Работа с персональными данными: требования законодательства и способы защиты.

Дата - 23.06.2022

Рейтинг -

С развитием сферы информационно-коммуникационных технологий в Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ регулярно вносятся изменения, в частности, ужесточается мера ответственности за нарушение действующих правил обработки персональных данных. Законом предусматривается гражданская, административная, уголовная и дисциплинарная ответственность, а в некоторых случаях размер штрафа может достигать 18 млн. рублей.

В этой статье мы расскажем об основных требованиях закона и способах защиты персональных данных, которые помогут вам грамотно организовать работу с данными клиентов и не допустить их утечки.

Что относится к персональным данным, и кто с ними работает

Закон определяет персональные данные как любую информацию, которая относится к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

То есть к персональным данными относятся не только ФИО клиента, его номер телефона, адрес или электронную почту, но и любые сведения о личности клиента, позволяющие идентифицировать его.

Обработкой считается как непосредственно сбор, запись и хранение, так и накопление, уточнение, блокирование, удаление и уничтожение персональных данных. Государственные и муниципальные органы, юридические и физические лица, которые самостоятельно или совместно с другими лицами осуществляют эти действия, называются операторами.

Требования к защите персональных данных

Все информационные системы операторов необходимо привести в соответствие с требованиями законодательства о персональных данных. Данные требования содержатся в Постановлении Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказе ФСТЭК № 21 от 18.02.2013 г., а также приказе ФСБ № 378 от 18.08.2014 г., если применяются шифровальные (криптографические) средства защиты информации.

Так, Постановление Правительства устанавливает 3 типа актуальных угроз безопасности персональных данных и 4 уровня защищенности персональных данных, а также условия, при которых информационные системы будут относиться к тому или иному уровню защищенности.

Основным уполномоченным органом для контроля за выполнением законодательства и проведения плановых и внеплановых мероприятий в области персональных данных является Роскомнадзор. В части использования средств шифрования надзор осуществляется ФСБ, а контроль за техническими средствами защиты информации — ФСТЭК.

Способы обеспечения информационной безопасности

Меры, направленные на реализацию требований к защите персональных данных можно разделить на два направления.

Организационные меры

Это действия, которые в первую очередь необходимо продумать и выполнить предпринимателю. Начните с разработки организационно-распорядительных документов:

политики обработки персональных данных,
модели угроз безопасности,
инструктажей и журналов инструктажей,
плана мероприятий по обеспечению информационной безопасности,
дополнения к трудовому договору о политике конфиденциальности и др.

Далее нужно назначить ответственных лиц, ознакомить пользователей с правилами обработки данных и регулярно осуществлять внутренний контроль. Можно провести для работников обучение или записать их на специализированные курсы, которые рекомендованы ФСТЭК.

К организационным мерам также относятся учет бумажных и электронных персональных носителей информации и фиксация всех инцидентов угрозы безопасности.

Оператор обязан уведомить субъект персональных данных (т.е. клиента) об угрозе безопасности его персональных данных. В противном случае согласно ст. 13.11 КоАП РФ, можно получить административный штраф: для должностных лиц — от 8 000 до 12 000 рублей, для ИП — от 20 000 до 40 000 рублей, для юридических лиц — от 40 000 до 80 000 рублей.

Если планируется передача персональных данных, в том числе для обработки, контрагентам и третьим лицам, с ними важно заключить дополнительные соглашения.

Технические меры

Программно-аппаратный комплекс технических средств подбирается индивидуально с учетом уровня защищенности и существующих угроз. Сначала определяют возможные каналы и виды утечки. Так, персональные данные клиентов могут попасть в неограниченный доступ из-за работников или партнеров компании, по умыслу, халатности и неосторожности. Каждый вариант нужно проработать и определить комплекс мероприятий для защиты.

К средствам защиты информации (СИЗ) относятся:

межсетевые экраны (фаерволы, брандмауэры);
антивирусные программы для защиты от вредоносных программ;
программы для изолированного выполнения программ и открытия файлов («песочницы»);
SIEM-системы (средства управления событиями информационной безопасности для фиксации угроз информационной безопасности в реальном времени).

Как и организационные меры, технические средства требуют периодического аудита для выявления уязвимостей, а также обновления в соответствии с рекомендациями контролирующих надзорных органов.

Заключение

Любой бизнес, так или иначе, имеет дело с персональными данными — сотрудников, клиентов, контрагентов, поэтому попадает под действие Закона №152-ФЗ. Чтобы избежать уголовной, административной, гражданской и дисциплинарной ответственности необходимо ознакомиться с положениями нормативных документов и провести комплекс организационно-технических мер для обеспечения информационной безопасности данных.

Если утечка все-таки произошла, правильно оформленная документация поможет грамотно провести служебное расследования, установить виновных и избежать дополнительных проверок со стороны уполномоченных органов.