Что такое персональные данные?
Персональные данные — информация, прямо или косвенно соотносимая с конкретным физическим лицом, субъектом ПДн (ст. 3 Закона от 27.07.2006 № 152-ФЗ). Любое действие с ПДн (например, получение, размещение на носителе, распространение) представляет собой их обработку. Лицо, ее осуществляющее, признается оператором ПДн.
Обработка ПДн в общем случае законна, только если субъект ПДн дал на то согласие. Но если оно не получено, то обработка возможна, в частности (ст. 6 Закона № 152-ФЗ):
- для участия гражданина в судопроизводстве (исполнения судебного акта);
- для реализации полномочий органом власти при оказании гражданину услуг;
- в целях исполнения обязательств по договору (гражданско-правовому, трудовому), заключенному между оператором ПДн и субъектом.
Согласие при этом может предусматривать или, наоборот, не предусматривать (запрещать) возможность распространения ПДн (то есть, ознакомления с ними неопределенного круга лиц — в СМИ, онлайн).
Предусмотрена обработка следующих видов ПДн:
- общих (например, ФИО, номер телефона);
- специальных (политическая позиция, расовая принадлежность);
- биометрических (отпечаток пальцев, рисунок сетчатки глаз);
- иных (не попадающих под вышеуказанные категории).
В целях обеспечения законности обработки ПДн их оператор разрабатывает обширную документальную базу. Рассмотрим ее состав.
Список документов по персональным данным
К числу общераспространенных документов относятся:
Если законом не предусмотрено иного, то обработка ПДн становится законной только при получении от субъекта ПДн рассматриваемого согласия. Оформляется оно письменно или в ином виде, позволяющем удостоверить факт его предоставления оператору ПДн.
Локальный нормативный акт, определяющий сотрудника, который контролирует соблюдение положений законодательства о ПДн. Данный сотрудник доводит до других работников соответствующие положения, а также знакомит их с локальными нормативами по обеспечению защиты ПДн.
Локальный акт, регламентирующий издание оператором ПДн документов, отражающих политику обработки ПДн, содержащий перечень актов в области соответствующей обработки и актов, определяющих процедуры, которые обеспечивают профилактику и обнаружение нарушений закона о ПДн.
При его наличии возможно распространение ПДн в адрес неограниченного круга лиц (например, в составе публикации в СМИ, в интернете). Обычное согласие на обработку такое распространение может не разрешать (запрещать).
Альтернативное наименование обычного согласия на обработку ПДн. Чаще всего используется при взаимодействии с клиентами на сайтах медицинских и иных услуг, при оказании которых важна конфиденциальность.
Регламентирует порядок обработки ПДн, права и обязанности сотрудников организации-оператора ПДн, а также лиц, взаимодействующих с ней. Лица, на которых распространяется действие документа, удостоверяют свое ознакомление с ним под роспись.
Содержит разъяснения для субъекта ПДн о правовых последствиях непредоставления ПДн (на основании согласия). Например — о невозможности оказать ту или иную услугу.
Устанавливает обязанности сотрудника организации-оператора ПДн, имеющего должностной доступ к ПДн. Прежде всего, это будут обязанности по обеспечению конфиденциальности соответствующих ПДн.
Содержит списки используемых оператором ПДн типовых форм, при заполнении которых используются ПДн.
Регламентирует то, каким образом осуществляются регистрация и последующее рассмотрение полученных от субъектов ПДн (их представителей) запросов в адрес оператора ПДн.
Устанавливают порядок проведения проверки соответствия фактической обработки ПДн тем требованиям, что определены законодательством и локальными нормативами.
В соответствии с п. 1 ч. 2 ст. 19 Закона № 152-ФЗ, оператор ПДн должен, обеспечивая безопасность ПДн, определять в ходе их обработки угрозы безопасности. В этих целях формируется рассматриваемая модель угроз (с использованием, в частности, характеристик базовой модели, утвержденной ФСТЭК от 15.02.2008).
Заключается со сторонним оператором ПДн, которым текущий оператор поручает обработку различных ПДн. Положения о соответствующем поручении могут включаться в договоры о медосмотрах работников с медучреждениями, соглашения об оказании различных аутсорсинговых услуг. Такие положения будут обязывать принимающего ПДн оператора обеспечивать конфиденциальность ПДн.
В соответствии с п. 14 Требований по постановлению Правительства России от 01.11.2012 № 1119, организация-оператор ПДн в целях реализации 3-го уровня защищенности ПДн (в соответствии с критериями по п. 11 Требований) назначает сотрудника, который отвечает за безопасность ПДн в информационной системе. Для него также утверждается инструкция по практическому обеспечению безопасности.
Определяет места постоянного размещения документов и иных носителей ПДн. Сотрудник, отвечающий за обработку ПДн, с установленной периодичностью проверяет целостность носителей и обеспечивает условия для использования соответствующих мест их размещения. Приказ может дополняться локальным нормативом о перечнях оборудования по местам хранения ПДн.
Определяет разновидности ПДн, которые обрабатываются в рамках информационной системы оператора. Устанавливает срок хранения ПДн по каждой утвержденной разновидности.
Устанавливает перечень работников, которые в целях выполнения трудовой функции должны иметь доступ к ПДн. Такие работники выполняют свои функции в соответствии с должностной инструкцией, требующей от них несения ответственности за обработку ПДн.
Определяет список информационных систем персональных данных, используемых оператором. Перечень систем утверждается в отношении всех технических средств для размещения баз ПДн.
Определяет границы пространства, в котором исключается неконтролируемое нахождение работников и посетителей организации-оператора ПДн, а также постороннего транспорта и технических средств. Устанавливает, что все составляющие ИСПДн размещаются в границах контролируемой территории.
Ответственность, права, обязанности работника, который назначен ответственным за обработку ПДн, прописываются в специальной инструкции. В ней должна присутствовать отсылка на действие приказа о назначении ответственного за обработку ПДн.
Ответственность, права, обязанности, а также должностные функции работника, назначенного ответственным за безопасность ПДн, фиксируются в его локальной инструкции. В ней должна присутствовать ссылка на локальный норматив о назначении ответственного за безопасность ПДн.
Устанавливает порядок осуществления учета работников, которые допущены к обработке ПДн в информационных системах оператора, осуществления и аннулирования допуска к такой деятельности.
Работник, назначенный ответственным за обработку ПДн, проводит инструктаж лиц, которые допущены к обработке ПДн в информационных системах. Он сам при этом следует положениям отдельной инструкции, о которой идет речь (в ней должна быть отсылка на приказ о назначении работника ответственным за обработку ПДн).
Устанавливает обязанности и полномочия сотрудника, управомоченного пользоваться информационной системой ПДн, при получении ПДн в ходе выполнения должностных обязанностей.
Обязательна для использования всеми сотрудниками, которые допущены к обработке ПДн на основании приказа о соответствующем допуске. Инструкция должна содержать отсылку на данный приказ.
Устанавливает меры и средства обеспечения непрерывности функционирования и восстановления работы информационной системы ПДн (технических средств, входящих в ее состав).
Регламентирует действия и порядок применения специального программного обеспечения, направленные на защиту ПДн в информационных системах от несанкционированных действий, обусловленных активацией вирусов и иного вредоносного ПО. Может дополняться журналом проведения антивирусных проверок (и содержать регламенты по его заполнению).
Обязательна для применения всеми пользователями информационной системы ПДн. Регламентирует порядок обеспечения стабильной работы системы, а также действия пользователей при возникновении различных нештатных ситуаций (например, поломки технических средств, входящих в состав ИСПДн).
Фиксирует все обращения субъектов ПДн, а также ответы сотрудников на такие обращения. Предметом запросов (результатом реагирования на них) может быть корректировка, блокировка, удаление ПДн в соответствии с локальными правилами.
Содержит учетные номера съемных носителей, на которых размещаются ПДн. Используется в целях отслеживания движения и безопасного размещения соответствующих носителей.
Работники, которые приказом руководителя допущены к обработке ПДн, обязаны проходить первичный инструктаж по осуществлению такой обработки. В журнале отражаются даты проведения данного инструктажа, проставляются подписи работников, которые его прошли.
Отражает факты нарушения функционирования технических средств, входящих в состав ИСПДн, а также восстановления их функционирования. Указывается дата, время выявления факта, причины возникновения нарушений, а также способы их устранения.
Руководство организации-оператора ПДн издает положение о распределении прав доступа к ПДн — содержащее перечни лиц, имеющих права доступа определенного уровня. В журнале подробно отражаются сведения о соответствующем уровне в привязке к конкретному работнику (показывается объем прав, время доступа). Документ может дополняться журналом учета логинов (присвоенных работникам, которым предоставлен доступ к ИСПДн).
Содержит сведения о всех средствах защиты ПДн, используемых организацией-оператором ПДн. В журнале показывается место размещения каждого средства, отражаются их учетные номера.
Документ отражает факты получения запросов от контролирующих органов (прежде всего, Роскомнадзора) и предоставления ответов на них.
С помощью нее субъект ПДн запрашивает у оператора сведения по обработке ПДн — которые, в свою очередь, должны быть в обязательном порядке предоставлены. Это могут быть сведения о фактическом совершении обработки, основаниях, целях, способах ее осуществления.
Субъект ПДн вправе инициировать уточнение (корректировку) ПДн, переданных оператору, и в этих целях он направляет в адрес оператора запрос с помощью рассматриваемой формы. Оператор обязан внести корректировки, отраженные в документе.
Если законом не предусмотрено иного, субъект ПДн вправе в любой момент инициировать уничтожение ПДн из информационной системы оператора. В этих целях направляется запрос по рассматриваемой форме.
Блокирование ПДн — запрет доступа к ним, а также их использования (при сохранении ПДн в ИСПДн оператора). Осуществляется на основании запроса субъекта ПДн с помощью рассматриваемой формы.
Если законом не установлено иного, при получении отзыва согласия на обработку ПДн оператор прекращает их обработку. Инициирование такого отзыва осуществляется посредством направления оператору запроса по рассматриваемой форме субъектом ПДн.
В случае выявления факта нарушения обработки ПДн оператор направляет субъекту ПДн сведения об этом, а также о том, что соответствующие нарушения устранены. В этих целях используется рассматриваемая форма.
При непредоставлении субъектом ПДн документальных подтверждений обоснованности внесения корректировок ПДн оператор отказывает в их осуществлении. В этих целях субъекту направляется уведомление по рассматриваемой форме.
В соответствии со ст. 22 Закона № 152-ФЗ оператор ПДн обязан уведомить Роскомнадзор о намерении осуществить обработку ПДн. В этих целях используется рассматриваемый документ.
Составляется комиссией по определению защищенности ПДн, формируемой на основании приказа руководителя. В акте, составляемом для каждой ИСПДн, фиксируется класс ПДн, их объем при обработке, типы угроз, степень защищенности.
Отражает итоги проведения оценки вреда, который может быть причинен субъектам ПДн при нарушении положений законодательства о защите ПДн. Степень потенциального вреда (от низкого до высокого) указывается в привязке к отдельным категориям субъектов ПДн (работникам организации-оператора ПДн, посетителям, клиентам).
Факт удаления ПДн подлежит документальному удостоверению. В этих целях комиссия, наделенная правомочиями по уничтожению ПДн и соответствующему документированию, составляет специальный акт. Он подписывается членами комиссии и директором предприятия.
Какие еще документы подготовить?
К числу прочих документов, которые могут применяться при обеспечении оператором ПДн выполнения требований законодательства, относятся:
Приказы
- о проведении работ, направленных на защиту ПДн;
- об утверждении перечня работников, допущенных к обработке ПДн;
- о введении плана мероприятий по безопасности ПДн;
- о введении Положения о защите ПДн;
- о введении Положения об обработке ПДн;
- об Инструкции по обезличиванию ПДн;
- о перечне информационных систем ПДн;
- о перечнях ПДн в привязке к типам ПО, в которых они обрабатываются;
- о введении техпаспорта информационной системы ПДн;
- об установлении паролей на доступ к ИС, а также о введении журнала учета таких паролей;
- об Инструкции по обеспечению парольной защиты в ИС;
- о введении средств защиты;
- о назначении ответственного за безопасность ИС;
- о введении политики информационной безопасности;
- об утверждении перечня мест размещения носителей ПДн, а также об обеспечении распределенного размещения таких носителей;
- о реализации конфиденциальности при обработке ПДн;
- об ответственных лицах за проведение работ по защите ПДн;
- о Положении по обработке ПДн без средств автоматизации;
- о Положении об автоматизированной обработке ПДн;
- о Положении об организации работы с ПДн;
- о введении перечня должностей сотрудников, отвечающих за мероприятия по обезличиванию ПДн;
- о введении перечня помещений, в которых осуществляется обработка ПДн, а также о введении списка ответственных за организацию работы таких помещений;
- о введении перечня оборудования по помещениям, где осуществляется обработка ПДн;
- об утверждении рабочих мест, на которых производится обработка ПДн;
- о введении перечня средств шифрования, а также о назначении ответственного за эксплуатации средств криптозащиты;
- об утверждении журналов учета обращений субъектов ПДн;
- о формировании комиссии по защищенности ПДн.
Положения
- о порядке обработки ПДн (с характеристиками технологического процесса такой обработки);
- о разграничении прав доступа к ПДн;
- о защите ПДн;
- об обработке ПДн;
- о комиссии по защищенности ПДн.
Планы
- мероприятий по безопасности ПДн;
- внутренних проверок систем защиты ПДн.
Инструкции
- по обезличиванию ПДн;
- по обеспечению парольной защиты в ИС;
- по обработке ПО без средств автоматизации;
- по работе с запросами субъектов ПДн;
- по организации расследований в случаях выявления нарушений при обработке ПДн.
Прочие регистры (журналы, книги)
Документы, составляемые для обеспечения однократного пропуска субъекта ПДн на территорию ведения деятельности оператором (такие как, например, журнал корпоративной службы безопасности, контролирующей вход на предприятие).
Ограничение доступа к персональным данным
Операторам ПДн запрещается раскрывать доступ к ПДн третьим лицам и распространять их без согласия субъекта ПДн, если законом не установлено иного (ст. 7 Закона № 152-ФЗ). Пример случая, когда согласие не требуется — передача сведений о работнике предприятия, когда это требуется для защиты его жизни и здоровья (ст. 88 ТК РФ). Оператор ПДн принимает юридические и техническим меры для защиты доступа к ПДн (ст. 19 Закона № 152-ФЗ).
При этом, сам субъект ПДн в любой момент может запросить доступ к данным, а также к сведения о лицах, которые обладают доступом к ПДн (ст. 14 Закона № 152-ФЗ). Так же как внести корректировки в ПДн либо инициировать их удаление. Вместе с тем, доступ к ПДн для их субъекта может быть ограничен в случаях, перечисленных в п. 8 ст. 14 Закона № 152-ФЗ (например, если обработка ПДн осуществляется органами безопасности, или же если получение доступа субъектом ПДн нарушает интересы третьих лиц).
Как обеспечить соответствие Закону № 152-ФЗ?
Главный критерий обеспечения деятельности компании соответствия многочисленным требованиям по Закону № 152-ФЗ — составление полного перечня документации, используемой в целях организации оборота персональных данных. Прочими условиями будут:
- Установка и обеспечение стабильного функционирования технических средств защиты персональных данных.
- Обеспечение качественного контроля над исполнением работниками требований законодательства о защите ПДн, а также внутрикорпоративных нормативов.
- Регулярный мониторинг законодательной базы на предмет появления поправок, новых нормативных актов (в том числе на уровне проектов, обсуждаемых и рассматриваемых на различных стадиях), изучение судебной практики и экспертных мнений.
- Повышение уровня компетенций работников в области применения средств защиты ПДн и соблюдения нормативных требований — посредством проведения обучающих, проверочных мероприятий.
- Концептуальное отражение установок на строгое соблюдение законодательства о ПДн (и положений локальных нормативов) в корпоративной культуре предприятия.
В целях качественного проведения указанных мероприятий оператору (прежде всего, руководителям предприятия и лицам, в силу должностных обязанностей отвечающим за безопасную обработку ПДн) необходимо постоянно повышать уровень собственной экспертизы в области организации оборота персональных данных. Необходим постоянный обмен опытом с другими игроками отрасли, а также получение регулярной консультационной поддержки от ведущих поставщиков услуг по организации оборота ПДн.
Какие есть штрафы за несоблюдение Закона № 152-ФЗ?
Предусмотрены строгие штрафные санкции за допущение нарушений требований Закона № 152-ФЗ по широкому перечню оснований. В частности, налагаются штрафы:
- За незаконную обработку ПДн (ч. 1, 1.1 ст. 13.11 КоАП РФ):
- 2000-6000 руб. на гражданина;
- 10000-2000 руб. на должностное лицо, ИП;
- 60000-100000 руб. на организацию.
- За обработку ПДн без согласия (ч. 2, 2.1 ст. 13.11 КоАП РФ):
- 6000-10000 руб. (физлицо);
- 20000-40000 руб. (ИП, должностное лицо);
- 30000-150000 руб. (юрлицо).
- Непредоставление ПДн по запросу (ч. 3 ст. 13.11 КоАП РФ):
- 2000-4000 руб. (гражданин);
- 8000-12000 руб. (должностное лицо);
- 20000-30000 руб. (ИП);
- 40000-80000 руб. (организация).
Нарушения при обработке ПДн могут образовывать состав преступления по ст. 137 УК РФ. Предусматриваются, в частности;
- штраф (до 200000 рублей);
- лишение свободы до 2 лет с дисквалификацией до 3 лет.
Как подготовить документы по персональным данным?
С учетом того, что перечень документов, обеспечивающих законность оборота ПДн, огромен, практическую работу по его формированию следует доверить компетентным специалистам, имеющим достаточный опыт подготовки специализированных документов по Закону № 152-ФЗ. Такие специалисты имеют профильное образование, подтвержденный уровень квалификации.
На уровне внутренних компетенций предприятия могут быть, вместе с тем, осуществлены мероприятия:
- По разработке ключевых направлений политики обработки ПДн (обязательно — с учетом действующих норм законодательства, которым политика не должна противоречить).
- По обеспечению движения документов, связанных с обеспечением защиты ПДн, в рамках системы корпоративного документооборота.
- По организации проведения (и учета) процедур, обеспечивающих применение документальной и технологической базы, используемой при организации оборота ПДн.
Квалифицированный поставщик услуг по защите ПДн в рамках взаимодействия с заказчиком содействует повышению качества проведения указанных мероприятий, поделится опытом в решении сложных задач в соответствующих направлениях, а также оценит результативность их реализации на тех или иных этапах.
Как происходит подготовка документов?
Поставщик услуг по защите ПДн, взаимодействуя с оператором ПДн по вопросам подготовки документации для обеспечения требований законодательства, осуществляет следующие основные процедуры:
- Проведение первичной консультации с заказчиком.
На данном этапе определяются перечни документов, которые необходимо внедрить в документооборот заказчика в целях обеспечения законности оборота ПДн. Также выявляются значимые детали сотрудничества (стоимость услуг, сроки их оказания, порядок подписания договора, согласования работ по внедрению документации). По итогам рассмотрения исходных данных заключается договор на внедрение документации.
- Получение и анализ исходной информации со стороны заказчика.
Соответствующая информация берется за основу при составлении документов по перечням, определенным на первом этапе. Важное внимание уделяется актуальности и точности такой информации.
- Практическая подготовка документов по защите ПДн в пределах срока, установленного договором.
С учетом фактического объема и сложности составляемой документации различные ее части могут оформляться одновременно или постепенно. Сроки — согласовываться с заказчиком.
- Передачу заказчику готовой документации.
Также предоставляются необходимые инструкции, рекомендации и консультации по практическому применению документов, а также алгоритмы их интеграции в систему документооборота организации-заказчика.
Вопрос-ответ
Все предприятия являются операторами ПДн?
Все, которые тем или иным образом совершают операции с персональными данными физлиц. В фирме всегда есть хотя бы директор — он является физлицом, и потому для законной обработки его ПДн хозяйствующий субъект обязан соблюдать требования закона.
Какие первые шаги нужно предпринять для обеспечения законности оборота ПДн?
Прежде всего, классифицировать категории используемых ПДн. Затем — определить перечни работников, которые будут отвечать за их оборот. На основании этих сведений — разработать документацию (локальные акты, учетные формы и прочую) в целях выполнения требований законодательства. Оптимально доверить ее разработку внешнему поставщику, обладающему специализированными компетенциями.
Какие ошибки возможны при обеспечении законности оборота ПДн?
Прежде всего — составление необходимой документации в неполном перечне (регламентирующей оборот ПДн только частично). Также есть риски допущения недоработок в части обеспечения защиты ПДн, а также организации доступа к ним.
Насколько серьезными будут последствия нарушения правил оборота ПДн?
Нарушитель привлекается к административной ответственности, при наличии законных оснований — к уголовной ответственности.
Как эффективно внедрить документацию для соблюдения Закона № 152-ФЗ?
Прежде всего, необходимо детально изучить нормативную базу на предмет актуальных требований к перечням соответствующей документации применительно к деятельности конкретного предприятия. Далее необходим квалифицированный подход к формированию локальных форм и их содержанию.
Может ли предприятие своими силами внедрить документацию?
В силу того, что перечень документов по Закону № 152-ФЗ даже для небольшого хозяйствующего субъекта — огромен, то в целях исключения рисков целесообразно привлечение специализированного поставщика услуг юридического и технического характера, которая поможет составить и внедрить документацию.
Что, кроме подготовки документов, нужно сделать?
Провести организационную работу, направленную на обеспечение готовности работников предприятия применять положения локальной базы, регламентирующей использование документации по Закону № 152-ФЗ, а также осуществление практической защиты ПДн. В случае необходимости — провести обучение и экзаменацию ответственных сотрудников.
Как организовать работу с документами?
Для этого важна детальная регламентация работы с ними. Кроме того, документы не должны содержать ошибок по структуре. Необходимо создать (и передать ответственным работникам) руководства по их заполнению. Нужно применять современные аппаратно-программные комплексы по управлению документацией.
Кто поможет в организации оборота ПДн?
Решение задач, связанных с ведением оборота ПДн, может быть решено как внутренними силами организации, так и посредством привлечения внешних подрядчиков. Во втором случае задействуются специализированные компетенции, подтвержденные практическим опытом поставщика услуг в организации документооборота.
Какие есть сложности в обеспечении соблюдения Закона № 152-ФЗ?
Главная сложность — составление документации в соответствии с актуальными требованиями нормативной базы (которая регулярно меняется). Другой проблемный момент — организация квалифицированного оборота документации с учетом стандартов обеспечения их защиты и конфиденциальности доступа к данным. Разрешению сложностей на обоих указанных направлениях способствует обращение к услугам специализированного поставщика услуг по внедрению документации, обеспечивающей защиту данных по Закону № 152-ФЗ.
Что делать после подготовки документов?
Разработать регламенты по управлению документацией, при необходимости — модернизировать аппаратно-программную базу, используемую при обороте ПДн. Во всех случаях нужно отслеживать актуальность нормативной базы, оперативно приводить документацию в полное соответствие ее требованиям.
Как часто обновлять документы?
Главный критерий здесь — появление новых требований в законодательстве. В установленном порядке документы (формы запросов, журналов) корректируются с учетом изменения вида деятельности организации, расширения географии ее присутствия, штата, типов обрабатываемых ПДн.
Кто должен заниматься внедрением документов на предприятии?
На практике в данном процессе занимаются как рядовые специалисты, так и руководящий состав. С учетом внутренней политики безопасности на тот или иной уровень делегируются необходимые трудовые функции. Целесообразно привлечение внешних поставщиков консультационных и правовых услуг, обеспечивающих законность внедрения и практического применения документации.
С кем нужно согласовывать внедрение документов?
Соответствующее внедрение должно происходить, прежде всего, с учетом действующих законодательных стандартов и регламентов. Разработка и внедрение внутренней документации, обеспечивающей соблюдение требований Закона № 152-ФЗ потребует непосредственного участия руководства предприятия, организующего необходимые процедуры разработки и ввода в действие локальных актов и форм.