Правовые и организационные вопросы обеспечения безопасности персональных данных

Закон "О персональных данных" (№ 152-ФЗ) поставил перед большинством российских компаний сложнейшую задачу. Сформирована нормативная база, определена ответственность, контролирующие органы получили соответствующие полномочия, растет количество проверок. Многие организации уже реализовали, некоторые находятся на этапе реализации требований законодательства в области защиты персональных данных. Известны предприятия, которые уже прошли этапы модернизации системы защиты персональных данных после прошедших проверок регуляторов и осознания собственных ошибок, в числе которых излишние затраты на построение системы защиты персональных данных.

Ошибки этих предприятий, как правило, следующие:

  • недостаточное внимание правовым вопросам обработки персональных данных;
  • шаблонный подход к разработке политики информационной безопасности (путем незначительного преобразования макетов организационно-распорядительных документов, скачанных по одной из многочисленных ссылок в Интернете).

Пренебрежение правовыми мерами защиты персональных данных является грубейшей ошибкой, цена которой в том числе и возрастающая вероятность внеплановой проверки Роскомнадзора вследствие жалобы субъекта персональных данных и, разумеется, перечень выявленных нарушений в акте проверки. А между тем правовых вопросов, которые должен решить каждый оператор персональных данных, очень много.

Вот некоторые из них:

  • представление в Роскомнадзор уведомления об обработке (о намерении осуществлять обработку) персональных данных, содержащего полные и достоверные сведения;
  • составление перечня персональных данных (обрабатываемых как в информационных системах, так и без использования средств автоматизации), содержащего сведения о правовом основании, целях, сроках обработки персональных данных и основании для ее прекращения;
  • определение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • выявление случаев, когда обработка персональных данных правомерна только при наличии согласия субъекта персональных данных;
  • разработка образцов форм согласия субъекта персональных данных на обработку персональных данных для каждого случая, когда наличие согласия – обязательное условие правомерной обработки;
  • приведение в соответствие требованиям законодательства применяемых форм согласия субъектов персональных данных;
  • приведение в соответствие требованиям законодательства порядка обработки персональных данных, осуществляемой без использования средств автоматизации;
  • приведение в соответствие требованиям законодательства договоров с третьими лицами, содержащих поручение обработки персональных данных.

Решением правовых вопросов не стоит пренебрегать даже в самом, как может показаться, простом случае, когда персональные данные обрабатываются оператором только в связи с реализацией трудовых отношений. В действительности же и в этой ситуации предостаточно правовых тонкостей и нюансов. Например, многие операторы-работодатели наивно полагают, что вправе не представлять уведомление в Роскомнадзор, поскольку осуществляют обработку персональных данных в соответствии с трудовым законодательством. При этом они забывают, что параллельно с персональными данными работников, как правило, обрабатываются персональные данные близких родственников последних (например, детей для предоставления стандартных вычетов по НДФЛ), кандидатов на замещение вакантных должностей, а, возможно, и других субъектов, не состоящих с ними в трудовых отношениях. Следовательно, уже только поэтому, такие операторы обязаны представить в Роскомнадзор уведомление об обработке персональных данных.

Следующий пример, опять же, «из жизни» операторов-работодателей. В личном деле работника практически каждого предприятия хранятся ксерокопии паспорта и свидетельства о заключении брака, но на прямой вопрос о цели их получения и хранения, не каждый сотрудник отдела кадров дает ответ. Нет этих документов и в перечне, приведенном в ст. 65 Трудового кодекса РФ, а значит, обработка правомерна только при наличии согласия работника. Кроме того, по мнению сотрудников Роскомнадзора, ксерокопия паспорта относится к биометрическим персональным данным, что уже само по себе влечет за собой необходимость получения согласия на ее обработку. Отсутствие согласия на обработку биометрических персональных данных – одно из самых распространенных нарушений в деятельности операторов, выявляемых сотрудниками Роскомнадзора при проведении как плановых, так и внеплановых проверок. Очень часто ксерокопия или даже скан-копия паспорта берется самыми разными предприятиями на этапе заключения договора с субъектом персональных данных. Тем самым, помимо нарушения условий обработки биометрических персональных данных, они допускают еще одну оплошность, выражающуюся в избыточности состава персональных данных по отношению к заявленным целям обработки.

Описанные нарушения – это малая часть примеров, доказывающих то, что правовую составляющую системы защиты персональных данных ни в коем случае не стоит игнорировать.

Как было отмечено выше, вторая серьезная ошибка операторов персональных данных – шаблонный подход к разработке политики информационной безопасности (организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных). Результатом такого подхода становится формирование комплекта организационно-распорядительных документов, одним из недостатков которых является то, что они не учитывают и, соответственно, не перекрывают актуальные угрозы безопасности персональных данных, обрабатываемых конкретным оператором.

Поэтому до разработки политики информационной безопасности следует провести инвентаризацию и категорирование информационных систем персональных данных, составить технологическое описание процесса обработки персональных данных. На данном этапе разрабатываются модели угроз безопасности персональных данных, обрабатываемых в информационных системах, составляются акты определения необходимых уровней защищенности персональных данных в соответствии с Постановлением Правительства Российской Федерации от 01 ноября 2012 г № 1119.

Наличие эффективной «рабочей» политики информационной безопасности предприятия – необходимое и крайне важное условие работоспособности системы защиты персональных данных, которое помимо выполнения требований законодательства, действительно помогает обеспечить защиту персональных данных. Ведь многие угрозы безопасности персональных данных можно минимизировать, а порой и вовсе нейтрализовать именно организационными мерами. Например, если оператором не обеспечивается режим безопасности помещений, в которых осуществляется обработка персональных данных (не установлены границы контролируемой зоны, нет перечня лиц, имеющих право неконтролируемого нахождения в этих помещениях и т.д.), то никакая техническая защита не спасет такое предприятие от утечки информации. Состав и содержание организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных, должен быть индивидуальным для каждого оператора в зависимости от применяемых им технологий обработки персональных данных, организационной структуры и других особенностей конкретного оператора.

Именно такой комплексный подход по выполнению правовых и организационных мероприятий данных мы предлагаем своим клиентам, и практика показывает, что он вполне логичен и оправдан.

При этом многие из описанных мероприятий могут быть реализованы по итогам выполняемого нами предпроектного обследования (аудита), работы по которому, в зависимости от состояния дел в области информационной безопасности предприятия, могут включать в себя:

  • анализ соответствия процессов обработки персональных данных требованиям законодательства, с подготовкой рекомендаций по выполнению правовых мер для защиты персональных данных;
  • уточнение конфигурации и топологии информационных систем персональных данных, анализ защищённости персональных данных при их обработке в информационных системах, моделирование угроз безопасности персональных данных с разработкой нескольких вариантов технических решений по созданию защищённых информационных систем персональных данных;
  • формирование рекомендаций по подготовке организационно-распорядительной документации, регламентирующей обработку и защиту персональных данных.

Юлия Щетинина - заместитель директора Югорского филиала ООО «НПП «СВК» по коммерции и развитию бизнеса.

Тел.: (3467) 318274

E-mail: JSch@npp-svk.ru