Как выполнить требования 152-ФЗ — закона о персональных данных

Зачем выполнять требования 152-ФЗ

Все, кто работает с персональными данными (ПДн), называются операторами. Это могут быть только юридические лица и индивидуальные предприниматели. Люди, которые предоставляют личную информацию, являются субъектами. 

К персональным сведениям относится любая информация, по которой можно идентифицировать человека, например:

• адрес регистрации и проживания;

• паспортные данные;

• номер водительского удостоверения;

• медицинские сведения;

• страховые номера и полисы;

• информация о зарплате и банковских счетах и т. д.

Закон 152-ФЗ гласит, что персональные данные должны обрабатываться на законной и справедливой основе, то есть не нарушать права и свободы граждан.

Он запрещает работать с ПДн без согласия их владельца и требует от операторов создания надежной информационной инфраструктуры, чтобы данные были защищены от несанкционированного доступа. Также операторы обязаны отчитываться о своей деятельности перед государственными органами.

Нормативно-правовая база

Обработка персональных данных должна происходить с соблюдением требований, изложенных в федеральных законах, приказах и методиках ФСТЭК и Роскомнадзора. Нормативно-правовых актов много, перечислим основные:

Федеральный закон № 152-ФЗ «О персональных данных», принятый 27.07.2006, устанавливает правила обработки и защиты персональных данных.

Глава 14 Трудового кодекса РФ регулирует обработку ПДн сотрудников.

Постановление Правительства РФ № 1119 от 01.11.2012 определяет уровни защиты информационных систем.

Федеральный закон № 149-ФЗ от 27.07.2006 регулирует вопросы, касающиеся информации, технологий и защиты данных.

Приказ ФСТЭК № 21 от 18.02. 2013 определяет меры по защите информации в информационных системах.

Методика определения актуальных угроз безопасности ПД (ФСТЭК, 14.02.2008) помогает оценить риски, связанные с защитой информации.

Базовая модель угроз безопасности ПД (ФСТЭК, 15.02.2008) описывает основные опасности для конфиденциальной информации.

Банк данных угроз безопасности информации содержит сведения обо всех уязвимостях, с которыми сталкиваются компании.

Реальные угрозы информационной безопасности 

Для выявления всех возможных уязвимостей, возникающих при работе с данными, рекомендуется использовать «Методику определения актуальных угроз безопасности». 

1. Чтобы оценить уровень защищенности ИСПДн (информационной системы персональных данных), нужно ответить на вопросы, представленные в методике о характеристиках информационной системы.

2. Затем на основе «Базовой модели УБ» и Банка данных УБ информации составить перечень возможных опасностей.

3. Эксперты должны оценить вероятность возникновения этих уязвимостей, коэффициент их реализации и степень опасности для ИСПДн и оператора.

4. После оценки можно сделать вывод об актуальности каждой угрозы и сформировать перечень тех, которые действительно существуют.

Staffcop Enterprise — система, предназначенная для решения задач информационной безопасности и проведения расследований в случае инцидентов. С помощью сервиса можно сократить возможные каналы утечки информации и контролировать доступ сотрудников к данным, которые не нужны им для работы.

Уровень защищенности ИСПДн

Информационная система ПД объединяет базы данных, ПО, оборудование и средства защиты информации. Уровень защищенности такой системы зависит от трех факторов:

• вида персональных данных — специальные, биометрические, общедоступные или иные;

• объема информации — количество субъектов ПД — меньше 100 000 или больше;

• формы взаимодействия — чьи данные, сотрудников или других лиц;

• актуальных угроз — потенциальные риски и уязвимости в системе.

Возможные угрозы делятся на три типа:

• 1-й тип — возможности и ошибки в системном ПО, которые не указаны в документации разработчиков. Например, скрытые команды в операционной системе или уязвимости в антивирусном программном обеспечении. 

• 2-й тип — возможные ошибки и уязвимости в прикладном ПО: базах данных, бухгалтерских программах и т. д.

• 3-й тип — риски, не связанные с программным обеспечением, например использование методов социальной инженерии или физический доступ к серверу.

Уровни защищенности (УЗ) складываются из всех факторов, описанных выше. Всего их четыре:

УЗ 1. Самый высокий уровень, предназначен для защиты гостайны и других особо важных данных.

УЗ 2. Для защиты информации средней степени важности: сведения о сотрудниках и клиентах крупных компаний и т. д.

УЗ 3. Предназначен для информации с низкой степенью конфиденциальности, таких как контактные данные и некоторые виды коммерческой информации.

УЗ 4. Самый низкий уровень, применяется к информации, не требующей серьезной защиты.

Какие возникают риски, если не защитить данные

Недостаточная защита данных приводит к утечкам информации, что, в свою очередь, может иметь серьезные последствия как для пострадавших, так и для компаний, ответственных за хранение личной информации.

Жертвы могут столкнуться:

• с незаконным списанием средств с банковских счетов;

• шантажом и угрозами;

• разглашением личной информации;

• рассылкой спама и вредоносных программ.

Для операторов утечка ПДн может привести к таким рискам, как:

• потеря репутации;

• снижение лояльности клиентов и партнеров;

• финансовые потери;

• юридические проблемы: штрафы, судебные разбирательства и даже уголовная ответственность в некоторых случаях.

Staffcop помогает отслеживать последовательность действий сотрудников, получать информацию в режиме реального времени или формировать отчеты за выбранный период. В случае возникновения инцидентов легко найти их причины и выявить виновного.

Разработка документов, описывающих порядок работы с персональными данными

Разработка документации, описывающей правила работы с личными данными, — первая мера по обеспечению защиты информации. Эти документы проходят проверку государственными органами при контроле и аудите.

Работа с публичными документами

Эти документы нужно показывать людям, которые предоставляют личную информацию, некоторые из них требуют также письменного ознакомления и подписания.

Согласие на обработку ПД. Письменное подтверждение, что человек добровольно делится своими данными для определенных целей. Оно может быть оформлено как в бумажном, так и в электронном варианте, с обычной или электронной подписью.

Если информация собирается через интернет, например с помощью формы на сайте, то нужны следующие два документа.

Политика конфиденциальности. В этом документе оператор разъясняет, какие сведения он собирает и с какой целью. Он также гарантирует, что информация не будет передана посторонним лицам без разрешения пользователя и будет обрабатываться минимально необходимым образом.

Политика обработки ПД. Здесь перечисляется вся информация, которую компания собирает у пользователей. Описываются методы и цели ее обработки, меры безопасности, а также способы, с помощью которых люди могут изменить или удалить свои данные.

На странице, где собирается личная информация, должны быть ссылки на эти документы и чек-боксы. Пользователь ставит галочку, если согласен предоставить личные сведения. 

Внутренние документы компании

Каждая компания обязана разработать пакет локальных нормативных актов, которые будут регулировать порядок работы с ПДн и обработки личной информации внутри организации. Ограниченного перечня нет, среди обязательных:

Положение об обработке и защите ПДн. Документ регламентирует правила получения, использования, обработки и хранения информации о сотрудниках. Каждый сотрудник должен ознакомиться с этим положением и подписать его.

Модель угроз безопасности информации. Здесь указывают все угрозы, которые могут возникнуть для конкретной информационной системы, их источники и способы реализации.

Реестр ПДн. Список всех личных сведений, используемых для работы с учетом деятельности структурных подразделений. Например, сисадмину не нужны данные о воинском учете, а бухгалтеру не требуются данные о дополнительном номере телефона сотрудника для связи в случае аварии. В реестре указывается тип данных, объем и срок хранения, методы обработки, перечень сотрудников, имеющих доступ, и наличие согласия на обработку ПДн.

Приказ о назначении ответственного лица за организацию обработки персональных данных. Приказ оформляется в произвольной форме, в нем указывается ответственный за организацию обработки, а также иные лица, которые осуществляют сбор, обработку и хранение таких ПДн, при этом указываются  данные  сотрудников (Ф. И. О., должность), с какими ПДн и системами они будут работать и за что несут ответственность. Эти обязанности также должны быть отражены в должностных инструкциях.

Инструкция пользователя системы ПДн. В этом документе подробно изложен порядок работы с персональной информацией, что разрешено делать, а что запрещено. Каждый, кто имеет доступ к ней, обязан ознакомиться с инструкцией и подтвердить это подписью.

Ответственность за отсутствие документов и организации обработки ПДн 

Административные штрафы:

• для граждан: от 2000 до 6000 рублей;

• для должностных лиц: от 10 000 до 20 000 рублей;

• для юридических лиц: от 60 000 до 100 000 рублей.

Уведомление Роскомнадзора 

Даже если пакет документов готов, вы все равно не можете собирать и обрабатывать персональные сведения. Перед началом работы нужно зарегистрироваться как оператор и уведомить Роскомнадзор — орган, защищающий права субъектов. Сделать это можно онлайн на сайте Роскомнадзора.

Неуведомление Роскомнадзора считается административным правонарушением, за которое предусмотрены следующие штрафы:

• физическим лицам: от 100 до 500 рублей;

• должностным лицам: от 300 до 500 рублей;

• юридическим лицам: от 3000 до 5000 рублей.

Исключение — случаи, указанные в ч. 2 ст. 22 152-ФЗ.

Если при обработке информации произойдут изменения, оператор должен уведомить Роскомнадзор в течение 10 дней.

Получение согласия на обработку персональных данных

Закон 152-ФЗ гласит, что каждый сотрудник или клиент должен быть осведомлен о том, что их личные сведения собираются и хранятся. Это можно сделать двумя способами.

1. Подписать бумажный или электронный документ, подтверждающий согласие.

2. Получить согласие онлайн. Обычно это делают при регистрации на сайте или заполнении формы обратной связи.

Согласие на обработку ПДн должно включать в себя следующие сведения (п. 4 ст. 9 ФЗ № 152-ФЗ):

• информацию о субъекте или его представителе (Ф. И. О., адрес, серию и номер паспорта);

• название или Ф. И. О. оператора и его адрес;

• какие сведения нужны и зачем;

• как будет обрабатываться личная информация;

• срок действия согласия и порядок его отзыва;

• подпись субъекта ПДн.

За обработку ПДн без письменного согласия человека грозят штрафы:

• для граждан: от 10 000 до 15 000 рублей;

• для должностных лиц: от 100 000 до 300 000 рублей;

• для компаний: от 300 000 до 700 000 рублей.

При повторном нарушении штрафы увеличиваются. Например, компании рискуют заплатить до 1,5 млн рублей.

В некоторых случаях персональные данные могут обрабатываться без согласия субъекта. Например, при необходимости оказать срочную медицинскую помощь или при передаче личной информации в Пенсионный фонд и Фонд социального страхования. Все эти ситуации указаны в статье 6 ФЗ № 152-ФЗ.

Заключение

Staffcop Enterprise полностью соответствует требованиям закона о защите персональных данных и помогает предотвратить инциденты. В случае утечки система позволяет оперативно устранить последствия и найти виновных. Скачать ознакомительную бесплатную версию можно на нашем сайте.