Система защиты персональных данных, действующая в России, налагает на организации дополнительные обязанности. Практически все из них имеют в распоряжении персональные данные сотрудников и должны применять установленные меры для их защиты. Большинство организаций могут обойтись только минимальными предосторожностями, но многие, которые не ограничиваются только анкетными сведениями работников, вынуждены выполнять требования Роскомнадзора.

Нормативно-правовое регулирование

Федеральный закон № 152-ФЗ определяет основные понятия в области защиты персональных данных. Под ними он понимает любую информацию, которая может иметь отношение к конкретному физическому лицу. Организация получает такую информацию в следующих случаях:

• при приеме на работу;
• при оказании услуг – например, образовательных, медицинских, оформлении кредита;
• в случае передачи ей этих сведений третьими лицами в установленном законом порядке.

В каждом из этих случаев данные обрабатываются при помощи компьютерных технологий и, в связи с уязвимостью систем защиты и информационных сетей, информация может быть доступна третьим лицам. Известны случаи, когда в сеть попадали базы данных не только страховых компаний, но и Пенсионного Фонда РФ. Все это налагает определенные обязательства на компании по установке программного обеспечения, гарантированно защищающего важные сведения, а также по другим действиям, обеспечивающим защиту информационных прав граждан. Регулирование не ограничивается только одним законом. Такие государственные органы, как Роскомнадзор и ФСТЭК, разрабатывают собственные нормативные акты методического и регламентирующего характера. Важно, что отдельной Федеральной программы по защите персональных данных граждан пока не разработано, все органы действуют в пределах своих полномочий.

Полномочия Роскомнадзора, ФСТЭК и обязанности компаний

Применительно к операторам, обрабатывающим существенные массивы данных, закон вводит определенные требования. Одним из них становится обязанность включения компании в реестр, который ведет ФСТЭК. В дальнейшем эта организация проводит проверки соблюдения законодательства о защите персональных данных. Одним из проверяемых факторов становится использование программного обеспечения, способного гарантировать надлежащую степень защиты, которое должно работать помимо осуществляющих общую защиту периметра информационной безопасности DLP-систем и SIEM-систем. Класс сертификации зависит от серьезности задач, выполняемых оператором.

Кроме того, требуется:

• разработать пакет внутренней документации, на основании которой происходит защита персональных данных. Как правило, это Политика обработки персональных данных и прилагаемые к ней документы;
• разработать форму согласия на обработку персональных данных и обеспечить подписание ее каждым субъектом, предоставляющим свои сведения компании-оператору;
• назначить сотрудника, ответственного за обеспечение исполнения требований закона;
• направить уведомление в Роскомнадзор и встать на учет в реестр операторов.

В свою очередь, Роскомнадзор внесет данные предприятия в свой реестр и в установленный срок, не ранее чем через три года после внесения, будет проводить проверки правильности соблюдения законодательства об охране персональных данных.

Мошенничество в сфере защиты персональных данных

Как в большинстве случаев отсутствия исчерпывающей информации, компании и в сфере защиты персональных данных часто становятся жертвами мошенников, навязывающих услуги, приобретение которых по закону не требуется. Для включения в реестр компании нужна разработка пакета внутренних документов, которые отражают принятые стандарты и методики защиты и обработки. Эти документы не сложны в разработке, их форматы легко найти в сети Интернет. Тем не менее многие российские компании массово получали рассылки по электронной почте от Главного управления единого центра сертификации (такой организации среди федеральных органов не существует), в которых им угрожали административными штрафами в случае отказа от подачи документов, аргументируя это тем, что в реестр должны быть внесены все российские предприятия независимо от формы собственности. Опирались они на некую Федеральную программу по защите персональных данных. Такие мошенники навязывают услуги по подготовке положений и постановке в реестр, при этом предлагая скидку на услуги.

Заявленные им штрафы, от 50 до 300 тысяч рублей, не соответствуют суммам, указанным в КоАП для компаний, нарушивших требования Закона № 152-ФЗ. Сейчас оператору угрожают следующие меры ответственности:

• за обработку данных, если она не соответствует закону, – до 50 тысяч;
• за обработку данных без согласия субъекта – до 75 тысяч;
• за отсутствие внутренней Политики – до 30 тысяч;
• за непредоставление уведомления в Роскомнадзор или запрашиваемой им информации – до 5 тысяч (ст. 19.7 КоАП РФ).

Заявленная цифра в 300 тысяч была произвольно взята из одной из статей Уголовного кодекса, связанной с распространением информации.

Следует знать, что Федеральной программы по защите персональных данных не существует. Этим термином неправомерно воспользовалась небольшая компания, создавшая частный сайт и организовавшая электронные рассылки с целью заработать на неинформированности участников рынка. По факту, если организация только обрабатывает данные своих работников, то, в соответствии с п. 2 ст. 22 Федерального закона № 152-ФЗ, от нее не требуется подачи уведомления о начале деятельности, связанной с обработкой персональных данных, и постановки на учет в реестре. Также выполнение этой обязанности не потребуется, если:

• сведения получены на основании разового договора на оказание каких-либо услуг и используются только в связи с исполнением обязательств по этому договору;
• сведения предоставлены общественной или религиозной организации и используются ею только в связи с ее уставными целями, не передаваясь третьим лицам.

Само по себе внесение в реестр требует только захода на сайт Роскомнадзора, заполнения уведомления, распечатывания его и отправки по почте. Более серьезные мероприятия необходимо предпринимать только организациям, от которых требуется серьезный подход к защите и более высокая ее степень, например, банкам и операторам мобильной связи. От них потребуются дополнительные технические меры защиты, разработка документации, установка сертифицированного ПО.

Интересно, что в 2017 году были зафиксированы случаи рассылки не только требований рекламного характера, но и писем, направленных от имени Роскомнадзора с уведомлением о проведении внеплановых проверок соблюдения требований закона № 152-ФЗ. Эти письма приходили от имени одного из заместителей руководителя. Они, вне зависимости от природы их возникновения, уже были изначально незаконны, так как, исходя из требований закона:

• плановые проверки назначаются в году, предшествующем проверке, и сведения о них размещаются в реестре на сайте Генеральной прокуратуры;
• назначение внеплановой проверки должно быть обосновано и согласовано с органами прокуратуры.

Тем не менее эти уведомления внесли замешательство в ряды многих компаний и потребовали официальных разъяснений Роскомнадзора, которому пришлось издать письмо, поясняющее, что данные документы не исходили от ведомства.

Сертифицированное программное обеспечение и иные технические и организационные меры

Для прохождения проверок оператору, работающему с данными многих лиц, в соответствии с требованиями Федерального закона, необходимо установить ПО для их обработки. Это может быть как отдельная программа, так и модуль CRM-системы, отвечающий за обработку кадровых данных. ФСТЭК выдает сертификаты любому разработчику, обратившемуся к нему с заявлением при условии соответствия программы требованиям. Но существуют следующие минусы:

• сертификат выдается только на одну версию программы, в случае ее обновления процедуру придется проходить заново;
• документ предоставляется на ограниченное число версий;
• расходы на сертификацию повышают стоимость ПО для потребителя.

Сертифицированные таким образом системы защиты гарантируют, что сведения не попадут третьим лицам, которые могут использовать их незаконным способом. Если персональные данные поступают на сайт, например, при заполнении анкеты или открытии личного кабинета в интернет-магазине, там должна быть размещена электронная форма согласия на обработку персональных данных, имеющая гиперссылку на политику их охраны.

При разработке внутренней политики и документа, которым дается согласие на обработку персональных данных, необходимо обеспечить наличие в них следующих сведений:

• полные данные об операторе;
• цель обработки и сбора сведений, позволяющая исчерпывающе определить особенности их обработки и возможность передачи третьим лицам;
• объем и описание требуемых сведений;
• если есть лицо, осуществляющее обработку сведений по поручению оператора, необходимо исчерпывающе определить такое лицо;
• действия, которые будут совершаться в отношении переданных данных;
• способы их обработки (копирование, передача, хранение);
• период, по истечении которого переданные данные будут уничтожены;
• срок действия согласия, возможность его отзыва.

Утверждать документ в Роскомнадзоре не требуется, он может быть утвержден общим собранием или генеральным директором компании. Храниться он должен в бумажном виде при условии размещения электронной копии на сайте.

Несмотря на то, что Федеральной программы по защите персональных данных не существует, это не снимает с компаний ответственности за необходимость обеспечения их защиты и правильной обработки.