Cервисы
Managed IT
Решения
Security
Импортозамещение
О компании

Защита персональных данных в России - красные линии для бизнеса

Что считать обработкой персональных данных?

Обработкой персональных данных (ПД) можно считать практически любое действие с ними. Собираете, систематизируете, накапливаете, храните, обновляете, передаете, используете, удаляете и так далее — это всё обработка персональных данных. Но, согласно статьи 3 Федерального закона РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» компания будет считаться оператором персональных данных не только в случаях обработки персональных данных, но и в ситуациях, когда предприятием организована обработка ПД, то есть, имеется возможность определять цель, состав и порядок их обработки (даже без фактического проведения оной).

Более того, если в процессе обработки участвовали информационные системы, то к таким операторам предъявляются ряд дополнительных требований.

Таким операторам необходимо необходимо определить уровень защищенности информационных систем персональных данных согласно Постановлению Правительства № 1119. Потребуется обеспечить их защиту согласно этой классификации и оценить впоследствии, насколько эта защита оказалась эффективной.

Многие компании для этих целей обращаются к аутсорсинговым сервисам, которые имеют специальные лицензии, разрешающие им заниматься технической защитой конфиденциальной информации.

Персональные данные по категориям

Информация, которую несут в себе персональные данные прямо влияет на требования к их обработке. На данный момент, среди персональных данных в законодательстве фиксируется 4 категории, к которым относят различные варианты биометрических, общедоступных, иных и специальных данных.

Даже самые ценные данные для субъекта — специальные ПД, можно обрабатывать на абсолютно законных основаниях, имея на то согласие в письменном виде или его электронном аналоге с цифровой подписью. К специальным данным следует отнести персональные данные, которые могут сообщать о философских и религиозных убеждениях, состоянии здоровья, интимной жизни, политических взглядах, принадлежности к определенной расе или национальности, а также судимости субъекта.

Только профильные учреждения в медицине, органах власти могут обрабатывать эту информацию без согласия субъекта по причине наделенности специальными полномочиями.

Весь перечень биологических и физиологических характеристик , на основании которых можно провести определение личности субъекта — считается биометрическими персональными данными. Письменное согласие субъекта дает право операторам обрабатывать такую информацию, исключая те ситуации, когда существует оперативная необходимость по обеспечению безопасности, определенная законом.

Например, фотография или скан относится к биометрическим персональным данным и требует письменного согласия на обработку, если используются для установления личности. В то же время, согласно разъяснений РКН, сканирование паспорта оператором для подтверждения определенных действий конкретным лицом (например, заключение договора) без проведения процедур установления личности не считается обработкой биометрических персональных данных.

К иным персональным данным относят ту информацию, которая не входит в остальные три категории и может предоставляться оператору ПД клиентом или сотрудником. Таким образом, данные паспорта, финансовые данные и др., относятся к иным.

Субъект персональных данных может дать согласие на их обработку в любой форме, которая позволит удостоверить факт данного действия. Исключение составляют ситуации, когда необходимо получить согласие в письменном виде или его аналоге в данном случае — электронном документе с цифровой подписью.Оператор обязан предоставить доказательства того, что согласие субъекта персональных данных на их обработку было получено или имеются иные законные основания действий с ПДн.

Согласие на обработку персональных данных может быть дано субъектом или его представителем в любой, позволяющей подтвердить факт его получения согласия, форме, за исключением случаев, когда требуется письменное согласие. Электронный документ, подписанный ЭП, является равнозначным письменному согласию, которое должно включать в себя следующие пункты:

Защита информационных систем персональных данных

Под информационной системой персональных данных можно рассматривать совокупность самих данных и тех технических средств, и технологий, которыми они обрабатываются.

Закон считает, что данные, вкупе с технологиями и техническими инструментами, которыми они обрабатываются — составляют информационную систему персональных данных.

Любое оборудование, которое применяется во время процесса обработки персональных данных, также автоматически причисляется к информационным системам. Наличие или отсутствие автоматизации при этом не влияет на отношение способа обработки данных к информационными системам ПД (ИСПД).

Существует четыре уровня защищенности информационных систем персональных данных, где прописаны индивидуальные требования по организационному и техническому обеспечению безопасности данных. Детальнее эти требования описывают соответствующие нормативные документы. Например, в приказе ФСТЭК №21 таблица о содержании мер по обеспечению безопасности персональных данных состоит из множества строк с описанием конкретных действий, начиная от антивирусной защиты до управления конфигурацией информационной системы.

Согласно приказу Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» ФСБ также имеет свои требования отдельно по каждому классу информационных систем персональных данных, поэтому оператору необходимо создать специальную комиссию, которая рассмотрит исходные ПД и закончит присвоением соответствующего класса информационной системе персональных данных. При этом комиссия обязана учитывать объем и категорию ПД, а также тип ИСПД, ее структуру, подключается ли система к сети общего пользования и как разграничиваются права доступа пользователей.

Каким должен быть оператор персональных данных согласно требованиям Закона?

От оператора требуется приказом руководителя назначить того, кто будет отвечать за обработку персональной информации. Кроме того, необходимо позаботиться об издании Политики по обработке ПД и её публикации на ресурсах компании. Также оператор обязан производить оценку негативных последствий, которые могут наступить для субъектов персональных данных, если законодательство о ПД будет нарушено.

Дополнительно оператор ПД обязан контролировать внутренние процессы, где присутствует обработка персональных данных, должны быть составлены локальные правовые акты, а персонал обучен правильной работе с персональными данными.

Что будет с оператором, если он нарушает требования законодательства в области обработки персональных данных

За нарушение законодательства о ПД установлена строгая ответственность, как административная, так и уголовная. Если организация нарушит законодательство, то её может ожидать штраф до трехсот тысяч рублей, блокировка сайта и приостановление работы сроком до трех месяцев. Существует также гражданско-правовая ответственность за причинение гражданину морального вреда (нравственных страданий) из-за нарушения правил обработки персональных данных (согласно статьи 24 ФЗ 152). Руководитель может также пострадать, вплоть до лишения свободы.

Таким образом, несвоевременное или неполноценное решение в области защиты персональных данных может сильно повлиять на бизнес компании и судьбу руководителя. Чаще всего, заказ услуги обработки персональных данных у лицензированного поставщика гораздо выгоднее самостоятельной обработки и полной ответственности.