Персональные данные: кто придёт вас проверить?
Закон «О персональных данных» действует с 2006 года, но вопросов о порядке его применения до сих пор остаётся множество. Они возникают из-за нечётких формулировок, неполных определений, запутанных норм и т. д.
К сожалению, закон — это только вершина айсберга. К нему прилагается очень много других документов, изданных разными ведомствами. И если вы каким-то образом используете персональные данные, эти ведомства могут вас проверить.
В этой статье мы расскажем о том, кто к вам может прийти, и что проверить.
Правительственной организацией, проверяющей исполнение закона «О персональных данных», назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). На практике, она проверяет лишь «бумажную» сторону дела: внутренние документы, которые должны быть у вас по действующему закону.
Если для обработки данных вы используете компьютеры и компьютерные сети, кроме организационных и административных регламентов, вам неизбежно потребуются технические средства защиты. В некоторых случаях они должны быть сертифицированными.
Кто и что может проверить?
- Роскомнадзор
- Необходимость и наличие уведомления об операторской деятельности
- Наличие «Политики оператора в отношении обработки персональных данных»
- Опубликована ли Политика на сайте или иным способом?
Имеется ли приказ о назначении лица, ответственного за осуществление Политики? - ФСТЭК
- Правильно ли определен тип угроз?
- Правильно ли определена категория обрабатываемых данных?
- Правильно ли определен требующийся уровень защищённости?
- Правильно ли применены выбранные технические средства защиты?
- ФСБ
- Используются ли криптографические средства защиты?
- Сертифицированы ли средства, которые должны быть сертифицированы?
- Правильно ли применены криптографические средства защиты?
Никакие другие ведомства проводить проверки по обработке персональных данных не уполномочены и, соответственно, заниматься такими проверками не могут.
Непосредственно для обработки персональных данных никакие лицензии не нужны, но для обеспечения их безопасности могут потребоваться сертифицированные технические средства.
Как выполнить нормы обработки персональных данных?
- Ознакомиться с текстом федерального закона № 152 «О персональных данных»
- Понять, какого рода данные вы планируете обрабатывать, и распространяется ли на вас действие указанного закона
- Осознать угрозы, которые могут возникать в отношении обрабатываемых вами данных
- Определить способы и инструменты защиты данных
- Составить и должным образом оформить внутренние регламентирующие документы
- Получить согласия лиц, персональные данные которых вы намерены обрабатывать
- Применить выбранные вами способы и инструменты защиты данных
- Уточнить, нет ли других норм, относящихся к вашему случаю
В большинстве случаев утечка персональных данных — результат безалаберности и игнорирования элементарных правил информационной безопасности сотрудниками компании, а не каких-то серьёзных технических просчётов.
Если к вам придут с проверкой, а вы не соответствуете ФЗ-152, вы отделаетесь штрафом. И такое случается крайне редко. А вот если произойдёт утечка данных, скорее всего, вы потеряете бо́льшую часть клиентов, причём, навсегда.
Именно поэтому нужно начинать с внутренних правил и организации работы сотрудников, имеющих доступ к персональным данным ваших клиентов.
Какие нормативные акты относятся обработке персональных данных?
- Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006
- Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012
- Рекомендации Роскомнадзор по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК)№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013
- Приказ Федеральной службы безопасности России (ФСБ) № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» от 10.07.2014
- Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006
- Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011
- Ряд государственных стандартов
Здесь перечислены лишь основные документы по этому вопросу. Полный список связанных нормативов намного больше.
Как подстраховаться?
Организации или индивидуальные предприниматели, вынужденные в рамках своей деятельности использовать персональные данные, столкнувшись с ворохом норм, часто теряют уверенность в том, что сумеют полностью и правильно исполнить эти нормы.
В этом случае можно обратиться к сторонней организации, имеющей лицензии в области защиты информации, чтобы она провела аттестацию вашей информационной системы на предмет её соответствия российскому законодательству.
Список организаций, лицензированных ФСТЭК, опубликован на сайте федеральной службы.
Стоит ли тратить ресурсы на аттестацию по обработке персональных данных, решать каждому самому.
-Как выполнить нормы обработки персональных данных?
-Никак.
Начнем с пункта удаления ПД после обработки и закончим вопросом можно ли манипулировать медицинскими ПД лицами без медобразования (сисадмины-врачи).