Указание на то, что защите информации о физическом лице необходимо уделять должное внимание, можно найти в Конституции РФ. Норма, согласно которой сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается содержится в Статье 24 фундаментального документа. Меры защиты персональных данных подробно расписаны во множестве уточняющих это утверждение правовых актов.

В Российской Федерации уже заложена основа безопасности персональных сведений, однако разработка и внедрение комплексного подхода к ее обеспечению продолжается. В идеале в стране должна быть создана правовая система, которая объединяет требования законодательства РФ к хранению, обработке и передаче персональных данных граждан.

Какие данные определены законодательством Российской Федерации как персональные?

Российское законодательство включает несколько категорий персональных данных. Среди них:

1. Общедоступные ПДн – данные, которые не подпадают под условия конфиденциальности и с согласия субъекта РФ могут стать общедоступными (справочники, адресные книги и т.д.). При этом суд или субъект персональных данных могут потребовать исключить эти сведения из открытых источников.

2. Специальные ПДн – данные, которые касаются национальной и расовой принадлежности, состояния здоровья, философских и религиозных убеждений, политических взглядов. Обработка такой информации возможна только при наличии письменного согласия субъекта. Согласие, однако не требуется, если его невозможно получить в связи с состоянием здоровья человека, либо в случае обработки данных в целях оперативно-розыскной деятельности.

3. Биометрические персональные данные – сведения о физиологических особенностях личности, которые позволяют идентифицировать человека. Например, фото- и видеоизображения людей. Для их обработки обязательно получать письменное согласие субъекта ПДн (исключение – оперативно-розыскная деятельность).

Можно выделить и ПДн, которые обрабатываются с использованием информационных систем персональных данных (баз данных). В зависимости от того, какие данные содержатся в базе, ИСПД присваивается одна из четырех категорий:

• категория 4 – ИС, содержащая обезличенные и (или) общедоступные персональные данные;
• категория 3 – база с ПДн, по которым можно идентифицировать личность субъекта;
• категория 2 – ИС, в которой собраны ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию (кроме ПДн, относящихся к категории 1);
• категория 1 – база с данными человека, которые раскрывают его расовую, национальную принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимную жизнь.

Персональные данные в нормативно-правовых актах

Вопрос защиты персональных данных различных категорий и порядок работы с ними определен в следующих нормативно-правовых актах:

• Федеральный закон «Об информации, информатизации и защите информации»;
• Федеральный закон «О персональных данных»;
• Глава 14 Трудового кодекса РФ.

ПДн в законе «Об информации»

В тексте настоящего федерального закона больше внимания уделено порядку работы с биометрическими данными граждан, а также работе с данными в информационных системах.

Основные моменты закона:

• В процессе обработки биометрических персональных данных государственные органы, банки и иные организации должны руководствоваться нормами закона «О персональных данных».
• Контроль и надзор за безопасностью обработки биометрических ПДн осуществляет федеральный уполномоченный орган.
• В случае нарушения прав субъектов персональных данных в части размещения информации о них в открытой форме, обнародование должно быть прекращено по решению суда.

Закон «О персональных данных»

Этот документ, принятый 25 июля 2006 года, наиболее полно отражает порядок работы с ПДн, а также определяет меры ответственности за нарушение законодательства.

Основные понятия закона:

• Персональные данные, к которым относится любая информация, имеющая прямое или косвенное отношение к определенному или определяемому физическому лицу (субъекту персональных данных).
• Оператор ПДн – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных.
• Обработка ПДн – любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Главное условие работы операторов с ПДн, согласно закону, четко определять цели обработки данных и использовать данные только в очерченных рамках. Причем хранение данных оператор обязан осуществлять в пределах срока их обработки, т.е. по достижении цели ПДн необходимо удалять, если срок хранения не установлен иными законодательными актами и договорами.

ПДн в Трудовом кодексе РФ

Порядок обработки персональных данных работников регламентирует глава 14 ТК РФ. К ПДн работника гражданское законодательство относит общие сведения о физическом лице, которые необходимы работодателю в связи с возникновением трудовых правоотношений. К ним относятся:

• фото работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности;
• приказы или распоряжения о приеме на работу, поощрении, увольнении, личная карточка, документы по оплате труда.

При этом в статье 86 указано, что каждый работник имеет право на защиту своих данных. Данное право предусматривает:

• наличие свободного доступа работника к личным данным;
• получение полной информации об обработке ПДн;
• возможность вносить правки в ПДн, если они содержат ошибочную информацию или обработаны с нарушением законодательства;
• возможность обжаловать в суде неправомерные действия или бездействие работодателя по защите прав субъекта ПДн.

Меры по обеспечению безопасности ПДн

Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:

• Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
• Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
• Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
• Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.

Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:

• предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
• предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
• клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.

Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.

На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.

Основные документы

1. Уведомление об обработке ПДн (для Роскомнадзора).
2. Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
3. Согласие субъекта на обработку его персональных данных.
4. Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).
5. Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
6. Документы по организации приема и обработки обращений и запросов субъектов.
7. Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.

В среднем пакет документов включает порядка 30 различных приказов, положений и правил. Количество и содержание документов во многом зависит от сферы деятельности организации. Например, производственному предприятию с пропускной системой потребуется документ с требованиями к ведению журналов для однократного пропуска субъекта на территорию. А интернет-магазину такой документ ни к чему.

Внедрение системы защиты

К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.

1. Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
2. Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
3. Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
4. Разграничить права доступа к ПДн в ИС.   

Технические средства защиты

Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:

• средства защиты от несанкционированного доступа;
• антивирусные программы;
• межсетевые экраны;
• криптографические средства.

Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России. Не последним моментом является и правильная настройка приобретенного ПО.

Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн. При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах. То есть и документальную, и техническую части необходимо периодически актуализировать.

Ответственность за нарушение законодательства в области ПДн

Оператор обязан защищать личную информацию о гражданах от следующих угроз:

• неправомерного или случайного доступа;
• уничтожения;
• изменения;
• блокирования;
• копирования;
• распространения.

Любые неправомерные действия с данными могут повлечь за собой ответственность оператора, который отвечает за их сохранность по закону.

Персональные данные граждан РФ защищены действующим законодательством, которое предусматривает несколько видов ответственности за нарушение требований законов в области защиты персональной информации:

• гражданско-правовую;
• дисциплинарную;
• материальную;
• административную;
• уголовную.

Причем, некоторые санкции действуют в отношении физических, юридических и должностных лиц.

Гражданско-правовая ответственность за нарушения в области использования личных данных осуществляется в требовании выплаты денежной компенсации за моральный вред.

В случае незаконного распространения чужих персональных данных на рабочем месте на виновника могут возложить дисциплинарную ответственность в виде увольнения. Если нарушение было не слишком серьезным, работник может отделаться выговором или замечанием.

Материальная ответственность может затронуть работников, которых уличили в разглашении информации, связанной с персональными данными других лиц.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных предполагает предупреждение или штраф в размере от 1 000 до 3 000 рублей – для физических лиц; от 5 000 до 10 000 рублей – для должностных лиц, от 20 000 до 50 000 рублей – для юридических лиц.

А за распространение охраняемой законом информации на рабочем месте – штраф в размере от 500 до 1 000 рублей – для физических лиц, от 4 000 до 5 000 рублей – для должностных лиц.

Уголовная ответственность в области персональных данных полагается за нарушение неприкосновенности частной жизни. Меры ответственности по УК РФ следующие:

• штраф в 200 000 рублей или в размере зарплаты/иного дохода нарушителя за 18 месяцев;
• обязательные работы на срок от 120 до 180 часов;
• исполнительные работы на срок до 12 месяцев;
• арест на срок до 4-х месяцев.

Если лицо, нарушившее неприкосновенность частной жизни, использовало при этом служебное положение наказание будет строже:

• штраф от 100 000 до 300 000 рублей или в размере зарплаты/иного дохода правонарушителя за 1-2 года;
• лишение права занимать определенные должности на срок от 2 до 5 лет;
• арест на срок от 4 до 6 месяцев.

Полномочия Роскомнадзора в вопросе защиты данных

Следует учитывать, что к ответственности за нарушение законодательства в сфере ПДн операторов может привлекать регулятор – Роскомнадзор. Причем претензии к работе организации в этом направлении могут появиться у него после плановой проверки организации либо после получения жалобы от субъектов.

К слову о проверках. Они бывают плановыми и внеплановыми. Первые проводятся не чаще одного раза в три года (для одной организации). Причем список организаций, к которым инспекторы придут с проверкой в ближайший год можно найти на официальном сайте Роскомнадзора. Внеплановые проверки проводятся по случаю, например, в целях разобраться в ситуации после получения жалобы от субъекта.

Поводом для проведения инспекции может стать и желание регулятора развеять собственные подозрения. Дело в том, что третьей формой проверки является систематическое наблюдение за деятельностью операторов.

Обо всех проверках регулятор уведомляет организацию заранее: за три дня в случае плановой и за 24 часа в случае внеплановой. Кроме того, по типу инспекции могут быть документарными и выездными. В первом случае достаточно предоставить регулятору полный пакет запрашиваемых им документов, которые доказывают, что оператор ведет работу с ПДн строго по закону. Во втором, инспекторы могут пройти по компании с экскурсией, чтобы изучить и технический аспект защиты информации.  

Полномочия Роскомнадзора:

• может потребовать уничтожения недостоверных или полученных незаконным путем ПДн;
• может ограничить доступ к информации, обрабатываемой с нарушением законодательства;
• может направить исковое заявление в защиту прав субъектов ПДн и представлять их в суде;
• наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении закона «О персональных данных»;
• рассматривает жалобы и обращения по вопросам обработки данных и принимает по ним решения.

Судебная практика и практика проверок Роскомнадзора, однако, показывает, что большинство нарушителей ограничиваются штрафами. В редких случаях регулятор может потребовать через суд блокировки ресурса, который уличили в распространении закрытой информации.

Так, с 1 сентября 2015 года, когда в России появился реестр операторов ПДн, суды приняли 238 положительных решений по обращениям Роскомнадзора. Эта цифра не выглядит устрашающей на фоне общего числа операторов в реестре – 401 624 по состоянию на 31.12.2017.

Но и штрафы, которые компаниям выписывают чаще, на деле выглядят не такими уж большими. К примеру, итоговая сумма выписанных регулятором штрафов за 2017 год составила 4 068 500 рублей.

Проверки ФСТЭК и ФСБ

Закон «О персональных данных» устанавливает меры по обеспечению безопасности при обработке персональной информации. Соответствие информационной системы предприятия этим требованиям контролируют ФСТЭК и ФСБ. На практике они зачастую проверяют только организации, которые используют государственные информационные системы.

Проверки ФСТЭК и ФСБ могут быть плановыми и внеплановыми. При этом инспекторы обоих органов обращают внимание на одни и те же вещи, но рассматривают их под разными углами. К примеру, проверяют, какие организационные меры для защиты данных приняты в организации, исходя из требований ФСТЭК и ФСБ соответственно.