Работодатели должны принять меры по защите персональных данных

Федеральный закон № 152-ФЗ «О персональных данных» был принят 27 июля 2006 года. Принятие российского закона о персональных данных стало следствием присоединения Российской Федерации к Европейской Конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах.

Целью принятия данного закона явилась необходимость устранения барьеров по обмену персональных данных в отношениях со странами Евросоюза. Принятый в РФ закон во многом повторяет основные положения европейского законодательства в данной сфере, которое считается одним из самых жест­ких в мире.

Несмотря на то, что закон вступил в силу более 4-х лет назад, Госдума неоднократно устанавливала новый срок для выполнения требований, предъявляемых законом к работе с персональными данными. К 1 июля 2011 года все юридические и физические лица, использующие в своей деятельности персональные данные в электронном виде, должны осуществить необходимые мероприятия по их защите в соответствии с Федеральным Законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Законом определены некоторые основные понятия:

1. Информационная система (ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих обрабатывать такие персональные данные с использованием средств автоматизации или без использования таких средств.

Согласно постановлению Правительства РФ от 17.11.2007 г. № 781 в информационных системах персональных данных должно быть обеспечено:

предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;

недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

постоянный контроль за обеспечением уровня защищенности персональных данных.

2. Персональные данные, которые включают в себя любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Все персональные данные делятся на 4 категории:

1 категория – данные относительно национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

2 категория – данные, позволяющие идентифицировать физическое лицо – субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

3 категория – персональные данные, позволяющие идентифицировать субъекта персональных данных;

4 категория – обезличенные и (или) общедоступные персональные данные.

3. Оператор – «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».

Под требования Закона о ПД попадают практически все организации – коммерческие, государственные, общественные, - которые имеют кадровые службы и владеют персональными данными своих сотрудников и клиентов. Организации, использующие в своих информационных системах персональные данные, будут являться операторами ИСПД.

Сфера действия закона распространяется на отношения в области обработки персональных данных с использованием средств автоматизации или без них, если обработка таких данных соответствует использованию средств автоматизации.

Действие закона не распространяется на отношения в области персональных данных для личных и семейных нужд, при обработке персональных данных документов Архивного фонда РФ, при обработке персональных данных для включения их в Единый государственный реестр индивидуальных предпринимателей (ЕГРИП), при обработке персональных данных, отнесенных к государственной тайне.

В соответствии со статьей 9 Федерального закона № 152-ФЗ субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку. Обязанность предоставить доказательства получения согласия субъекта на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что персональные данные являются общедоступными, возлагается на оператора. Законом (статья 6) определены нормы, по которым не требуется согласия субъектов персональных данных.

Субъект персональных данных имеет право получать сведения об операторе, о наличии персональных данных, к нему относящихся, а также имеет право ознакомится с этими персональными данными. При этом закон требует, чтобы данные персональные требования были бы предоставлены субъекту в доступной форме и не содержали бы сведений других субъектов.

Важным и своевременным дополнением является статья 16, запрещающая «принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы».

Глава 4 Закона определяет обязанности оператора, в которую включено:

– предоставление субъекту по его запросу сведения о его персональных данных,

– сроки исполнения запросов от субъектов;

– сроки устранения нарушений законодательства о ПД;

– обеспечение безопасности персональных данных при обработке.

На первом этапе реализации закона (п.1 ст.22 закона) оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных, который ведет учет операторов в специальном реестре. В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными. Любые изменения в отношении обработки персональных данных в обязательном порядке также должны сообщаться в уполномоченный орган.

Разрешается, без уведомления уполномоченного органа, вести обработку персональных данных в следующих случаях (п.2 ст.22 ФЗ 152 -ФЗ):

– при наличии трудовых отношений;

– при заключении договора, стороной которого является субъект персональных данных;

– если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующим общественным объединением или религиозной организацией;

– если персональные данные являются общедоступными;

– если персональные данные включают в себя только фамилии, имена и отчества субъектов;

– при оформлении пропусков;

– если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

– обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Мероприятия по защите персональных данных включают в себя как организационные, так и технические меры. К организационным относятся разработка документов, которые регламентируют процесс обработки персональных данных и их защиту:

– положение об обработке и защите персональных данных;

– инструкции администраторов безопасности персональных данных;

– инструкции пользователей по работе с персональными данными;

– инструкции о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;

– нормативный документ, аккумулирующий информация о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения);

– порядок учета носителей информации, содержащих защищаемые данные;

– перечень обрабатываемых данных;

– перечень информационных систем, обрабатывающих персональные данные.

Кроме того, необходимо определить перечень мер по защите персональных данных:

– перечень лиц, имеющих право доступа к обработке персональных данных;

– регламент доступа сотрудников к обработка персональных данных, включая вид доступа;

– разработка должностных инструкций сотрудников по работе с персональными данными;

– приказы о возложении персональной ответственности за нарушения правил обработки персональных данных;

– порядок контроля доступа и несанкционированного проникновения в помещение ИСПД, в том числе в ночное время;

– сроки и порядок проведения внутренних проверок защиты ПД.

Технические меры по защите информации подразумевают:

– средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические средства и т.п.);

– средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).

Все программные средства по защите информации должны пройти оценку соответствия в установленном порядке.

Следовательно, для того, чтобы обеспечить соблюдение требований Федерального закона № 152 – ФЗ придется существенно изменить работу с информацией и документацией, содержащих персональные данные.

Действия по реализации требований Федерального закона № 152-ФЗ включают в себя:

1. Проведение инвентаризации всех систем обрабатывающих персональные данные.

2. Наличие согласий субъектов на обработку их персональных данных.

3. Формирование перечня персональных данных, оценка законности обработки ПД.

4. Установление категорий персональных данных.

5.Формирование документов, регламентирующих работу с персональными данными.

6. Формирование модели угроз, содержащих актуальные угрозы информационной безопасности персональных данных при их обработке.

7. Определение класса ИСПД и выработка решений по снижению класса информационной системы. Порядок проведения классификации информационных систем утвержден совместным Приказом ФСТЭК РФ, ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 г. № 55/86/20. Цель проведения классификации – установление методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

8. Утверждение акта классификации.

9. Направление уведомления об обработке ПД в уполномоченный орган.

10. Контроль ИСПД.

При выполнении указанных действий, информационная система персональных данных будет соответствовать требованиям закона.

Контроль за исполнением требований закона возложен на Федеральную службу безопасности (ФСБ России), Федеральную службу по техническому и экспортному контролю (ФСТЭК) и Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Каждое из этих ведомств выполняет свою задачу. Так, ФСБ России курирует вопросы безопасности персональных данных при их обработке в информационных системах, в том числе защиту информации с использованием средств шифрования (криптографии).

Компетенции ФСТЭК России — защита информации с применением технических средств, в том числе подтверждение отсутствия в средствах защиты недекларируемых возможностей. Технические средства защиты персональных данных необходимо сертифицировать.

Роскомнадзор является основным регулятором в области защиты прав физических лиц, чьи персональные данные обрабатываются. Сотрудники этого ведомства имеют право:

– проверять сведения в уведомлении, поданном оператором;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона;

– обращаться в суд с исковыми заявлениями в защиту прав субъектов и представлять их интересы в суде. А также направлять заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия его лицензии;

– направлять материалы в право­охранительные органы для решения вопроса о возбуждении уголовного дела в связи с нарушением прав субъектов персональных данных;

– привлекать к административной ответственности лиц, виновных в нарушении закона.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации влечет наложение административного штрафа на граждан от пятисот до тысячи рублей с конфискацией несертифицированных средств защиты информации, на должностных лиц - от одной до двух тысяч рублей, а на юридических лиц – от десяти до двадцати тысяч рублей с конфискацией несертифицированных средств.

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) лицом, которое имело к ней доступ по служебным или профессиональным обязанностям, влечет наложение на должностных лиц административного штрафа – от четырех тысяч до пяти тысяч рублей.

Неправомерный доступ к охраняемой законом компьютерной информации, в электронно-вычислительной машине, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию или копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети – наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

Как известно реализация Федерального закона № 152-ФЗ неоднократно откладывалась. Дело в том, что достижение соответствия ФЗ требует внедрения новых ИТ-продуктов, принятия организационных мер и модернизации бизнес-процессов компании. Но наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее – их неконкретность. Исполнение некоторых требований стало практически невыполнимой задачей, поскольку для этого требуются немалые финансовые, технические и организационные ресурсы. Так, согласно сделанным расчетам защита персональных данных в соответствии с законом требует увеличения финансовых средств в 3-5 раз.

Все это свидетельствует о необходимости дальнейшего совершенствования нормативно-правовой базы, регулирующей отношения по обработке персональных данных.