Информационные системы персональных данных в организации

Постановлением № 1119, принятым 1 ноября 2012 г., утверждены требования, распространяющиеся на защиту персональных данных (ПД) при их обработке в информсистемах. Также этот норматив определяет несколько уровней защищенности такой информации.

Предприятие, использующее персональную информацию, определяет уровень, который должен обеспечить ее защищенность, и оформляет при этом соответствующий акт.

Система защиты персональных данных

Эту систему составляют мероприятия организационной и технической направленности, определяемые в зависимости от реальных угроз, которые имеют место во время обработки ПД и использования при этом информационных технологий в информсистемах.

Обеспечение безопасности должен предусмотреть оператор, занимающийся обработкой ПД. Это может быть конкретное лицо, на которое возложены обязанности, или выполняющее поручение оператора по договору (уполномоченное лицо). Соглашение между предприятием и уполномоченными лицами составляется с учетом обязанности этих лиц обеспечивать безопасность ПД во время их обработки в информационной системе персональных данных (ИСПДн).

Средства защиты ИСПДн выбираются оператором с учетом нормативов, введенных в действие ФСБ РФ и ФС по техническому и экспортному контролю в соответствии с ч. 4 ст. 19 закона «О персональных данных».

ИСПДн имеет вид системы, в которой обрабатываются специальные категории данных, относящихся к персональным по расовым, национальным признакам, политическим, религиозным, философским взглядам и убеждениям, состоянию здоровья, личной жизни каждого субъекта ПД.

ИС по обработке биометрической информации имеет вид системы, в которой обрабатываются сведения по физиологическим, биологическим параметрам субъекта, позволяющим определить его личность и применяемым оператором для этих целей. Но не проходят обработку данные, имеющие отношение к специальному виду ПД.

Информсистемы с общедоступными данными обрабатывают информацию, которая получена из источников ПД, являющихся общедоступными, сформированных в соответствии со ст. 8 закона о персональных данных.

Информсистема, осуществляющая обработку ПД работников предприятия, производит все действия с их использованием только в отношении своих работников. В других случаях ИСПДн считается информсистемой, в которой проходит обработку информация о субъектах, не являющихся сотрудниками предприятия.

Актуальные угрозы, типы

К актуальным относят угрозы, представляющие собой группу условий и факторов, создающих определенную опасность неразрешенного (также и случайного) доступа к ПД во время работы с ними в ИС. Такие действия могут привести к тому, что важная конфиденциальная информация может быть уничтожена, изменена, заблокирована, скопирована, предоставлена кому-либо, распространена или даже использована для выполнения неправомерных действий.

Законодательство выделяет три типа угроз, которые могут быть актуальными для персональных данных:

  • к угрозам первого типа в информсистеме относятся те из них, которые в этой системе дополняются угрозами, связанными с недокументированными возможностями в системном ПО, которое применяется в данной ИС;
  • угрозами второго типа являются актуальные для ИС угрозы, включая связанные с недокументированными возможностями с использованием прикладного ПО, которое используется в ИС;
  • угрозы третьего уровня в ИС, которые не связаны с недокументированными возможностями в системном и прикладном ПО, которое в этой системе применяется.

Оператор самостоятельно определяет для себя тип угроз, актуальных для безопасности ПД, учитывая возможный ущерб, который они могут нанести, и ориентируясь на пункт 5 части 1 ст. 18 ФЗ о персональных данных, а также на ч. 4 ст. 19 этого же документа.

Классификация

ИСПДн классифицируются по структурным признакам и бывают:

  • автономного типа, размещенными в пределах одного автоматизированного рабочего места;
  • локального типа, в виде группы автоматизированных рабочих мест, объединенных в одну сеть локального вида;
  • распределенного типа, при котором связь между рабочими местами, локальными сетями, связанными между собой, осуществляется путем удаленного доступа.

Режим работы с ПД в ИСПДн разделяет их на одно- и многопользовательские. Первые встречаются довольно редко, обычно в пределах одного рабочего места может находиться от двух взаимозаменяемых человек.

Многопользовательские ИСПДн подразделяются на:

  • не ограничивающие права доступа;
  • разграничивающие эти права.

По расположению:

  • системы, размещенные на территории РФ;
  • системы, находящиеся полностью или частично за пределами России.

Уровни защищенности

Во время обработки ПД в информсистемах предусматривается установка четырех уровней защищенности этих данных.

Чтобы обеспечить первый уровень, необходимо соблюдение хотя бы одного из ниже перечисленных условий:

  • для такой ИС актуальны угрозы 1-го типа, ИС выполняет обработку спецкатегорий, биометрических или других ПД;
  • актуальность угроз 2-го типа с обработкой в ИС данных спецкатегорий ПД, касающихся больше 100 тыс. субъектов, не относящихся к сотрудникам оператора.

Обеспечить второй уровень необходимо, если соблюдается хоть одно из условий:

  • ИС подвергается угрозам 1-го типа и предназначена для обработки общедоступных ПД;
  • возможны угрозы 2-го типа при обработке информационной системой спецкатегорий ПД работников оператора, а также спецкатегорий данных не больше 100 тыс. субъектов, не считающихся работниками предприятия;
  • возможны угрозы 2-го типа с обработкой биометрических ПД;
  • при угрозах 2-го типа и обработке информсистемой общедоступных данных, касающихся больше чем 100 тыс. субъектов, которые не имеют отношения к сотрудникам оператора;
  • при угрозах 2-го типа и обработке прочих категорий ПД, превышающих по количеству 100 тыс. субъектов этих данных, не относящихся к работникам предприятия;
  • для ИСПДн с актуальными угрозами 3-го типа с обработкой в ней спецкатегорий ПД больше 100 тыс. субъектов, не являющихся работниками компании.

Требуется создать эффективную защиту для персональной информации с использованием 3-го уровня, если соблюдается одно из условий:

  • присутствуют угрозы 3-го типа, обработка информсистемой ведется по общедоступным ПД работников компании или общедоступным ПД, превышающим 100 тыс. субъектов, не являющихся сотрудниками предприятия;
  • актуальны угрозы 2-го типа для информсистемы, обрабатывающей прочие категории ПД работников оператора или другие категории ПД до 100 тысяч субъектов, которые не относятся к сотрудникам оператора;
  • возможны угрозы 3-го типа для информсистемы, которая производит обработку спецкатегорий ПД работников оператора или таких же данных до 100 тысяч субъектов, не относящихся к сотрудникам оператора;
  • угрозы 3-го типа при обработке биометрических ПД;
  • угрозы 3-го типа с обработкой прочих категорий персональной информации свыше 100 тыс. субъектов ПД, не сотрудников оператора.

Четвертый уровень ИСПДн предусматривается, если будет присутствовать одно из условий в информационной системе:

  • присутствие угроз 3-го типа во время обработки общедоступных ПД;
  • присутствуют угрозы 3-го типа при обработке иных категорий ПД сотрудников оператора или субъектов, не являющихся его сотрудниками, в количестве до 100 тыс. человек.

Обеспечение защищенности

Чтобы обеспечить 4-й уровень защищенности ПД, необходимо выполнять следующие требования:

  • организовать режим, обеспечивающий безопасное использование помещений, которые применяются для размещения информсистемы. Такой режим должен препятствовать попыткам несанкционированного доступа или пребывания в них людей, которые не имеют права в них находиться;
  • носителям персональных данных необходимо обеспечить сохранность;
  • руководитель оператора обязан утвердить документ, устанавливающий список сотрудников, имеющих доступ к ПД, которые обрабатываются в информсистеме, и выполняющих с использованием этих данных своих служебные обязанности;
  • должны использоваться средства защиты информации, которые были оценены на соответствие требованиям законов РФ, касающихся обеспечения информационной безопасности, если применение этих средств требуется, чтобы нейтрализовать актуальные угрозы.

Третий уровень защищенности ПД во время их обработки в ИС должен обеспечиваться вышеперечисленными требованиями, а также путем назначения конкретного должностного лица, которое будет отвечать за обеспечение безопасности ПД в информсистеме.

Второй уровень ИСПДн в дополнение ко всем перечисленным требованиям должен обеспечиваться ограничением доступа к содержанию электронной формы журнала сообщений. Доступ должен разрешаться только должностным лицам оператора (уполномоченным оператором лицам), использующим сведения, имеющиеся и поступающие в журнал, для выполнения своих рабочих или служебных полномочий.

Чтобы обеспечить первый уровень защищенности ПД во время их обработки в информсистемах, кроме всех требований, описанных в этом разделе, нужно выполнять дополнительные условия:

  • выполнение регистрации в электронном журнале в автоматическом режиме изменения полномочий, которыми наделяется сотрудник оператора по доступу к ПД, хранящимся в информсистеме;
  • формирование подразделения в структуре оператора, которое должно отвечать за создание и соблюдение условий безопасности ПД в информсистеме. Можно возложить такие обязанности на определенное структурное подразделение.

Оператор должен обеспечить контроль над соблюдением всех требований, установленных законодательством РФ в отношении использования персональных данных. Сделать это можно как самостоятельно, так и с привлечением по договору лицензированных юридических лиц, ИП для организации технической защиты персональной информации и конфиденциальных данных. Такой контроль должен осуществляться 1 раз в три года. Сроки оператор устанавливает самостоятельно.

Акт классификации ИСПДн

Акт должен определять структуру всей системы ПД, а также режим, в котором будут обрабатываться конфиденциальные сведения. Этот документ относится к категории хранящихся под грифом конфиденциальности, ему должен быть присвоен учетный номер.

Чтобы провести классификацию, оператор должен создать на предприятии специальную комиссию. В ее состав должно войти в обязательном порядке лицо, ответственное за защищенность персональных данных. Комиссию назначают приказом собственника предприятия. Этот орган должен осуществлять свою деятельность с учетом Положения о такой комиссии. Результаты ее работы оформляются актом классификации ИСПДн. Подписанный всеми членами комиссии акт утверждается ее председателем.

Ответственность за нарушение требований по защите персональных данных

В настоящее время актуальным является вопрос ответственности оператора персональных данных (ПДн) за невыполнение требований законодательства по защите персональных данных. Многие источники приводят большой перечень наказаний. Но какова реальность? Что в действительности ждет оператора персональных данных при полном игнорировании законодательства о персональных данных?Валерий Омаров
Руководитель группы анализа и
защиты информации СОАО «ВСК»

К федеральным законам, раскрывающим ответственность за нарушения в сфере защиты персональных данных, можно отнести:

Виды ответственности

Статья 24 закона № 152-ФЗ «О персональных данных» прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Рассмотрим ответственность по перечисленным законам с акцентом на ответственности за нарушения требований по защите персональных данных.

Гражданский кодекс РФ

Гражданский кодекс РФ в ст. 946 вводит ответственность за нарушение «тайны страхования». Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и тех пределах, в каких использование способов защиты гражданских прав (компенсация морального вреда, возмещение убытков) вытекает из существа нарушенного нематериального права и характера последствий этого нарушения. Прецедент правоприменения данной статьи автору пока не известен.

Уголовный кодекс РФ

Уголовный кодекс РФ предусматривает наказание по ст. 137, 140 и 272.

По ст. 137 наступает ответственность за нарушение неприкосновенности частной жизни, выражающееся в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. По статье предусмотрен штраф в размере до 200 тысяч рублей или лишение свободы на срок до 2 лет. Те же деяния, совершенные лицом с использованием своего служебного положения, предусматривают штраф в размере от 100 тысяч до лишения свободы на срок до 4 лет. Как следует из диспозиции статьи, правоприменимость статьи не зависит от наличия средств защиты персональных данных.

Статья 24 закона № 152-ФЗ «О персональных данных» прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

По ст. 140 ответственность наступает при неправомерном отказе должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. По статье предусмотрено наказание: штраф в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.

По ст. 272 Уголовного кодекса РФ наступает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. По статье предусмотрен штраф в размере от 200 тысяч рублей или лишение свободы на срок до 2 лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, предусматривает штраф в размере от 100 тысяч или лишение свободы на срок до 5 лет.

Как следует из диспозиции статьи, правоприменимость статьи зависит от наличия средств защиты персональных данных как признака охраняемой информации. Но статья относится к лицу, совершившему неправомерный доступ, а не к оператору персональных данных. Кроме того, данная норма содержит условие, которое позволяет отнести данное правонарушение к разряду уголовно наказуемых деяний, «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети».

Кодекс об административных правонарушениях

Кодекс об административных правонарушениях включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом).

Отказ в предоставлении информации (ст. 5.39) наиболее часто встречается в правоприменительной практике. Это связано не только с малыми сроками предоставления информации, но и прежде всего с отсутствием у оператора регламентов предоставления информации.

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации влекут наложение административного штрафа на должностных лиц в размере от 1 до 3 тысяч рублей.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11) напрямую указывает на необходимость соблюдения ФЗ-152 «О персональных данных». Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.

Ст. 13.12 «Нарушение правил защиты информации» содержит три обязательных признака, только при их наличии наступает ответственность по ст. 13.12:

  1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Это указывает на обязательность лицензирования деятельности по защите информации. Если лицензии отсутствуют, то отсутствуют и объективные признаки нарушения. Санкции по статье – это наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.
  2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации. Санкции в этом случае – наложение административного штрафа на граждан в размере от 500 до 1 тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 1 до 2 тысяч рублей; на юридических лиц – от 10 до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. То есть, если при проверке окажется, что в системе защиты используются несерти-фицированные средства, они могут быть конфискованы.
  3. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).

Это условие рассмотрим более подробно во второй части статьи, которая будет опубликована в журнале «Информационная безопасность» № 4.

О нас

Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.
В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Чего там нового в законодательстве?

По теме проверок по защите персональных данных было написано немало статей и многие из них вышли раньше 2015 года. Чтобы как-то въехать в настоящие реалии, в первую очередь необходимо проанализировать, что же поменялось за последние годы в законодательстве.

242-ФЗ

Сначала давайте вспомним небезызвестный 242-ФЗ. В 2015 году он наделал много шуму в связи с необходимостью локализации персональных данных граждан РФ на территории РФ. Спустя четыре года единственным крупным пострадавшим от этого закона является социальная сеть Linkedin.
Но была в 242-ФЗ и другая сторона, не растиражированная так активно в СМИ.
В 242-ФЗ были очень важные в контексте проводимых РКН проверок по персональным данным изменения: на деятельность Роскомнадзора в сфере защиты прав субъектов персональных данных с 1 сентября 2015 года не распространяется федеральный закон №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Что это значит? Для операторов персональных данных, как можно догадаться, – ничего хорошего. Теперь, как уже показала практика, — сильно уменьшилось количество плановых проверок и соразмерно увеличилось количество внеплановых. Об этом говорят и планы проверок Роскомнадзора, опубликованные в конце 2015 года (и в последующих годах) на сайте ведомства. Плановых проверок по персональным данным там — раз, два и обчелся, в отличие от предыдущих годов.
Основная проблема внеплановых проверок в том, что о них нельзя узнать с хорошим временным запасом и, как следствие, — нельзя как можно лучше подготовиться. Например, раньше, когда публиковался план проверок, каждый мог скачать его и узнать, находится ли организация в нем или нет. И врасплох можно было застать только те немногие организации, дата проверки у которых значилась январем-февралем. Остальные имели возможность нормально подготовиться, даже если до этого момента в организации по защите персональных данных совсем ничего не делалось. Сейчас лучше, конечно же, быть готовым к проверке Роскомнадзора по персональным данным в любой момент, то есть всегда держать наготове актуальный комплект документации по защите персональных данных.

13.11 КоАП РФ

Другое важное законодательное изменение это изменение статьи 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Эти изменения полностью преобразовали наказание за нарушение законодательства в сфере защиты персональных данных. Ранее статья 13.11 не разбивалась на части, и максимальный штраф был предусмотрен в размере 10 тысяч рублей для юридических лиц. Сейчас же здесь имеется 7 частей (да еще и планируется расширение), по одной из которых (нарушение правил обработки специальных категорий персональных данных) предусмотрен максимальный штраф для юридических лиц – 75 000 рублей. К тому же, при выявлении проверяющими разных нарушений – наказания по разным частям статьи КоАП теоретически могут складываться. Почему «теоретически»? Раньше на сайтах региональных управлений РКН в разделе «Новости» постоянно публиковались новости о том, что регулятор проверил условно 3 организации на выполнение законодательства о персональных данных, у организации №1 все хорошо, организацию №2 оштрафовали на 3 тысячи рублей, организацию №3 оштрафовали на 5 тысяч рублей. Можно было собрать такие новости в кучу за год и подбить некоторую статистику по штрафам. Сейчас же таких новостей нет. Если у кого-то имеются данные по штрафам за нарушение 152-ФЗ после изменений в 13.11 КоАП РФ, то можете поделиться такой информацией в комментариях.
Здесь стоит сразу отметить, что в первоначальном тексте законопроекта по изменению статьи 13.11 КоАП РФ изначально фигурировали более значительные суммы штрафов, например, там где в итоге максимальный штраф был установлен в 75 000 рублей, изначально планировалось наказывать аж на 300 000 рублей. Солидно, но до сумм за нарушение GDPR все равно далеко. Но, несмотря на то, что суммы штрафов в итоге сильно уменьшились, к сожалению, некоторые продавцы услуг по защите персональных данных до сих пор пытаются запугать цифрой «300 000». Будьте бдительны.
Итак, мы убедились, что возросшая вероятность внеплановой проверки и многократно возросшие штрафы за нарушение 152-ФЗ неплохо так стимулируют быть готовыми к проверке в любой момент. Давайте же разбираться, что нам нужно для этого сделать.

Виды проверок

Прежде чем мы перейдем к непосредственным шагам по подготовке к проверкам, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка.
В целом, проверки можно разделить на 2 вида: документарные и выездные.

Документарные проверки

Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления РКН с каким-либо требованием. Если в вашей организации, например, не подавали уведомление о её внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать. Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления (в 152-ФЗ предусмотрен ряд исключений). Если уведомление ваша организация всё же подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и то, является ли он арендуемым или собственным. И да, база данных 1С на компьютере главбуха в понимании Роскомнадзора это ЦОД.
О заполнении уведомленияПрактика показывает, что у многих операторов персональных данных возникают вопросы — как правильно заполнять те или иные поля уведомления. О самом уведомлении оператора персональных данных мы немного поговорим в этой статье, но вот туториал по заполнению уже тянет на отдельную.
Вас также могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все.
Итак, вы получили такое письмо от Роскомнадзора, что делать?
На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.
Может у каких-то ведомств и распространена такая практика — написать письмо в организацию «для галочки» и забыть, но только не у РКН. Поэтому отвечать желательно в установленный в письме срок, иначе организация будет наказана по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган». Можно зайти на сайт своего регионального управления Роскомнадзора (%номер _региона%.rkn.gov.ru) в раздел «Новости». В 2016 году добрая половина новостей была посвящена привлечению юридических лиц к ответственности по той самой статье КоАП РФ. Причем в каждой новости могло фигурировать до 10-15 организаций. Сейчас такие новости тоже есть, но меньше, связано это, скорее всего с тем, что сам РКН стал менее активно рассылать «письма счастья».
Штраф по 19.7 КоАП РФ небольшой — 3-5 тысяч рублей, но тут нужно помнить, что после того как вы заплатите штраф, затребованные в изначальном письме сведения все равно придется предоставить.
Скриншот сайта Управления Роскомнадзора по Приморскому краю, 2016 год
Если по содержанию присланного вам письма что-то непонятно, то в конце обычно указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет.
Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.

Выездные проверки

Из самого названия уже становится ясно, что проверяющие как минимум два-три раза окажутся на вашей территории. По нашему опыту можем сказать, что процесс проверки выглядит примерно так:

  • проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
  • затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
  • бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
  • в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
  • в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
  • в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

Здесь, пожалуй, стоит рассказать о том, что нужно помнить во время проведения выездной проверки.
Во-первых, ни в коем случае не нужно идти с проверяющими на конфликт и как-либо препятствовать проведению проверки («терять» ключ от кабинета с документами и тому подобные уловки). Да, проверяющие тоже могут ошибаться. Яркий пример такой ошибки, связанной с чрезмерным увлечением запретами всего и вся случилась у нас в Приморском крае в 2015-2016 годах. Синдром вахтера никто не отменял, и в процессе проверки могут предъявляться совершенно противоправные и необоснованные требования. Но это никак не отменяет простых правил человеческого общения. Если вы с чем-то не согласны, выскажите это спокойно, попросите ссылку на законодательство, чем обусловлено сомнительное требование.
Во-вторых, неважно какие претензии будут высказаны проверяющими во время проверки, важно только то, что будет написано в акте по итогам проведенной проверки. Приведу простой пример, на одной из проверок представители РКН утверждали, что необходимо разделять информационные системы персональных данных «Бухгалтерия» и «Кадры» и в документах соответственно их описывать раздельно. Требование совершенно ничем не подкреплено законодательно, а само определение ИСПДн из 152-ФЗ не запрещает объединять информационные системы и описывать их так, как мы этого сами захотим. Мы можем в лечебном учреждении объединить документально систему с медицинскими данными с теми же кадробухами, и сказать, что это у нас одна ИСПДн. Правда в этом случае нужно помнить, что вероятно кадробухов придется защищать по более высокому уровню защищенности персональных данных, который будет определен для части информационной системы с медициной. Но вот бухгалтерию отделять от кадров и для каждой системы отдельно плодить горы приказов, инструкций и моделей угроз даже с точки зрения здравого смысла совсем не правильно. Так вот, главное в этой истории то, что в акте по итогам проверки было написано «нарушений законодательства не было выявлено». И это перечеркивает все словесные неправомерные замечания проверяющих.
В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

  • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
  • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
  • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.

Как проверить наличие уведомления в реестре и что делать дальше

Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.
Дальше ваши действия должны выглядеть примерно следующим образом.
Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.
Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление. Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра. Ждем 30 дней. Проверяем. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо.
Если организация не попадает под исключения, но уведомления в реестре нет — срочно идем заполнять уведомление! Почему срочно? Да потому что по закону уведомление необходимо заполнять до начала обработки персональных данных, если такая обработка не попадает под все те же исключения из 22 статьи закона №152-ФЗ «О персональных данных». О том, как правильно и грамотно заполнить уведомление с нуля или прокачать уже существующее планируется одна из следующих статей.
Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:

  • уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
  • уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.

Для таких случаев на портале персональных данных предусмотрена форма для внесения изменений в существующее уведомление.
После заполнения формы о внесении изменений (или первичного уведомления) необходимо распечатать получившийся на выходе документ, подписать, поставить печать (если есть) и отправить аналоговым письмом в территориальное управление Роскомнадзора. Только на основании бумажного письма будет внесена запись в реестр или внесены изменения в уже существующую запись.

Документация к проверке

Хотелось оставить этот торжественный момент на конец статьи. Но что уж там, раз уже перешли к разговору о комплекте необходимой документации, то вот ссылка на наш комплект шаблонов. В архиве 4 папки и шаблон «Модели угроз». Здесь мы будем говорить только о документах из папок «Общее» и «ПДн». «Общее» — это документы, которые могут применяться плюс-минус для любых информационных систем, а «ПДн» это чисто роскомнадзоровская часть. Полное описание состава документов в архиве можно посмотреть у нас на сайте.
Статья получилась итак достаточно объемная, поэтому разбирать из каких конкретно требований появился тот или иной документ (или раздел документа) здесь не будем. Это тема для отдельной статьи. Давайте пройдемся по общим моментам.

Состав документов

Итак, первым делом перед специалистом, которому поручили подготовиться к грядущей проверке встает вопрос – а какие вообще документы нужны. Специалист обращается к законодательству и… Не находит практически ничего полезного. Ну не то чтобы прям совсем ничего. Да, наверное, специалист наткнется на постановление Правительства РФ от 21.02.2012 №211 и скажет: «Вот, вы были не правы, вот, есть же список документов!». Да, есть. Только специалиста здесь ждет своего рода ловушка. Если обзавестись только документами из этого списка, организация получит предписание по итогам проверки, потому что список не перекрывает и малой части требований законодательства. Плюс в списке встречаются такие несуразности как, например, необходимость отдельно утверждать перечень ИСПДн. Зачем для этого делать отдельный документ, когда можно перечислить ИСПДн в «Положении об обработке и защите ИСПДн» или в «Политике информационной безопасности» — непонятно. Ну и наконец, постановление №211 относится только к государственным и муниципальным органам, поэтому к большинству операторов ПДн – не применимо. И, кстати, в нашем наборе документов по постановлению 211 нет, так как большинство вопросов итак учтены в других документах.
Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.
В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».
О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.
Все остальное описано неоднозначно, примерно в таком духе:
Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
И так далее. Поскольку прямого указания выпускать тот или иной документ нет, читать и понимать 152-ФЗ следует именно так: если написано про осуществление внутреннего контроля, то для выполнения этого требования должны быть разработаны документы, определяющие план, порядок такого контроля, а также некие акты или журналы, в которых отражены результаты контроля. Проверяющих не устроит рассказ о том, что вы выполнили требование по назначению ответственного за организацию обработки персональных данных просто устно обозначив такую ответственность одному из сотрудников. Должен быть документ! В этом конкретном случае — приказ о назначении такого ответственного.
Если есть ответственный, то ему полагается инструкция – за что он отвечает, и какие у него есть права и полномочия. Часто такую инструкцию называют «должностной», что на наш взгляд в большинстве случаев не совсем правильно. Ведь «ответственный за организацию обработки персональных данных» это, как правило, не отдельная должность, а лишь дополнительная обязанность, которая возлагается на того или иного сотрудника.
В общем и целом нам необходимо досконально изучить законодательство по защите персональных данных, выискивая намеки на необходимость наличия различных документов. При этом можно написать одно «Положение об обработке и защите персональных данных», а можно сделать отдельно «Положение об обработке…» и «Положение о защите…». Здесь уже как кому больше нравится.

1. Общие положения
1.1 Настоящая Политика в отношении обработки персональных данных (далее — Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативными правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее — данные), которые Организация (далее — Оператор, Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет (далее — Пользователь) во время использования им любого из сайтов, сервисов, служб, программ, продуктов или услуг ООО «Среда Обучения», а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее — Работник).
1.2 Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.3 Оператор вправе вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
2. Термины и принятые сокращения
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, сделанные общедоступными субъектом персональных данных, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Оператор — организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ООО «Среда Обучения», расположенное по адресу: г. Москва, ул. Люсиновская 13/1.
3. Обработка персональных данных
3.1 Получение персональных данных.
3.1.1 Все персональные данные следует получать от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
3.1.2 Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
3.1.3 Документы, содержащие персональные данные, создаются путем:
— копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
— внесения сведений в учетные формы;
— получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
3.2 Обработка персональных данных.
3.2.1 Обработка персональных данных осуществляется:
— с согласия субъекта персональных данных на обработку его персональных данных;
— в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
— в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных).
3.2.2 Цели обработки персональных данных:
— осуществление трудовых отношений;
— осуществление гражданско-правовых отношений;
— для связи с пользователем, в связи с заполнением формы обратной связи на сайте, в том числе направление уведомлений, запросов и информации, касающихся использования сайта магазина, обработки, согласования заказов и их доставки, исполнения соглашений и договоров;
— обезличивания персональных данных для получения обезличенных статистических данных, которые передаются третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению магазина.
3.2.3 Категории субъектов персональных данных.
Обрабатываются персональные данные следующих субъектов персональных данных:
— физические лица, состоящие с Обществом в трудовых отношениях;
— физические лица, уволившиеся из Общества;
— физические лица, являющиеся кандидатами на работу;
— физические лица, состоящие с Обществом в гражданско-правовых отношениях;
— физические лица, являющиеся Пользователями Сайта Магазина.
3.2.4 Персональные данные, обрабатываемые Оператором:
— данные, полученные при осуществлении трудовых отношений;
— данные, полученные для осуществления отбора кандидатов на работу;
— данные, полученные при осуществлении гражданско-правовых отношений;
— данные, полученные от Пользователей Сайта Магазина.
3.2.5 Обработка персональных данных ведется:
— с использованием средств автоматизации;
— без использования средств автоматизации.
3.3 Хранение персональных данных.
3.3.1 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.3.2 Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.3.3 Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.3.4 Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.3.5 Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.4 Уничтожение персональных данных.
3.4.1 Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.4.2 Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.4.3 Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
3.5 Передача персональных данных.
3.5.1 Оператор передает персональные данные третьим лицам в следующих случаях:
— субъект выразил свое согласие на такие действия;
— передача предусмотрена российским или иным применимым
законодательством в рамках установленной законодательством процедуры.
3.5.2 Перечень лиц, которым передаются персональные данные.
— Пенсионный фонд РФ для учета (на законных основаниях);
— налоговые органы РФ (на законных основаниях);
— Фонд социального страхования РФ (на законных основаниях);
— территориальный фонд обязательного медицинского страхования (на законных основаниях);
— страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
— банки для начисления заработной платы (на основании договора);
— органы МВД России в случаях, установленных законодательством;
— обезличенные персональные данные Пользователей сайта интернет- магазина передаются контрагентам Магазина.
4. Защита персональных данных
4.1 В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2 Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
4.3 Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4 Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
4.5 Основными мерами защиты персональных данных, используемыми Оператором, являются:
4.5.1 Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.
4.5.2 Определение актуальных угроз безопасности персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите персональных данных.
4.5.3 Разработка политики в отношении обработки персональных данных.
4.5.4 Установление правил доступа к персональным данным,
обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД.
4.5.5 Установление индивидуальных паролей доступа сотрудников в
информационную систему в соответствии с их производственными
обязанностями.
4.5.6 Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
4.5.7 Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.5.8 Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
4.5.9 Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
4.5.10 Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.11 Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
4.5.12 Осуществление внутреннего контроля и аудита.
5. Основные права субъекта персональных данных и обязанности Оператора
5.1 Основные права субъекта персональных данных.
Субъект имеет право на доступ к его персональным данным и следующим сведениям:
— подтверждение факта обработки персональных данных Оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые Оператором способы обработки персональных данных;
— наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
— наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
— обращение к Оператору и направление ему запросов;
— обжалование действий или бездействия Оператора.
5.2 Обязанности Оператора.
Оператор обязан:
— при сборе персональных данных предоставить информацию об обработке персональных данных;
— в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
— при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
— опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
— давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.