Все манипуляции с персональными данными граждан в нашей стране регулируются федеральным законом «О персональных данных» от 27.06.2006 года №152-ФЗ. Все компании и частные лица, которые работают с персональными данными, должны соблюдать требования, оговорённые законодательством. В противном случае можно получить штраф от Роскомнадзора.
Если до конца не разобраться с тонкостями закона 152-ФЗ, можно легко нарушить какую-то из статей. Рассмотрим особенности законодательства, его требования и то, как все их соблюдать, чтобы избежать штрафов.
Что такое персональные данные
Персональные данные — это любая информация, которая прямо косвенно относится к конкретному физическому лицу. Это лицо, в свою очередь, называется субъектом или владельцем персональных данных.
Персональные данные бывают 4-х категорий:
Общедоступные. Это та информация, которая располагается в общедоступных источниках с согласия самого субъекта на их обработку. При этом она не становится общедоступной, это именно ПДн, размещённые в общедоступных местах.
Специальные. Это те данные, которые характеризуют человека как личность: его религиозные взгляды, раса, здоровье.
Биометрические. Они описывают биологические и физические свойства субъекта, по которым его можно идентифицировать: ДНК, отпечатки пальца, группа крови, слепок голоса, радужка глаза. Фотопортрет человека тоже считается биометрическими данными, так как по фото можно опознать человека.
Иные. Здесь остаются те данные, которые не подошли в остальные три группы. Это большая часть собираемых данных, такая как ФИО, телефон, email, дата рождения и прочее.
Любые действия, совершаемые ПДн, (сбор, обработка, хранение), считаются обработкой. Обработка бывает автоматизированная, неавтоматизированная и смешанная.
Принципы обработки персональных данных
Чтобы операторам данных было удобнее работать, в статье 5, 152-ФЗ сформулированы следующие принципы обработки личной информации:
1. Законность и справедливость обработки. Обработка ПДн должна осуществляться законно и справедливо. Это касается в том числе обработки данных сотрудников в компании. Работодатель должен учитывать законы, которые регулируют трудовые взаимоотношения.
2. У обработки должна быть конкретная цель. Собирать сведения просто так или «на всякий случай» не разрешено. Сбор должен соответствовать конкретной задаче, которая будет указана в подписываемом согласии на обработку ПДн.
3. Нельзя объединять базы данных с ПДн с несовместимыми целями обработки. Если оператор обрабатывает персональные данные с разными целями, то их нельзя хранить в одной базе. Например, компания не может хранить сведения о клиентах совместно со сведениями о работниках.
4. Следует обрабатывать только те данные, которые позволяют реализовать поставленную цель. Тут же стоит отметить, что и собирать избыточные данные, которые не нужны для задачи, нельзя.
5. Точность, достаточность и актуальность. Собранные данные должны быть корректными и актуальными, если они изменились, следует своевременно внести правки.
6. Срок хранения данных привязан к целям обработки. Как только задача будет решена, данный следует обезличить или удалить.
Это не все нормы и правила, но их соблюдение, в числе прочего, обезопасит вас от штрафов.
Защита персональных данных
Сведения о субъектах могут подвергаться 3-м типам угроз. Угрозы безопасности – это те условия и факторы, которые создают опасность несанкционированного доступа к информации в процессе её обработки. Вследствие этого доступа информация может быть уничтожена, изменена, заблокирована, передана третьим лицам и т.п.
Ознакомиться со всеми типами угроз можно в Постановлении Правительства №1119. Всего их 3 типа:
- 1 тип угроз означает наличие незадокументированных возможностей в системном программном обеспечении вашей IT-системе.
- 2 типа отличается наличием незадокументированными возможностями в прикладном ПО.
- 3 тип касается угроз, которые не связанны с недокументированными возможностями в системном и прикладном ПО.
Какой тип угроз актуален в текущей ситуации, решает оператор ПДн. Конкретных критериев, для каких операторов характерны те или иные угрозы, не существует. Решение принимается на основании пункта 5 части 1 статьи 18.1, в соответствии с нормативными правовыми актами, указанными в 5 части статьи 19 152-ФЗ, «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах».
Если в компании установлен лицензионный софт, а ИТ-среда защищена, то угрозы 1-го и 2-го типа для неё не актуальны.
Система, где хранятся данные, может получить один из 4-х уровней защищённости (УЗ):
Что требуется, чтобы получить тот или иной уровень защищённости?
4 уровень:
- Обезопасить помещение, где размещаются базы,
- Обеспечить сохранность носителей с информацией;
- Составить и утвердить список лиц, которым требуется доступ к ПДн;
- Применять средства защиты информации (СЗИ), которые прошли процедуру оценки.
3 уровень:
- Все пункты из 4-го уровня;
- Выбрать человека, который будет отвечать за безопасность ПДн.
2 уровень:
- Все пункты из 3-го уровня;
- Ограничить доступ к электронному журналу сообщений.
1 уровень:
- Все пункты из 2-го уровня;
- Реализовать автоматическую регистрацию внесённых изменений уровней доступа сотрудников;
- Создать новый или использовать текущий отдел для обеспечения безопасности систем хранения персональных данных.
Вы можете ознакомитсья со всеми средствами обеспечения безопасности в Приказе ФСТЭК №21.
Средства защиты информации
Выбирая средства защиты информации, оператор ПДн должен сначала решить, будет ли он проходить аттестацию лицензиата ФСТЭК (Федеральной службы по техническому и экспортному контролю). Чаще её проходят государственные и муниципальные учреждения, так как им она необходима по закону. Коммерческим требуется редко, только на тот случай, если они будут сотрудничать с гос учреждениями. Им подойдёт акт оценки эффективности. Этот акт необходим всем операторам данных, согласно 2 части 4 пункта 19 статьи 152-ФЗ.
Акт отличается от аттестации тем, что аттестацию в обязательном порядке проводит ФСТЭК, а оценить эффективность защиты для акта может сама компания.
В случае прохождения аттестации ФСТЭК, оператору следует использовать сертифицированные СЗИ, соответствующие уровню защищённости его системы. Для получения акта, в свою очередь, можно применять и не сертифицированные СЗИ. Но при этом они должны пройти проверку и отвечать требованиям и нормам. Это проверит регулятор.
Отдельного стоит сказать про криптозащиту. В случае её применения следует использовать СКЗИ (средства криптографической защиты информации), сертифицированные ФСБ. Это приложения или устройства, шифрующие документы и генерирующие электронную подпись.
Защищаем персональные данные правильно. Чеклист
1. Внимательно изучить принципы обработки ПДн по статье 5 152-ФЗ и тщательно их соблюдать.
2. Обеспечить принятие всех организационных и технических мер, которые необходимы для обеспечения требуемого уровня защищённости информации. Наиболее простой для соблюдения - 4-й уровень, он требует менее всего затрат. Однако не всегда получится делать то, что экономически выгоднее, важно исходить из типа хранимых данных.
3. Разобраться, какой вариант проверки качества защиты вам подходит. Будет ли это акт оценки эффективности или аттестация ФСТЭК. Согласно этому подобрать правильные СЗИ.
4. Отладить чёткий стабильный процесс по соответствию закону о персональных сведениях, чтобы любые проверки Роскомнадзора прошли гладко.
5. Если вы храните данные на серверах облачного провайдера, убедитесь, что дата-центры находятся в России, а провайдер аттестован.
Как упростить работу с ПДн
Если у вас есть сложности с обеспечением должного уровня безопасности или нет желания вникать в тонкости законодательства, можно воспользоваться услугами Cloud4Y. Мы предлагаем решение «Облако ФЗ-152», которое значительно упростит соблюдение требований закона 152-ФЗ для операторов ПДн. Воспользовавшись компетенциями и техническими средствами облачного провайдера, вы сможете и избежать нарушений и, следовательно, штрафов, связанных с хранением персональных данных граждан РФ.