Персональные данные: кто придёт вас проверить?

Закон «О персональных данных» действует с 2006 года, но вопросов о порядке его применения до сих пор остаётся множество. Они возникают из-за нечётких формулировок, неполных определений, запутанных норм и т. д.

К сожалению, закон — это только вершина айсберга. К нему прилагается очень много других документов, изданных разными ведомствами. И если вы каким-то образом используете персональные данные, эти ведомства могут вас проверить.

В этой статье мы расскажем о том, кто к вам может прийти, и что проверить.

Правительственной организацией, проверяющей исполнение закона «О персональных данных», назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). На практике, она проверяет лишь «бумажную» сторону дела: внутренние документы, которые должны быть у вас по действующему закону.

Если для обработки данных вы используете компьютеры и компьютерные сети, кроме организационных и административных регламентов, вам неизбежно потребуются технические средства защиты. В некоторых случаях они должны быть сертифицированными.

Техническими средствами защиты данных занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК). Список сертифицированных средств защиты данных опубликован на сайте ФСТЭК.

Если в применённых вами средствах защиты данных использована криптография, к надзору подключается Федеральная служба безопасности РФ (ФСБ). Сертифицированные средства криптографической защиты перечислены на сайте ФСБ.

• Роскомнадзор

  - Необходимость и наличие уведомления об операторской деятельности

  - Наличие «Политики оператора в отношении обработки персональных данных»

  - Опубликована ли Политика на сайте или иным способом?

  Имеется ли приказ о назначении лица, ответственного за осуществление Политики?
• ФСТЭК

  - Правильно ли определен тип угроз?

  - Правильно ли определена категория обрабатываемых данных?

  - Правильно ли определен требующийся уровень защищённости?

  - Правильно ли применены выбранные технические средства защиты?

• ФСБ

  - Используются ли криптографические средства защиты?

  - Сертифицированы ли средства, которые должны быть сертифицированы?

  - Правильно ли применены криптографические средства защиты?

Никакие другие ведомства проводить проверки по обработке персональных данных не уполномочены и, соответственно, заниматься такими проверками не могут.

Непосредственно для обработки персональных данных никакие лицензии не нужны, но для обеспечения их безопасности могут потребоваться сертифицированные технические средства.

• Ознакомиться с текстом федерального закона № 152 «О персональных данных»
• Понять, какого рода данные вы планируете обрабатывать, и распространяется ли на вас действие указанного закона
• Осознать угрозы, которые могут возникать в отношении обрабатываемых вами данных
• Определить способы и инструменты защиты данных
• Составить и должным образом оформить внутренние регламентирующие документы
• Получить согласия лиц, персональные данные которых вы намерены обрабатывать
• Применить выбранные вами способы и инструменты защиты данных
• Уточнить, нет ли других норм, относящихся к вашему случаю

• Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006
• Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012
• Рекомендации Роскомнадзор по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
• Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК)№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013
• Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013
• Приказ Федеральной службы безопасности России (ФСБ) № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» от 10.07.2014
• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006
• Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011
• Ряд государственных стандартов

Здесь перечислены лишь основные документы по этому вопросу. Полный список связанных нормативов намного больше.

Организации или индивидуальные предприниматели, вынужденные в рамках своей деятельности использовать персональные данные, столкнувшись с ворохом норм, часто теряют уверенность в том, что сумеют полностью и правильно исполнить эти нормы.

В этом случае можно обратиться к сторонней организации, имеющей лицензии в области защиты информации, чтобы она провела аттестацию вашей информационной системы на предмет её соответствия российскому законодательству.

Список организаций, лицензированных ФСТЭК, опубликован на сайте федеральной службы.

Стоит ли тратить ресурсы на аттестацию по обработке персональных данных, решать каждому самому.