Закон «О персональных данных» налагает на юридических лиц и индивидуальных предпринимателей ряд обязанностей, связанных с обработкой персональных данных сотрудников и клиентов организации. Обязанности связаны с предотвращением неправомерного доступа к сведениям и выражаются в необходимости принятия комплекса организационных, программных и технических мер.

Нормативно-правовое регулирование

Персональные данные – это практически любая информация, имеющая отношение к гражданину. К ним относятся:

• паспортные данные;
• адрес проживания;
• номер телефона;
• биометрические сведения;
• номер банковской карты.

Организации, использующие в своей работе персональные данные граждан, которые не являются их работниками, признаются операторами персональных данных. Первой обязанностью оператора становится отправка уведомления о начале обработки данных в Роскомнадзор.

Обязанности оператора при сборе персональных данных устанавливаются ст. 18 закона «О персональных данных». Они не ограничиваются только нормами федерального закона, более подробно обязанности оператора описаны в нормативно-правовых актах Роскомнадзора и ФСТЭК РФ. 

Но конкретизирующие требования основываются на общих, первым среди них становится обязанность оператора предоставить субъекту персональных данных, если он обратится к нему, следующую информацию:

• подтверждение, что ПД действительно обрабатываются оператором;
• основания для обработки ПД, предусмотренные законом, и цели осуществления этой деятельности;
• способы обработки ПД оператором или третьими лицами по его поручению;
• сведения, идентифицирующие оператора, а также третьих лиц, имеющих доступ к ПД. Эти сведения не касаются работников оператора;
• перечень обрабатываемых ПД и источник их получения;
• сроки обработки и хранения ПД;
• порядок, в котором оператор ПД осуществляет предоставленные ему законом права;
• сведения о том, осуществляется или предполагается ли трансграничная передача данных.

Указанную информацию оператор ПД обязан предоставить заявителю по его запросу. Отказ от предоставления сведений может быть обжалован в Роскомнадзоре, и к оператору будут применены меры административной ответственности.

Обязанности оператора ПД при сборе данных

При сборе ПД закон обязывает оператора:

• разъяснить обладателю данных необходимость их предоставления, если она обусловлена законом, и последствия отказа от передачи информации;
• сообщить гражданину источник получения сведений и цель их обработки, если оператор получил ПД не от их собственника, а от третьего лица;
• хранить, обрабатывать и систематизировать данные на серверах, находящихся в России.

Выполнение требований обеспечивается нормами, указанными в ст. 18.1 закона «О персональных данных». Эта статья описывает меры организационного и технического характера, которые оператор обязан принять в соответствии с требованиями закона и подзаконных нормативных актов. Основные меры, обеспечивающие выполнение обязанностей, прописаны в законе, выбор остальных остается прерогативой оператора. 

Среди мер, выполнение которых предписано законом:

• назначение приказом по организации лица, на которое возложена обязанность организовать обработку ПД в соответствии с требованиями закона;
• подготовка и утверждение оператором внутренних нормативных актов компании, освещающих ключевые вопросы обработки ПД;
• использование для защиты и обработки ПД комплекса организационных, программных и технических мер, предусмотренных ст. 19 закона «О персональных данных»;
• организация системы внутреннего контроля соответствия модели обработки ПД в компании требованиям закона и подзаконных нормативных актов;
• оценка ущерба, который мог бы быть причинен субъектам ПД, и выработка соразмерных способов защиты.

Отдельным требованием становится разработка политики обработки персональных данных, освещающей все основные аспекты работы с ними. Политика должна быть размещена на сайте оператора в свободном доступе для всех посетителей. Все указанные в законе документы должны предоставляться Роскомнадзору и ФСТЭК РФ при проведении проверки соблюдения требований нормативных актов.

Меры по обеспечению безопасности ПД

Закон отдельно упоминает комплекс задач, которые должен решать оператор для обеспечения защиты персональных данных. Они указаны в ст. 19 закона. Задачи относятся к нескольким группам – правовым, организационным, техническим. Их выполнение должно гарантировать защиту ПД от утечек, уничтожения, неправомерного доступа, разглашения. 

Закон предписывает проводить защитные мероприятия в комплексе:

• разработать релевантную модель угроз безопасности персональных данных с учетом рекомендаций ФСТЭК РФ;
• применять сертифицированные ведомством программные и технические средства, позволяющие обеспечить безопасность ПД при их обработке;
• оценивать эффективность применяемых мер еще до введения в действие информационной системы обработки персональных данных;
• создать систему учета и защищенного хранения съемных и стационарных носителей информации;
• внедрить систему выявления инцидентов информационной безопасности и фактов несанкционированного доступа к данным;
• организовать механизм резервного хранения и восстановления ПД, поврежденных или утраченных из-за несанкционированного доступа;
• установить систему дифференцированного доступа к информационным ресурсам, содержащим персональные данные;
• поддерживать техническое и программное состояние сетевой инфраструктуры в соответствии с требованиями закона и регулятора.

Далеко не всегда бюджет организации позволяет обеспечить полное соответствие программного обеспечения и технических средств требованиям ФСТЭК по защите персональных данных, но нормативные акты регулятора позволяют использовать заменяющие меры.

Требования Роскомнадзора и ФСТЭК РФ

На правительство РФ в лице ФСТЭК РФ закон возлагает обязанности по установлению требований по защите персональных данных. 

В соответствии с предоставленными полномочиями регулятор устанавливает:

• уровни защищенности ПД, влияющие на требования по применению технических мер при их обработке. Степени риска определяются по уровню угроз безопасности – наибольший уровень защищенности получают биометрические и медицинские данные, а также данные, связанные с политическими или религиозными воззрениями субъектов;
• требования к характеристикам информационной системы, программным и техническим средствам, обеспечивающим защиту ПД при их обработке;
• требования, предъявляемые к машинным носителям биометрических персональных данных, и особенности хранения таких данных вне информационных систем.

Для систем каждого уровня защищенности персональных данных устанавливаются свои требования и набор необходимых программных и технических средств. Организационные меры в основном одинаковы для всех. Рекомендации выражаются в нормативных документах ФСТЭК, их соблюдение контролируется в ходе проверок. Для кредитных организаций и компаний финансового рынка требования по системе защиты персональных данных устанавливаются Центробанком РФ. Закон также предусматривает ситуации, когда общественные организации, объединяющие операторов персональных данных, устанавливают дополнительные требования и мероприятия по защите персональных данных своими нормативными актами.

«СёрчИнформ КИБ» сертифицирована ФСТЭК России. Система соответствует четвертому уровня контроля недекларированных возможностей, которые могут навредить обрабатываемой информации. Это значит, что данные в системе защищены не только от утечек, но и от нарушения целостности, доступности и конфиденциальности. 

Отдельные обязанности оператора ПД

Роскомнадзор отдельно разъяснил, что некоторые биометрические данные, если они не используются для установления личности гражданина, к охраняемым законом персональным сведениям не относятся. Это:

• ксерокопия паспорта, предоставляемая оператору при заключении договора с ним;
• фотографии в личном деле;
• рентгеновские и флюорографические снимки.

При этом, например, фотография на пропуск к биометрическим ПД относится. Существует судебная практика, на основании которой за использование фотографии без оформления согласия на обработку персональных данных оператора привлекали к ответственности. Также закон защищает сведения о размере зарплаты. Их разглашение станет основанием для увольнения виновного сотрудника и возмещения ущерба, причиненного гражданину, в судебном порядке.

Оформление согласия на обработку персональных данных – одна из первых обязанностей оператора, о которой часто забывают организации, имеющие дело с большим объемом персональной информации. Согласие на обработку должны предложить подписать гражданину не только МФЦ или банки, закон требует этого от медицинских и образовательных учреждений, организаций ЖКХ, интернет-магазинов. 

Оформлять согласие не нужно только в следующих случаях:

• данные обрабатываются в целях, установленных законом или международным договором РФ;
• персональные данные требуются в судебном процессе или для исполнения судебного акта;
• данные необходимы госорганам для выполнения их задач;
• данные передаются в рамках договора, стороной по которому оказывается субъект ПД;
• сведения необходимы для защиты жизни или здоровья гражданина, а получение согласия на обработку в конкретной жизненной ситуации невозможно;
• данные нужны для профессиональной деятельности журналиста с учетом установленных законом ограничений;
• сведения раскрываются на основании требований закона.

Во всех остальных случаях получение согласия обязательно. Российская судебная практика знает ситуации, когда по закону преследовалось опубликование персональных данных умерших граждан. Даже размещение гражданином информации о себе в социальных сетях автоматически не превращает эти сведения в общедоступные, поэтому их распространение наказуемо. Так, Роскомнадзор выиграл дело против Бюро кредитных историй, которое собирало данные о заемщиках без их согласия.

Форма согласия предполагает создание письменного или электронного документа при условии его подписания электронной подписью. При помощи телефона, смс-сообщения или мессенджера оформить согласие невозможно. Его требуется оформлять при передаче данных на обработку оператору или третьему лицу. Известны случаи, когда операторов привлекали к ответственности за передачу данных соискателей вакантных должностей кадровому агентству. Если гражданин отзывает свое согласие, что он вправе сделать в любой момент, оператор обязан в течение 30 дней уничтожить данные. Это требование не распространяется на ситуации, когда сведения обрабатываются на основании закона. 

Эксперты отмечают, что наиболее частым нарушением оператора становится неполучение согласия на:

• обработку данных;
• передачу персональных данных третьим лицам;
• трансграничную передачу данных.

Меры наказания обычно выражаются в привлечении к административной ответственности, но есть прецеденты, когда проверяющая организация выносила предписание на временное приостановление или прекращение деятельности, связанной с обработкой персональных данных. Обязанности оператора по защите персональных данных призваны исключить их незаконный оборот и обеспечить отсутствие несанкционированного доступа к информации о личной жизни граждан.

19.02.2020