Меры безопасности персональных данных при обработке 

Оператор персональных данных обязан принимать меры безопасности персональных данных во исполнение требований ФЗ от 27 июля 2006 г. № 152-ФЗ “О персональных данных”. Далее — Закон о персональных данных.

В статье разберем, что это за меры и как их обеспечить.

Содержание

• Для чего нужны меры безопасности
• Перечень мер по обеспечению безопасности персональных данных
• Правовые меры
• Организационные и технические меры
• Оценка степени вреда персональным данным
• Информационные системы персональных данных
• Ответственность 

Для чего нужны меры безопасности

Законодатель установил следующие цели:

• Защита персональных данных от неправомерного или случайного доступа к ним;
• Защита от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных;
• А также защита от иных неправомерных действий в отношении персональных данных.

Следовательно, оператор обязан руководствоваться указанными целями и организовать работу с персональными данными в таком ключе, чтобы эти цели достигались.

Это прямое требование закона.

Угроза безопасности персональных данных — это совокупность условий и факторов, которые создают опасность несанкционированного, в том числе случайного, доступа к персональным данным. 

Результатом такого доступа могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных. Кроме того, иные неправомерные действия при их обработке в информационной системе персональных данных.

Перечень мер по обеспечению безопасности персональных данных

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения таких обязанностей, если иное не предусмотрено законом.

Общий перечень мер перечислен в ст. 18.1 и ст.19 Закона о персональных данных. Все меры можно классифицировать на три категории:

• Правовые;
• Организационные;
• Технические.

Далее разберем каждую категорию мер.

Правовые меры обеспечения безопасности персональных данных

Оператор обязан разработать и утвердить следующие документы:

• Категории и перечень обрабатываемых персональных данных;
• Категории субъектов, персональные данные которых обрабатываются;
• Способы, сроки их обработки и хранения;
• Порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

Важный нюанс: юридические документы необходимо не только разработать и принять, но и опубликовать.

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к Политике обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных. 

Специальное требование: Если оператор собирает данные через Интернет, то он обязан разместить указанные документы на своем сайте и обеспечить к нему доступ.

Также у оператора существует обязанность представить все указанные документы и локальные акты по запросу Роскомнадзора.

Организационно-технические меры обеспечения безопасности персональных данных

К организационным мерам можно отнести:

• Назначение оператором ответственного за организацию обработки персональных данных (для юридических лиц);
• Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону и утвержденной Политике — контроль за мерами по обеспечению безопасности и уровня защищенности информационных систем;
• Оценка вреда, который может быть причинен субъектам персональных данных, в соответствии с требованиями Роскомнадзора;
• Ознакомление работников оператора, которые осуществляют обработку данных, с положениями закона, с Политикой и иными локальными актами;
• Обучение указанных работников;
• Учет машинных носителей персональных данных;
• Обнаружение фактов несанкционированного доступа к персональным данным;

К непосредственно техническим мерам обеспечения безопасности можно отнести:

• Применение средств защиты информации, которые прошли специальную процедуру оценки соответствия;
• Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним

Оценка степени вреда персональным данным — требования Роскомнадзора

О том, как правильно осуществлять оценку степени вреда персональным данным, мы написали отдельную статью. Рекомендуем прочитать её по ссылке ниже.

Ссылка на статью «Оценка степени вреда персональным данным — требования Роскомнадзора»

Меры обеспечения защиты информационных систем персональных данных

Понятие информационной системы персональных данных содержит Закон о персональных данных. Это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Постановление Правительства РФ №1119 от 01.11.2012 классифицирует информационные системы по категориям обрабатываемых данных на 5 видов:

• Обрабатывает специальные категории персональных данных;
• Обрабатывает биометрические данные;
• Обрабатывает общедоступные персональные данные;
• Обрабатывает персональные данные сотрудников оператора;
• Обрабатывает иные персональные данные.

Перечень мер безопасности в отношении ИС

Помимо общих правовых и организационных мер обеспечения безопасности персональных данных, которые установлены ст. 18.1 Закона о персональных данных, можно выделить специальные меры именно применительно к ИС.

К таким специальным организационно-техническим мерам в отношении информационных систем обработки данных относятся:

• Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• Определение угроз безопасности персональных данных при их обработке в информационных системах;
• Обеспечение безопасности персональных данных при их обработке в информационных системах. Их исполнение обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• Принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
• Установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий с данными в информационной системе.

Всю методику обеспечения безопасности информационных систем мы подробно разобрали в отдельной статье. Рекомендуем её прочитать про ссылке ниже. В ней мы осветили такие темы:

• Нормативные акты в сфере безопасности ИС;
• Требования к защите персональных данных в информационных системах;
• Подробно о трех основных мерах защиты;
• Уровни защищенности информационных систем;
• Взаимодействие с ГосСОПКА в целях ликвидации компьютерных атак.

Ссылка на статью «Меры защиты информационных систем персональных данных»

Ответственность за несоблюдение мер безопасности в отношении персональных данных

Законом предусмотрены административная, уголовная и гражданско-правовая ответственность в случае несоблюдения оператором мер безопасности в отношении персональных данных. Разберем подробнее каждый вид ответственности и составы правонарушений.

Административная ответственность оператора

• Ч. 6 ст. 13.11 КоАП РФ — административная ответственность за нарушение требований о сохранности персональных данных

Оператор получит штраф, если не обеспечил сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ. 

Первое условие — это повлекло неправомерные действия в отношении персональных данных. Второе — оператор обрабатывает персональные данные без использования средств автоматизации.

• Ч. 1 ст. 13.11 КоАП РФ — административная ответственность за нарушение требований о защите персональных данных. 

Выше мы разобрали, что в случае утечки данных оператор обязан направить в Роскомнадзор уведомление. Вероятнее всего, Роскомнадзор возбудит дело об административном правонарушении в отношении оператора по ч. 1 ст. 13.11 КоАП РФ. 

И вот как раз невыполнение предусмотренных законом мер должно быть необходимым условием для привлечения оператор к ответственности в случае утечки персональных данных.

• Ч. 6 ст. 13.12 КоАП РФ — административная ответственность за нарушение требований о защите информации

Норма предусматривает ответственность за нарушение требований законодательства о защите информации — в том числе, персональных данных.

Уголовная ответственность оператора

• Ст. 137 УК РФ — нарушение неприкосновенности частной жизни

Ответственность может наступить только в случае собирания и распространения персональных данных, которые сам гражданин не разглашает неопределенному кругу лиц.

• Ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации

По этой статье могут быть квалифицированы действия сотрудников оператора, которые злоупотребили своим доступом к охраняемой законом информации.

• Ст. 274 УК РФ — нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

По данной статье может быть привлечен сам оператор, который работает в статусе ИП или самозанятого. Либо сотрудник оператора, нарушивший:

• Правила эксплуатации средств хранения, обработки или передачи персональных данных либо информационно-телекоммуникационных сетей;
• Правила доступа к информационно – телекоммуникационным сетям.

Обязательное условие — деяние повлекло уничтожение, блокирование, модификацию либо копирование персональных данных и причинило крупный ущерб (1 млн. рублей).

Гражданско-правовая ответственность оператора

Если оператор не соблюдает требования к защите персональных данных и этим причинил вред субъекту персональных данных, то последний вправе взыскать с оператора:

• Моральный вред;
• Имущественный вред (убытки).

Автор: Марина Новицкая, юрист и основатель юридической фирмы Итербиум.

Чем поможет Итербиум

Мы поможем внедрить правовые и организационные меры обеспечения безопасности персональных данных. Разработаем полный пакет локальных актов и иных документов в этой сфере. Проконсультируем по всем возникающим вопросам.

Специализированные юристы фирмы Итербиум знают нюансы и помогут вам организовать защиту персональных данных по закону.