовых взаимоотношений (относится к сотрудникам организации).
• Обеспечение медицинской деятельности (относится к пациентам в медучреждениях).
• Обеспечение страхования жизни (относится к застрахованным гражданам).
• Оказание услуг купли-продажи недвижимости (относится к покупателям).
• Предоставление денежных займов (актуально для банков или микрофинансовых организаций) и т.п.

К данному вопросу необходимо подходить весьма серьезно и взвешенно, не стоит указывать сверх того, что вам действительно необходимо. Помните, регуляторы будут спрашивать за каждое написанное вами слово.

Для обработки ПДн в организации, за исключением ряда случаев, приведенных ниже, требуется согласие субъекта ПДн. Напомню, что субъект ПДн – это человек, ПДн которого вы обрабатываете. Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения. Это может быть дополнительный пункт в договоре или заявке, которую субъект подписывает собственноручно, либо отдельный специальный документ (в терминах закона «согласие вписьменной форме»).

Согласие в письменной форме требуется в случаях, когда, например:

• Обрабатываются специальные категории ПДн.
• Обрабатываются биометрические ПДн.
• Осуществляется трансграничная ПДн.

Согласие субъекта не требуется в случаях, когда:

• Обработка ПДн осуществляется исключительно на основании федерального закона (например, Трудового кодекса). Речь идет о передаче сведений в Пенсионный фонд, налоговые органы, ФСС, военные комиссариаты, иные органы, когда закон обязывает работодателя передавать сведения, которые относятся к ПДн (например, суды, прокуратура и т.п.).
• ПДн обрабатываются для исполнения договора, заключенного с субъектом ПДн (например, договор подряда).

В законе не закреплен точный перечень случаев, когда работодатель вправе предоставить третьим лицам персональные сведения о работнике без его согласия.

Однако определенную информацию можно получить из ст. 88 ТК РФ. В ней указано, что в целях предупреждения угрозы жизни и здоровью работника работодатель вправе предоставить третьим лицам ПДн работника без его согласия.

К таким случаям можно отнести несчастный случай на производстве, при котором необходимо доставить в учреждение здравоохранения пострадавшего, проинформировать его родственников.

Вместе с тем следует учитывать, что, поскольку в законодательстве не закреплен перечень ситуаций, представляющих угрозу жизни или здоровью работника, работодатель в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы.

На следующем этапе для каждой группы ПДн необходимо определить способы обработки:

• Неавтоматизированная обработка – это обработка ПДн на бумажных носителях.
• Автоматизированная обработка (или обработка в информационных системах ПДн) предполагает использование средств автоматизации.
• Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку ПДн. Она встречается наиболее часто.

По результатам данного этапа необходимо оформить документ «Перечень персональных данных». В нем обязательно нужно указать:

• Группы ПДн.
• Перечень обрабатываемых ПДн (ФИО, адрес, паспортные данные и т.д.).
• Цели обработки.
• Срок хранения ПДн.
• Способ обработки и другие сведения на ваше усмотрение.

Организация, обрабатывающая ПДн, должна зарегистрироваться в Роскомнадзоре. Для этого необходимо подать Уведомление об обработке ПДн. Подавать уведомление не требуется в случаях, предусмотренных ст. 22, п. 2 Федерального закона о персональных данных.

Уведомление отправляется в электронном виде, заполняется форма на сайте [4] и дублируется в бумажном виде с подписью руководителя организации и печатью.

Субъект ПДн имеет право запросить сведения о наличии в организации его ПДн и сами ПДн. Для работы с такими обращениями необходимы документы:

• Инструкция по работе с обращениями субъектов ПДн – в ней можно указать права субъекта ПДн, права оператора ПДн. Форма заявления субъекта на уточнение его ПДн, форма заявления субъекта на уничтожение его ПДн, форма заявления на отзыв согласия на обработку ПДн и д.р.
• Журнал для регистрации таких обращений и набор бланков для ответов субъекту.

Автоматизированная и неавтоматизированная обработка

При автоматизированной обработке ПДн прежде всего необходимо выделить информационные системы персональных данных (ИСПДн).

Информационная система персональных данных – это совокупность программных (например, «1С:Предприя-тие») и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.), на которых или при помощи которых обрабатываются ПДн.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн. Например, во многих банках можно выделить две ИСПДн – «Сотрудники» и «Клиенты». Они имеют разные цели обработки ПДн. У всех ИСПДн должен быть назначен администратор безопасности.

Администратор безопасности – сотрудник, в должностные обязанности которого входит обеспечение защиты ПДн в информационной системе. Он должен следить за работой средств защиты информации, своевременно проводить антивирусные проверки, консультировать сотрудников по вопросам безопасности ПДн и т.п. Администраторов безопасности может быть несколько (например, по одному на каждую ИСПДн). Администратор безопасности назначается приказом руководителя (Приказ о назначении администратора безопасности информационных систем персональных данных).

Для каждой ИСПДн должна быть разработана Частная модель актуальных угроз. В этом документе из всех возможных угроз безопасности ПДн выделяются те, которые реально представляют опасность. Модель угроз разрабатывается наоснове экспертных оценок. Если в организации нет штатного специалиста по ИБ, то разработку модели угроз целесообразно поручить организации, которая имеет необходимое (три-четыре человека) количество специалистов (людей, имеющих образование по защите информации и работающих в данной области).

Система защиты ПДн разрабатывается именно на основании модели угроз и требований к уровню защищенности ИСПДн.

В большинстве случаев система защиты информации должна включать следующие средства защиты:

• Средства антивирусной защиты. Хорошая практика, когда используются антивирусы разных вендоров – например, на рабочих станциях пользователей установлен антивирус одного разработчика, а на серверах, интернет-шлюзе – другого.
• Средство защиты от несанкционированного доступа.
• Межсетевой экран.

В соответствии с Приказом ФСТЭК России № 21 [5] при использовании в информационных системах средств защиты информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям побезопасности информации. Если осуществляется передача ПДн по открытым каналам (через глобальную сеть Интернет), то должны использоваться средства шифрования. eof

1. Конвенция о защите физических лиц при автоматизированной обработке персональных данных – http://www.consultant.ru/document/cons_doc_LAW_121499.
2. Федеральный закон № 152-ФЗ «О персональных данных» – http://www.consultant.ru/document/cons_doc_LAW_61801.
3. Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» – http://www.consultant.ru/document/cons_doc_LAW_137356/8c86cf6357879e861790a8a7ca8bea4227d56c72/#dst100017.
4. Форма уведомления – https://pd.rkn.gov.ru/operators-registry/notification/form.
5. Приказ ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» – http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691.

Комментарии могут оставлять только зарегистрированные пользователи