Оператор персональных данных обязан принимать меры безопасности персональных данных во исполнение требований ФЗ от 27 июля 2006 г. № 152-ФЗ “О персональных данных”. Далее — Закон о персональных данных.
В статье разберем, что это за меры и как их обеспечить.
Содержание
- Для чего нужны меры безопасности
- Перечень мер по обеспечению безопасности персональных данных
- Правовые меры
- Организационные и технические меры
- Оценка степени вреда персональным данным
- Информационные системы персональных данных
- Ответственность
Для чего нужны меры безопасности
Законодатель установил следующие цели:
- защита персональных данных от неправомерного или случайного доступа к ним
- защита от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных
- а также защита от иных неправомерных действий в отношении персональных данных
Следовательно, оператор обязан руководствоваться указанными целями и организовать работу с персональными данными в таком ключе, чтобы эти цели достигались.
Это прямое требование закона.
Угроза безопасности персональных данных — это совокупность условий и факторов, которые создают опасность несанкционированного, в том числе случайного, доступа к персональным данным.
Результатом такого доступа могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных. Кроме того, иные неправомерные действия при их обработке в информационной системе персональных данных.
Перечень мер по обеспечению безопасности персональных данных
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения таких обязанностей, если иное не предусмотрено законом.
Общий перечень мер перечислен в ст. 18.1 и ст.19 Закона о персональных данных. Все меры можно классифицировать на три категории:
- правовые
- организационные
- технические
Далее разберем каждую категорию мер.
Правовые меры обеспечения безопасности персональных данных
Оператор обязан разработать и утвердить следующие документы:
- документ, определяющий политику оператора в отношении обработки персональных данных (далее — Политика)
- локальные акты, которые устанавливают процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
- локальные акты по вопросам обработки персональных данных. Такие акты должны определять для каждой цели обработки персональных данных:
- категории и перечень обрабатываемых персональных данных
- категории субъектов, персональные данные которых обрабатываются
- способы, сроки их обработки и хранения
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Важный нюанс: юридические документы необходимо не только разработать и принять, но и опубликовать.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к Политике обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных.
Специальное требование: Если оператор собирает данные через Интернет, то он обязан разместить указанные документы на своем сайте и обеспечить к нему доступ.
Также у оператора существует обязанность представить все указанные документы и локальные акты по запросу Роскомнадзора.
Организационно-технические меры обеспечения безопасности персональных данных
К организационным мерам можно отнести:
- назначение оператором ответственного за организацию обработки персональных данных (для юридических лиц)
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону и утвержденной Политике — контроль за мерами по обеспечению безопасности и уровня защищенности информационных систем.
- оценка вреда, который может быть причинен субъектам персональных данных, в соответствии с требованиями Роскомнадзора
- ознакомление работников оператора, которые осуществляют обработку данных, с положениями закона, с Политикой и иными локальными актами
- обучение указанных работников
- учет машинных носителей персональных данных
- обнаружение фактов несанкционированного доступа к персональным данным
К непосредственно техническим мерам обеспечения безопасности можно отнести:
- применение средств защиты информации, которые прошли специальную процедуру оценки соответствия
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
Оценка степени вреда персональным данным — требования Роскомнадзора
О том, как правильно осуществлять оценку степени вреда персональным данным, мы написали отдельную статью. Рекомендуем прочитать её по ссылке ниже.
Ссылка на статью «Оценка степени вреда персональным данным — требования Роскомнадзора»
Меры обеспечения защиты информационных систем персональных данных
Понятие информационной системы персональных данных содержит Закон о персональных данных. Это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Постановление Правительства РФ №1119 от 01.11.2012 классифицирует информационные системы по категориям обрабатываемых данных на 5 видов:
- обрабатывает специальные категории персональных данных
- обрабатывает биометрические данные
- обрабатывает общедоступные персональные данные
- обрабатывает персональные данные сотрудников оператора
- обрабатывает иные персональные данные
Перечень мер безопасности в отношении ИС
Помимо общих правовых и организационных мер обеспечения безопасности персональных данных, которые установлены ст. 18.1 Закона о персональных данных, можно выделить специальные меры именно применительно к ИС.
К таким специальным организационно-техническим мерам в отношении информационных систем обработки данных относятся:
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных
- определение угроз безопасности персональных данных при их обработке в информационных системах
- обеспечение безопасности персональных данных при их обработке в информационных системах. Их исполнение обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных
- принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них
- установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий с данными в информационной системе
Всю методику обеспечения безопасности информационных систем мы подробно разобрали в отдельной статье. Рекомендуем её прочитать про ссылке ниже. В ней мы осветили такие темы:
- Нормативные акты в сфере безопасности ИС
- Требования к защите персональных данных в информационных системах
- Подробно о трех основных мерах защиты
- Уровни защищенности информационных систем
- Взаимодействие с ГосСОПКА в целях ликвидации компьютерных атак
Ссылка на статью «Меры защиты информационных систем персональных данных»
Ответственность за несоблюдение мер безопасности в отношении персональных данных
Законом предусмотрены административная, уголовная и гражданско-правовая ответственность в случае несоблюдения оператором мер безопасности в отношении персональных данных. Разберем подробнее каждый вид ответственности и составы правонарушений.
Административная ответственность оператора
- ч. 6 ст. 13.11 КоАП РФ — административная ответственность за нарушение требований о сохранности персональных данных
Оператор получит штраф, если не обеспечил сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ.
Первое условие — это повлекло неправомерные действия в отношении персональных данных. Второе — оператор обрабатывает персональные данные без использования средств автоматизации.
- ч. 1 ст. 13.11 КоАП РФ — административная ответственность за нарушение требований о защите персональных данных.
Выше мы разобрали, что в случае утечки данных оператор обязан направить в Роскомнадзор уведомление. Вероятнее всего, Роскомнадзор возбудит дело об административном правонарушении в отношении оператора по ч. 1 ст. 13.11 КоАП РФ.
И вот как раз невыполнение предусмотренных законом мер должно быть необходимым условием для привлечения оператор к ответственности в случае утечки персональных данных.
- ч. 6 ст. 13.12 КоАП РФ — административная ответственность за нарушение требований о защите информации
Норма предусматривает ответственность за нарушение требований законодательства о защите информации — в том числе, персональных данных.
Уголовная ответственность оператора
- ст. 137 УК РФ — нарушение неприкосновенности частной жизни
Ответственность может наступить только в случае собирания и распространения персональных данных, которые сам гражданин не разглашает неопределенному кругу лиц.
- ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации
По этой статье могут быть квалифицированы действия сотрудников оператора, которые злоупотребили своим доступом к охраняемой законом информации.
- ст. 274 УК РФ — нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
По данной статье может быть привлечен сам оператор, который работает в статусе ИП или самозанятого. Либо сотрудник оператора, нарушивший:
- правила эксплуатации средств хранения, обработки или передачи персональных данных либо информационно-телекоммуникационных сетей,
- правила доступа к информационно – телекоммуникационным сетям,
Обязательное условие — деяние повлекло уничтожение, блокирование, модификацию либо копирование персональных данных и причинило крупный ущерб (1 млн. рублей).
Гражданско-правовая ответственность оператора
Если оператор не соблюдает требования к защите персональных данных и этим причинил вред субъекту персональных данных, то последний вправе взыскать с оператора:
- моральный вред
- имущественный вред (убытки)
Автор: Марина Новицкая, юрист и основатель юридической фирмы Итербиум.
Чем поможет Итербиум
Мы поможем внедрить правовые и организационные меры обеспечения безопасности персональных данных. Разработаем полный пакет локальных актов и иных документов в этой сфере. Проконсультируем по всем возникающим вопросам.
Специализированные юристы фирмы Итербиум знают нюансы и помогут вам организовать защиту персональных данных по закону.