Компании – операторы персональных данных должны принимать правовые, технические и организационные меры по защите таких данных. В статье изложено, в чем заключается каждая из таких мер и какие действия нужно совершить, чтобы их соблюсти.
Над статьей работали:
Автор: Сыскова Юлия; редактор: Бурцева Алла
Содержание
Правовые меры
Компания, собирая, храня, используя, передавая или уничтожая сведения, относящиеся к любому физическому лицу, является оператором персональных данных. По общему правилу до начала обработки личных сведений граждан необходимо уведомить Роскомнадзор о своем намерении обрабатывать такую информацию (ч. 1 ст. 22 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ).
Исключение из этого правила составляет обработка сведений о гражданах (ч. 2 ст. 22 Закона № 152-ФЗ):
• без использования средств автоматизации;
• включенных в государственные информационные системы, которые созданы для безопасности государства и общественного порядка;
• в случаях, предусмотренных законодательством РФ о транспортной безопасности.
Уведомление нужно составить по форме, приведенной в приложении № 1 к Приказу Роскомнадзора от 28.10.2022 № 180. Документ должен быть подписан уполномоченным лицом (ч. 3 ст. 22 закона № 152-ФЗ).
Кроме того, компания обязана иметь определенный комплект документов, которые регулируют порядок работы с личными сведениями. Так, каждая организация должна выработать политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). При составлении этого документа можно использовать рекомендации, разработанные Роскомнадзором.
Компания должна обеспечить неограниченный доступ к политике. Если она осуществляет сбор личных сведений граждан посредством своего сайта, доступ к политике должен быть обеспечен на всех страницах сайта, с помощью которых происходит сбор сведений (ч. 2 ст. 18 закона № 152-ФЗ).
В организации также должны быть разработаны локальные нормативные акты, которые (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ):
• определяют категории и перечень обрабатываемых сведений для каждой из целей обработки;
• устанавливают категории граждан, сведения о которых обрабатываются;
• определяют способы, сроки обработки и хранения полученных данных;
• устанавливают порядок уничтожения личных сведений граждан, если цели их обработки были достигнуты;
• устанавливают процедуры, направленные на выявление нарушений законодательства, устранение их последствий, а также на предотвращение совершения данных нарушений в будущем.
Руководитель компании своим приказом должен назначить сотрудника, который будет отвечать за организацию обработки личных сведений граждан (ч. 1 ст. 22.1 закона № 152-ФЗ). В его обязанности, в частности, входят (ч. 4 ч. 1 ст. 22.1 закона № 152-ФЗ):
• внутренний контроль за соблюдением компанией и ее сотрудниками российского законодательства о персональных данных;
• доведение до сведения сотрудников положений законодательства и локальных актов компании по вопросам обработки и защиты личных сведений граждан;
• организация приема и обработки обращений и запросов субъектов персональных данных или их представителей.
Кроме того, руководитель фирмы своим приказом должен утвердить перечень сотрудников, имеющих право обрабатывать личные сведения граждан. С каждого из них нужно взять письменное обязательство о неразглашении персональных данных.
Технические меры
По общему правилу при сборе персональных данных, в том числе через Интернет, компания должна обеспечить хранение и обработку данных граждан РФ, используя базы данных, находящиеся исключительно на территории России (ч. 5 ст. 18 закона № 152-ФЗ).
Состав и содержание мер по обеспечению безопасности персональных данных зависит от уровня защищенности таких данных. Всего существует 4 уровня защиты. Чтобы выбрать нужный, необходимо определить тип угрозы безопасности сведений (пп. 7, 8 требований, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119). Это делается с учетом оценки возможного вреда, проведенной в соответствии с требованиями, утвержденными Приказом Роскомнадзора от 27.10.2022 № 178.
Если, например, компания достаточно обеспечить минимальный (четвертый) уровень защищенности сведений, она может произвести (приложение к составу и содержанию организационных и технических мер, утвержденных Приказом ФСТЭК России от 18.02.2013 № 21):
• идентификацию и аутентификацию пользователей работников компании и внешних пользователей;
• управление учетными записями пользователей;
• разграничение доступа различных категорий пользователей;
• разделение полномочий администраторов, лиц, обеспечивающих функционирование информационной системы и простых пользователей системы;
• ограничение неуспешных попыток входа в систему;
• сбор, запись и хранение информации о событиях безопасности в течение установленного времени;
• антивирусную защиту и своевременное обновление базы данных вирусов;
• контроль за установкой обновлений программного обеспечения;
• размещение мониторов и принтеров, исключающее несанкционированный просмотр информации
• обеспечение защиты персональных данных от раскрытия, модификации, ввода ложной информации при ее передаче по каналам связи.
Организационные меры
Организация защиты сведений зависит от того, в каком виде они хранятся. Если данные хранятся на бумаге, в целях обеспечения безопасности нужно:
• определить помещения, в которых хранятся личные сведения граждан;
• организовать их охрану, например, установить замки, решетки на окнах, поставить сигнализацию и видеонаблюдение;
• организовать особый режим доступа в такие помещения, в частности, определить круг лиц, которые могут в них заходить;
• установить конкретные места хранения данных, например сейфы, железные шкафы.
Для работников, которые осуществляют воинский учет, необходимо выделить специально оборудованные помещения и железные шкафы, обеспечивающие сохранность документов по воинскому учету (п. 21 методических рекомендаций по ведению воинского учета в организациях, утвержденных Генштабом Вооруженных Сил РФ 11.07.2017).
Защиту нужно организовать с учетом того, что персональные данные (материальные носители), которые обрабатываются в разных целях, нужно хранить отдельно (п. 14 положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687).
Если компания обрабатывает личные сведения с помощью информационной системы, организовать защиту будет сложнее. Для этого можно привлечь специализированную организацию или предпринимателя, имеющих лицензию на деятельность по технической защите конфиденциальной информации (п. 2 состава и содержания организационных и технических мер, утвержденных Приказом ФСТЭК России от 18.02.2013 № 21).
Если, например, компания может обеспечить минимальный (четвертый) уровень защищенности сведений, ей достаточно (п. 13 постановления № 1119):
• обеспечить безопасность помещений, в которых размещена информационная система, от неконтролируемого проникновения или неправомерного доступа, а также от пребывания в них лиц, не имеющих на это право;
• обеспечить сохранность носителей личных сведений граждан;
• утвердить перечень сотрудников, которые для исполнения своих трудовых обязанностей имеют доступ к персональным данным, обрабатываемым в системе;
• использовать средства защиты, прошедшие процедуру оценки соответствия требованиям законодательства в области обеспечения безопасности информации, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Если компании требуется обеспечить третий уровень защищенности данных, ей дополнительно к вышеперечисленному нужно назначить сотрудника, ответственного за обеспечение безопасности сведений в информационной системе (п. 14 постановления № 1119).
Каждая компания должна организовать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на российские информационные ресурсы (ч. 12 ст. 19 закона № 152-ФЗ). При таком взаимодействии нужно пользоваться порядком, утвержденным Приказом ФСБ России от 13.02.2023 № 77.
Вы можете оставить первый комментарий