Меры безопасности персональных данных при обработке 

Меры безопасности персональных данных при обработке 

In Инфобизнесу, Информационная безопасность, Персональные данные

Оператор персональных данных обязан принимать меры безопасности персональных данных во исполнение требований ФЗ от 27 июля 2006 г. № 152-ФЗ “О персональных данных”. Далее — Закон о персональных данных.

В статье разберем, что это за меры и как их обеспечить.

Содержание

Для чего нужны меры безопасности

Законодатель установил следующие цели:

  • защита персональных данных от неправомерного или случайного доступа к ним
  • защита от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных
  • а также защита от иных неправомерных действий в отношении персональных данных

Следовательно, оператор обязан руководствоваться указанными целями и организовать работу с персональными данными в таком ключе, чтобы эти цели достигались.

Это прямое требование закона.

Угроза безопасности персональных данных — это совокупность условий и факторов, которые создают опасность несанкционированного, в том числе случайного, доступа к персональным данным. 

Результатом такого доступа могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных. Кроме того, иные неправомерные действия при их обработке в информационной системе персональных данных.

Перечень мер по обеспечению безопасности персональных данных

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения таких обязанностей, если иное не предусмотрено законом.

Общий перечень мер перечислен в ст. 18.1 и ст.19 Закона о персональных данных. Все меры можно классифицировать на три категории:

  • правовые
  • организационные
  • технические

Далее разберем каждую категорию мер.

Правовые меры обеспечения безопасности персональных данных

Оператор обязан разработать и утвердить следующие документы:

  1. документ, определяющий политику оператора в отношении обработки персональных данных (далее — Политика)
  2. локальные акты, которые устанавливают процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. 
  3. локальные акты по вопросам обработки персональных данных. Такие акты должны определять для каждой цели обработки персональных данных:
  • категории и перечень обрабатываемых персональных данных
  • категории субъектов, персональные данные которых обрабатываются
  • способы, сроки их обработки и хранения
  • порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

Важный нюанс: юридические документы необходимо не только разработать и принять, но и опубликовать.

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к Политике обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных. 

Специальное требование: Если оператор собирает данные через Интернет, то он обязан разместить указанные документы на своем сайте и обеспечить к нему доступ.

Также у оператора существует обязанность представить все указанные документы и локальные акты по запросу Роскомнадзора.

Организационно-технические меры обеспечения безопасности персональных данных

К организационным мерам можно отнести:

  • назначение оператором ответственного за организацию обработки персональных данных (для юридических лиц)
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону и утвержденной Политике — контроль за мерами по обеспечению безопасности и уровня защищенности информационных систем.
  • оценка вреда, который может быть причинен субъектам персональных данных, в соответствии с требованиями Роскомнадзора
  • ознакомление работников оператора, которые осуществляют обработку данных, с положениями закона, с Политикой и иными локальными актами
  • обучение указанных работников
  • учет машинных носителей персональных данных
  • обнаружение фактов несанкционированного доступа к персональным данным

К непосредственно техническим мерам обеспечения безопасности можно отнести:

  • применение средств защиты информации, которые прошли специальную процедуру оценки соответствия 
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним

Оценка степени вреда персональным данным — требования Роскомнадзора

О том, как правильно осуществлять оценку степени вреда персональным данным, мы написали отдельную статью. Рекомендуем прочитать её по ссылке ниже.

Ссылка на статью «Оценка степени вреда персональным данным — требования Роскомнадзора»

Меры обеспечения защиты информационных систем персональных данных

Понятие информационной системы персональных данных содержит Закон о персональных данных. Это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Постановление Правительства РФ №1119 от 01.11.2012 классифицирует информационные системы по категориям обрабатываемых данных на 5 видов:

  • обрабатывает специальные категории персональных данных
  • обрабатывает биометрические данные
  • обрабатывает общедоступные персональные данные
  • обрабатывает персональные данные сотрудников оператора
  • обрабатывает иные персональные данные

Перечень мер безопасности в отношении ИС

Помимо общих правовых и организационных мер обеспечения безопасности персональных данных, которые установлены ст. 18.1 Закона о персональных данных, можно выделить специальные меры именно применительно к ИС.

К таким специальным организационно-техническим мерам в отношении информационных систем обработки данных относятся:

  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных
  • определение угроз безопасности персональных данных при их обработке в информационных системах 
  • обеспечение безопасности персональных данных при их обработке в информационных системах. Их исполнение обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных
  • принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий с данными в информационной системе

Всю методику обеспечения безопасности информационных систем мы подробно разобрали в отдельной статье. Рекомендуем её прочитать про ссылке ниже. В ней мы осветили такие темы:

  • Нормативные акты в сфере безопасности ИС
  • Требования к защите персональных данных в информационных системах
  • Подробно о трех основных мерах защиты
  • Уровни защищенности информационных систем
  • Взаимодействие с ГосСОПКА в целях ликвидации компьютерных атак

Ссылка на статью «Меры защиты информационных систем персональных данных»

Ответственность за несоблюдение мер безопасности в отношении персональных данных

Законом предусмотрены административная, уголовная и гражданско-правовая ответственность в случае несоблюдения оператором мер безопасности в отношении персональных данных. Разберем подробнее каждый вид ответственности и составы правонарушений.

Административная ответственность оператора

  • ч. 6 ст. 13.11 КоАП РФ — административная ответственность за нарушение требований о сохранности персональных данных

Оператор получит штраф, если не обеспечил сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ. 

Первое условие — это повлекло неправомерные действия в отношении персональных данных. Второе — оператор обрабатывает персональные данные без использования средств автоматизации.

  • ч. 1 ст. 13.11 КоАП РФ — административная ответственность за нарушение требований о защите персональных данных. 

Выше мы разобрали, что в случае утечки данных оператор обязан направить в Роскомнадзор уведомление. Вероятнее всего, Роскомнадзор возбудит дело об административном правонарушении в отношении оператора по ч. 1 ст. 13.11 КоАП РФ. 

И вот как раз невыполнение предусмотренных законом мер должно быть необходимым условием для привлечения оператор к ответственности в случае утечки персональных данных.

  • ч. 6 ст. 13.12 КоАП РФ — административная ответственность за нарушение требований о защите информации

Норма предусматривает ответственность за нарушение требований законодательства о защите информации — в том числе, персональных данных.

Уголовная ответственность оператора

  • ст. 137 УК РФ — нарушение неприкосновенности частной жизни

Ответственность может наступить только в случае собирания и распространения персональных данных, которые сам гражданин не разглашает неопределенному кругу лиц.

  • ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации

По этой статье могут быть квалифицированы действия сотрудников оператора, которые злоупотребили своим доступом к охраняемой законом информации.

  • ст. 274 УК РФ — нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

По данной статье может быть привлечен сам оператор, который работает в статусе ИП или самозанятого. Либо сотрудник оператора, нарушивший:

  • правила эксплуатации средств хранения, обработки или передачи персональных данных либо информационно-телекоммуникационных сетей, 
  • правила доступа к информационно – телекоммуникационным сетям,

Обязательное условие — деяние повлекло уничтожение, блокирование, модификацию либо копирование персональных данных и причинило крупный ущерб (1 млн. рублей).

Гражданско-правовая ответственность оператора

Если оператор не соблюдает требования к защите персональных данных и этим причинил вред субъекту персональных данных, то последний вправе взыскать с оператора:

  • моральный вред
  • имущественный вред (убытки)

Автор: Марина Новицкая, юрист и основатель юридической фирмы Итербиум.

Чем поможет Итербиум

Мы поможем внедрить правовые и организационные меры обеспечения безопасности персональных данных. Разработаем полный пакет локальных актов и иных документов в этой сфере. Проконсультируем по всем возникающим вопросам.

Специализированные юристы фирмы Итербиум знают нюансы и помогут вам организовать защиту персональных данных по закону.