Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Деньги
Личный опыт
Инвестиции
Карьера
Право
Путешествия
Мнения
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Digital Rights Center

Как избежать рисков при обработке персональных данных

Вопросы обработки и защиты персональных данных являются актуальными для множества компаний среднего и малого бизнеса. Это связано с увеличением штрафных санкций за несоответствие требованиям законодательства и ростом количества утечек данных, которые больно бьют по репутации бизнеса, приводят к убыткам и срыву контрактов.

Как избежать рисков при обработке персональных данных

При приведении информационной системы персональных данных в соответствие с требованием закона менеджмент организаций сталкивается с трудностями, связанными с отсутствием понимания того, какие меры будут эффективными и достаточными для добросовестного выполнения обязанностей оператора ПД. В данной статье юристы Digital Rights Center освещают вопросы регулирования обработки персональных данных и приводят конкретные действия, помогающие минимизировать штрафы за нарушение прав субъектов персональных данных.

Законодательство о защите персональных данных устанавливает обязанность операторов персональных данных принимать необходимые меры для обеспечения защиты персональных данных. При этом, оператор самостоятельно устанавливает перечень необходимых и достаточных мер, исходя из положений Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.

Меры, разработанные для частных юридических лиц, можно разделить на организационные и технические.

Организационные меры включают в себя:

1) Назначение лица, ответственного за организацию обработки персональных данных. В обязанности такого сотрудника входит общий контроль за соблюдением законодательства о персональных данных другими работниками, разъяснение положений законодательства, касающихся вопросов обработки персональных данных и организация приема и обработки обращений субъектов персональных данных, а также контроль за этим процессом.

Отметим, что не предусмотрены какие-либо особые требования к должности лица, ответственного за обработку персональных данных.

2) Разработка локальных актов, регламентирующих процесс обработки персональных данных. К ним относятся:

- Приказ о назначении ответственного за организации обработки персональных данных;

- Политика обработки персональных данных;

- Приказ о допуске сотрудников к обработке персональных данных;

- Приказ об утверждении Правил рассмотрения запросов субъектов персональных данных и т.д.

Полный список документов можно найти в Постановлении Правительства от 21 марта 2012 г. № 211. Нет необходимости издавать все перечисленные в данном постановлении локальные акты, достаточно будет тех документов, которые нужны именно вашей компании для выполнения требований закона №152-ФЗ и прохождения проверок Роскомнадзора.

Подробнее остановимся на политике обработки персональных данных. Она определяет основные принципы, цели, условия и способы обработки персональных данных, перечни обрабатываемых персональных данных, функции при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных. Политика обработки персональных данных должна находиться в публичном доступе. Администраторы веб-сайтов обязаны разместить ссылку на документ на своем сайте.

3) Определение перечня мероприятий по защите персональных данных их реализация.

К техническим мерам защиты персональных данных относятся меры, установленные Федеральной службой по техническому и экспортному контролю в Приказе №21, а именно:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;

- регистрация событий безопасности;

- антивирусная защита;

- обнаружение (предотвращение) вторжений;

- контроль (анализ) защищенности персональных данных;

- обеспечение целостности информационной системы и персональных данных;

- обеспечение доступности персональных данных;

- защита среды виртуализации;

- защита технических средств;

- защита информационной системы, ее средств, систем связи и передачи данных;

- выявление инцидентов и реагирование на них;

- управление конфигурацией информационной системы и системы защиты персональных данных.

Определяя меры защиты персональных данных (организационные и технические), операторы обязаны отталкиваться от вреда, который может быть причинен субъектам персональных данных. Алгоритм подбора необходимых и достаточных мер выглядит следующим образом:

1. Во-первых, нужно определить уровень защищенности информационной системы персональных данных в вашей организации. Существуют следующие виды информационных систем персональных данных:

- Информационная система, которая обрабатывает специальные категории ПД;

- Информационная система, которая обрабатывает биометрические ПД;

- Информационная система, которая обрабатывает общедоступные категории ПД;

- Информационная система, которая обрабатывает иные категории ПД;

- Информационная система, которая обрабатывает только ПД сотрудников оператора.

2. Во-вторых, следует установить, угрозы какого типа характерны для информационной системы персональных данных. Всего 3 типа угроз:

- Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

- Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

- Угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

3. Далее устанавливается уровень защищенности персональных данных. Критерии, по которым определяется уровень защищенности персональных данных и необходимые меры к каждому уровню защищенности приведены в Постановлении Правительства РФ от 1 ноября 2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

До начала обработки персональных данных оператор должен уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Непредставление уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ. Можно обрабатывать персональные данные без уведомления в следующих случаях:

- Когда обрабатываются ПД только сотрудников организации;

- ПД получены в связи с заключением договора, не распространяются и не предоставляются третьим лицам без согласия субъекта и используются исключительно для исполнения обязанностей по договору;

- ПД относятся к членам общественного объединения, не распространяются и не предоставляются третьим лицам без согласия субъекта;

- ПД включают только ФИО;

- ПД используются только для одноразового пропуска на территорию;

- ПД, обрабатываются без использования средств автоматизации.

Таким образом, основной риск при обработке персональных данных заключается в штрафах за правонарушения в области персональных данных. Компания несет юридическую ответственность за незаконную обработку персональных данных, использование персональных данных без разрешения, отсутствие политики конфиденциальности, непредоставление гражданину сведений по запросу и т.д. Максимальная сумма штрафа за повторное правонарушение достигает 18 млн. р. В связи с этим бизнесу целесообразно как можно раньше установить режим конфиденциальности персональных данных, определить необходимые меры защиты и позаботиться о наличии правового основания обработки персональных данных.

Публикация подготовлена при поддержке юристов Digital Rights Center.

Как избежать рисков при обработке персональных данных
Начать дискуссию