К вопросу обеспечения защиты личной информации граждан российские власти относятся очень серьезно и для предупреждения несанкционированного их использования разработали специальную нормативно-правовую базу, основой которой является ФЗ-152. В нем не только четко указано, кто является оператором персональных данных, но и какие обязанности на него возлагаются на разных этапах обработки, а также прописана ответственность за нарушения. Досконально разобраться в юридических тонкостях неспециалисту проблематично, поэтому растет число ИП и юридических лиц, которые сотрудничают с компаниями-консультантами. Но даже при делегировании полномочий заказчику важно понимать, чего от него требует Федеральный закон, чтобы правильно организовать работу информационных систем, подобрать оптимальные меры защиты и разработать соответствующую локальную документацию.
Основные права и обязанности оператора персональных данных
В ФЗ-152 нет четкого упоминания о том, на что имеет право предприятие, муниципальный, государственный орган или физическое лицо, осуществляющее операции с ПДн. Прописаны только права субъектов на доступ к информации, принятие решения при автоматизированной обработке, обжалование бездействия либо действий организации. Определение того, что конкретно могут делать операторы, представлено в согласии на обработку ПДн, которое подписывает гражданин, и соответствующем уведомлении в РКН. Речь может идти о:
- сборе и накоплении;
- анализе и систематизации;
- уточнении (коррекции либо дополнении);
- извлечении и использовании;
- передаче третьим лицам;
- блокировке и обезличивании;
- уничтожении и удалении.
Список того, что оператор персональных данных обязан делать, гораздо обширнее и занимает целую главу в законе, поэтому заслуживает более детального изучения.
Регистрация в Реестре РКН
Законными считаются только те действия с личными сведениями физических лиц, о которых организация заблаговременно сообщила в Роскомнадзор. Процедура предельно простая — нужно составить и подать уведомление в орган надзора в письменном или электронном (во втором случае нужна будет ЭЦП) виде, после чего дождаться внесения в единую базу. При недостаточно полной информации может потребоваться уточнение тех или иных пунктов, а ошибки и неточности в заполнении полей могут привести к штрафам и судебным разбирательствам. Желательно привлечь на данном этапе профессионалов, которые не только проследят за правильностью составления документа (либо сами заполнят необходимые поля), но и проконсультируют относительно внедрения СЗИ и подготовки внутренних документов, регулирующих операции с ПДн.
Главное, что должно быть указано в уведомлении:
- сведения об операторе — наименование либо Ф.И.О., адрес (юридический и фактический, телефон, ИНН или ОГРН);
- список запланированных действий и цели сбора и использования ПДн;
- нормативно-правовая база деятельности и категории данных, подлежащих сбору, хранению, анализу и т.д.;
- применяемые средства защиты и тип ИСПДн;
- сведения о центре обработки данных;
- сведения о трансграничной передаче;
- сведения об ответственном лице;
- сведения о филиалах;
- условия прекращения обработки;
- дата и подпись (обычная или электронная).
Начинать обработку информации в автоматизированных, неавтоматизированных или смешанных системах запрещено до направления уведомления в РКН. Но существуют определенные исключения, например, нет необходимости уведомлять контролирующий орган об использовании сведений о сотрудниках или обработке только Ф.И.О. Кроме этого, избежать отправки документа можно, если субъект сделал сведения о себе общедоступными либо подписал с вами договор, в рамках которого предусмотрены те или иные действия с персональными данными.
Кроме уведомления для легального осуществления действий с ПДн оператор обязан подготовить политику, регулирующую обработку личной информации, и ряд других внутренних документов, среди которых:
- форма согласия, которую нужно будет подписывать субъектам;
- приказ о назначении определенного сотрудника лицом ответственным за организацию обработки персональных данных;
- правила внутреннего контроля и/или аудита;
- инструкции по работе с персональными данными в информационных системах;
- модель угроз для каждой ИСПДн;
- поручение (при передаче полномочий сторонней организации).
Обязанности на этапе сбора ПДн
Во время получения персональных данных организация должна позаботиться о следующих моментах:
- сообщить субъекту о факте обработки, целях и методах совершения операций;
- получить добровольное согласие на использование сведений;
- при необходимости разъяснить последствия отказа от предоставления ПДн;
- обеспечить хранение, извлечение, обновление и другие действия с данными на серверах, расположенных в пределах РФ.
Проводить информационную работу с владельцами ПДн нет необходимости, если они уже предварительно уведомлены, есть подписанный договор, предусматривающий совершение операций с персональными данными либо сведения являются общедоступными.
Обеспечение конфиденциальности сведений
Особенно детально в ФЗ-152 прописана необходимость профилактики несанкционированного доступа и распространения ПДн. Для этого требуется:
- сообщать сведения третьей стороне только при получении дополнительного согласия от субъекта в письменной форме;
- предупреждать сотрудников, допущенных к персональным данным, о том, что обработка ведется исключительно в заранее установленных целях;
- осуществлять периодический контроль исполнения требований законодательства и локальных актов;
- не допускать получения доступа лицами без соответствующих полномочий;
- запрашивать только тот объем персональной информации, который необходим для выполнения поставленных задач.
Принятие мер безопасности
Точный спектр мероприятий, направленных на защиту ПДн, операторы вправе устанавливать сами, исходя из особенностей своей деятельности, но есть ряд требований, которые нужно исполнять в любом случае. К ним относятся:
- Определение потенциальных угроз и разработка способов противодействия.
- Применение сертифицированных средств защиты информации.
- Оценка эффективности внедренных мер защиты.
- Учет материальных носителей ПДн.
- Регулярная проверка системы на отсутствие признаков взлома.
- Установление правил доступа, учет и регистрация совершаемых с ПДн действий.
- Выявление и устранение незаконных изменений, восстановление удаленной информации и принятие мер противодействия НСД в будущем.
Устранение нарушений
В случае выявления незаконных операций с ПДн оператор должен:
- заблокировать данные, с которыми совершались неправомерные действия;
- обеспечить прекращение операций, нарушающих права гражданина;
- прекратить обработку ПДн при достижении целей, которые были установлены при сборе.
Назначение ответственных лиц
Среди обязанностей оператора при обработке персональных данных (если он является юридическим лицом или ИП с работниками) одной из основных является определение работников, которые согласно полученным от руководства указаниям и локальным документам (инструкциям, правилам, приказам) будут осуществлять организацию и контроль за обработкой ПДн. В список выполняемых им задач входит:
- проведение внутренних проверок за соблюдением нормативов ФЗ-152 на предприятии с составлением и подачей оператору отчетов;
- информирование персонала о правилах сбора, хранения, копирования, изменения, блокировки ПДн и необходимости соблюдения мер безопасности;
- организация приема и реагирования на запросы от субъектов ПДн и их законных представителей.
Ответственность оператора персональных данных за невыполнение обязанностей
Несоблюдение требований относительно обработки ПДн предполагает привлечение к различным видам ответственности, причем наказать могут как уполномоченного за безопасность информации сотрудника, так и все предприятие. Мера ответственности и способ наказания определяются в зависимости от серьезности нарушения согласно ФЗ-152, а также отдельных статей Трудового, Гражданского, Административного и Уголовного Кодексов Российской Федерации. Это может быть:
- возмещение имущественного и морального вреда;
- увольнение, замечание либо выговор;
- лишение права занимать определенные должности сроком от 2 до 5 лет и более;
- принудительные или исправительные работы;
- арест и лишение свободы;
- штрафные санкции.
Своевременное инвестирование в оптимизацию деятельности согласно ФЗ-152 и подзаконных актов позволит не переживать во время проверок Роскомнадзора и стать в восприятии партнеров, клиентов и сотрудников представителем социально ответственного бизнеса.