Несмотря на то, что закон 152-ФЗ многие связывают с отраслевым стандартом безопасности хранения данных в банковском деле, его действие распространяется на все типы бизнеса, которые связаны с обработкой личных данных. В современном цифровом обществе — это практически все компании.
Под личными данными подразумевается информация, которая позволяют безошибочно идентифицировать пользователя: ФИО, дата и место рождения, адрес проживания или регистрации, семейное, социальное и имущественное положение, образование и род деятельности.
Оценку соответствия 152-ФЗ вынуждены регулярно выполнять, как крупные организации — банки и операторы связи, так и небольшие стартапы, которые, например, выпускают дисконтные карты для своих точек продаж. Подобная информация собирается и при приеме сотрудника на работу, и во время медицинских обследований, и даже во время поступления ребенка в детский сад. Все эти организации равны перед законом.
Компаниям, имеющим собственные ИТ-подразделения, в определенном смысле легче подготовиться к оценке соответствия 152-ФЗ, но для организаций, чья деятельность не связана напрямую с ИТ, соответствовать требованиям безопасности достаточно проблематично.
Хотя закон вступил в силу еще в 2006 году, последние редакции, сделанные в июле 2017 года и апреле 2020-ого, внесли существенные коррективы и ужесточили наказания и для физических, и для юридических лиц.
Как устроен 152-ФЗ
Важно понимать, что главный проверяющий в лице Роскомнадзора в рамках соответствия данному закону, в первую очередь, смотрит на цели и сроки хранения данных, как устроена политика обработки, запрашивается ли согласие на трансграничную передачу и прочие подобные моменты. Все эти вещи закрепляются в соответствующих документах, а их проверка предшествует оценке технического оснащения.
Закон об информационной защите личных данных описан в 6 главах, регламентирующих работу оператора, субъекта персональных данных и органов контроля. В рамках федерального закона надзорными органами выступают сразу несколько организаций: ФСТЭК, ФСБ России и Роскомнадзор.
Выделяется четыре основных категории персональных данных (далее ПДн). Разграничение по категориям влияет на уровень защиты данных:
Общедоступные ПДн. К этой категории относятся, например, данные из профилей социальных сетей или бейджей — сведения, не требующие конфиденциального подхода.
Специальные категории ПДн. К этой категории относят политические предпочтения, медицинские данные, расу и национальность. Кроме этого, субъект должен оставить письменное согласие на обработку данных, которые могут быть также общедоступными или могут относиться к врачебной тайне, либо обработка происходит на основании законодательства РФ касательно безопасности и оперативно-розыскной деятельности/исполнении правосудия. В качестве примера такой категории данных может служить упоминание в различных опросниках перед обследованием медицинских данных или заболеваний, выявленных другими специалистами.
Биометрические ПДн. Биометрия предполагает сбор данных о визуальных параметрах субъекта: цвет глаз, наличие татуировок, различные дефекты, сканирование сетчатки и отпечатки пальцев. На их основе можно также безошибочно распознать внешность и определить личность.
Категория «Иное». Сюда относится, например, обработка персональных данных членов общественных или религиозных организаций с учетом того, что данные не будут распространяться без письменного подтверждения участников. Суть этой категории выражается в том, что сюда входят данные, которые не попадают в первые три категории, но по ним также можно идентифицировать личность.
По какому признаку закон определяет операторов
Следуя предписаниям федерального закона, в качестве оператора персональных данных способны выступать частные и государственные компании, муниципальные структуры, подготавливающие и/или реализующие обработку персональных данных. Кроме этого, компании должны внести в протоколы цели, для которых собираются различные персональные данные.
Стоит заметить, что передача данных в облако на аутсорс сервис-провайдеру не снимает с компании статус оператора, а только разграничивает обязанности. Большую часть документации для ведомственных органов и Роскомнадзора все равно собирает оператор. Для разграничения обязанностей и большего участия сервис-провайдера можно заключить особый контракт, но полной ответственности это не снимает в любом случае.
«Обработкой» в данном контексте считается сбор, систематизация, накопление, хранение, актуализация, применение и передача, обезличивание (по типу того, как делают медицинские компании в рамках исследований), частичная блокировка или удаление.
Иначе говоря, 152-ФЗ называет любую компанию вне зависимости от формы собственности «оператором данных», если ее работа включает подобную деятельность.
Что должен делать оператор данных
- Компания-оператор должна обеспечить техническую защиту персональных данных на надлежащем уровне, который бы препятствовал несанкционированным проникновениям в систему для редактирования или копирования ПДн. Важно понимать, что в эту же задачу входит контроль данных от сотрудников компании без необходимого уровня доступа. Начиная обрабатывать персональные данные, компания обязана уведомить об этом Роскомнадзор для дальнейшей передачи заявки в реестр организаций и выдаче соответствующей лицензии.
- Оператор обязан получить письменное разрешение на обработку персональных данных у субъекта до того, как запустится процесс обработки. Это справедливо для всех случаев, кроме тех, когда предоставляются общедоступные ПДн (ФИО, год рождения, место проживания).
- Субъект может запросить состав данных, с которыми работает оператор, а оператор обязан предоставить весь объем информации, связанный с его профайлом. В том числе, сюда попадают данные и о целях обработки. Если цели оператора не соответствуют хранимому объему данных, то оператор обязан блокировать или удалить их полностью. Кроме этого, оператор должен иметь доказательства, что данные были собраны законными способами.
- Оператор обязан сообщать надзорным органам по защите прав субъектов ПДн касательно их запросов всю информацию, которая требуется для проведения работ указанных органов контроля.
Последствия невыполнения требований 152-ФЗ
Закон предусматривает не только административную, но и уголовную ответственность за несоблюдение его положений. В качестве первичной меры наказания при выявлении несоответствий закону, согласно статьи 19.5 КоАП, предусмотрен штраф в объеме до полумиллиона рублей. Нарушая положения статьи 19.20 КоАП, компания может лишиться права на осуществление деятельности на 90 суток.
Следуя статье статье 171 УК, за данный вид правонарушений также предусматривается уголовная ответственность. Статья предписывает обязательные работы сроком на 1 год, арест до 6 месяцев, а также лишение права занимать должность на срок до 5 лет. Если по каким-то причинам компания обрабатывает персональные данные без соответствующей лицензии или личные данные попали к третьим лицам, что нанесло крупный ущерб клиентам компании — например, когда банковские данные утекают в сеть и мошенники получают доступ к счетам абонентов.
Заключение
Ключевое значение 152-ФЗ состоит в том, чтобы определить роль операторов и стандартизировать меры безопасности для обработки данных, которые компании обязаны принять, чтобы защитить своих клиентов. В одних случаях это означает обеспечение анонимности ПДн, в других соблюдение конфиденциальности, а в третьих — наоборот, предоставление доступа.
Деятельность в сфере защиты персональных данных определяют нормативно-методические документы, а контролем исполнения занимаются государственные структуры такие, как ФСТЭК, ФСБ3 и Роскомнадзор.
Соответствовать положениям 152-ФЗ не всегда можно без посторонней помощи. По этой причине имеет смысл воспользоваться помощью сторонних организаций, специализирующихся на аудите информационной безопасности. Своевременное проведение оценки соответствия 152-ФЗ поможет компании сохранить возможность осуществлять деятельность на территории страны и выведет из поля административной и уголовной ответственности.
Все вопросы и уточнения, связанные с данным законом, вы можете задать нам. Специалисты ITGLOBAL.COM обладают многолетним опытом проведения оценки соответствия 152-ФЗ, и готовы помочь в любой ситуации.