Безопасная обработка персональных данных

Оператор персональных данных обязан принимать меры безопасности персональных данных во исполнение требований ФЗ от 27 июля 2006 г. № 152-ФЗ “О персональных данных”.

  1. защита персональных данных от неправомерного или случайного доступа к ним
  2. защита от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных
  3. а также защита от иных неправомерных действий в отношении персональных данных

Каждый оператор персональных данных обязан руководствоваться указанными выше целями и организовать работу с персональными данными в таком ключе, чтобы эти цели достигались. Это прямое требование закона.

Угроза безопасности персональных данных — это совокупность условий и факторов, которые создают опасность несанкционированного, в том числе случайного, доступа к персональным данным.

Результатом такого доступа могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных. Кроме того, иные неправомерные действия при их обработке в информационной системе персональных данных.

Перечень мер по обеспечению безопасности персональных данных

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения таких обязанностей, если иное не предусмотрено законом.

Общий перечень мер перечислен в ст. 18.1 и ст.19 Закона о персональных данных. Все меры можно классифицировать на три категории: правовые, организационные, технические.

Правовые меры обеспечения безопасности персональных данных. Оператор обязан разработать и утвердить следующие документы:

  1. документ, определяющий политику оператора в отношении обработки персональных данных (далее — Политика)
  2. локальные акты, которые устанавливают процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
  3. локальные акты по вопросам обработки персональных данных. Такие акты должны определять для каждой цели обработки персональных данных:
  4. категории и перечень обрабатываемых персональных данных
  5. категории субъектов, персональные данные которых обрабатываются
  6. способы, сроки их обработки и хранения
  7. порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

Юридические документы необходимо не только разработать и принять, но и опубликовать.

Оператор обязан обеспечить неограниченный доступ к Политике обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных. Если оператор собирает данные через Интернет, то он обязан разместить указанные документы на своем сайте и обеспечить к нему доступ.

Также у оператора существует обязанность представить все указанные документы и локальные акты по запросу Роскомнадзора.

Организационно-технические меры обеспечения безопасности персональных данных

  1. Назначение оператором ответственного за организацию обработки персональных данных (для юридических лиц)
  2. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону и утвержденной Политике — контроль за мерами по обеспечению безопасности и уровня защищенности информационных систем.
  3. оценка вреда, который может быть причинен субъектам персональных данных, в соответствии с требованиями Роскомнадзора
  4. ознакомление работников оператора, которые осуществляют обработку данных, с положениями закона, с Политикой и иными локальными актами
  5. обучение указанных работников
  6. учет машинных носителей персональных данных
  7. обнаружение фактов несанкционированного доступа к персональным данным

К непосредственно техническим мерам обеспечения безопасности можно отнести:

  1. применение средств защиты информации, которые прошли специальную процедуру оценки соответствия
  2. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним

Оценка степени вреда персональным данным

Понятие информационной системы персональных данных содержит Закон о персональных данных. Это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Постановление Правительства РФ №1119 от 01.11.2012 классифицирует информационные системы по категориям обрабатываемых данных на 5 видов:

  1. обрабатывает специальные категории персональных данных
  2. обрабатывает биометрические данные
  3. обрабатывает общедоступные персональные данные
  4. обрабатывает персональные данные сотрудников оператора
  5. обрабатывает иные персональные данные


Перечень мер безопасности в отношении ИС

Помимо общих правовых и организационных мер обеспечения безопасности персональных данных, которые установлены ст. 18.1 Закона о персональных данных, можно выделить специальные меры именно применительно к ИС.

К таким специальным организационно-техническим мерам в отношении информационных систем обработки данных относятся:

  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных
  • определение угроз безопасности персональных данных при их обработке в информационных системах
  • обеспечение безопасности персональных данных при их обработке в информационных системах. Их исполнение обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных
  • принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий с данными в информационной системе

Ответственность за несоблюдение мер безопасности в отношении персональных данных

Законом предусмотрены административная, уголовная и гражданско-правовая ответственность в случае несоблюдения оператором мер безопасности в отношении персональных данных.

Административная ответственность оператора
ч. 6 ст. 13.11 КоАП РФ — административная ответственность за нарушение требований о сохранности персональных данных
Оператор получит штраф, если не обеспечил сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ.

Первое условие — это повлекло неправомерные действия в отношении персональных данных. Второе — оператор обрабатывает персональные данные без использования средств автоматизации.

ч. 1 ст. 13.11 КоАП РФ — административная ответственность за нарушение требований о защите персональных данных.
Выше мы разобрали, что в случае утечки данных оператор обязан направить в Роскомнадзор уведомление. Вероятнее всего, Роскомнадзор возбудит дело об административном правонарушении в отношении оператора по ч. 1 ст. 13.11 КоАП РФ.

И вот как раз невыполнение предусмотренных законом мер должно быть необходимым условием для привлечения оператор к ответственности в случае утечки персональных данных.

ч. 6 ст. 13.12 КоАП РФ — административная ответственность за нарушение требований о защите информации
Норма предусматривает ответственность за нарушение требований законодательства о защите информации — в том числе, персональных данных.

Уголовная ответственность оператора

ст. 137 УК РФ — нарушение неприкосновенности частной жизни
Ответственность может наступить только в случае собирания и распространения персональных данных, которые сам гражданин не разглашает неопределенному кругу лиц.

ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации
По этой статье могут быть квалифицированы действия сотрудников оператора, которые злоупотребили своим доступом к охраняемой законом информации.

ст. 274 УК РФ — нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.

По данной статье может быть привлечен сам оператор, который работает в статусе ИП или самозанятого. Либо сотрудник оператора, нарушивший:

  • правила эксплуатации средств хранения, обработки или передачи персональных данных либо информационно-телекоммуникационных сетей,
  • правила доступа к информационно – телекоммуникационным сетям,

Обязательное условие — деяние повлекло уничтожение, блокирование, модификацию либо копирование персональных данных и причинило крупный ущерб (1 млн. рублей).

Гражданско-правовая ответственность оператора

Если оператор не соблюдает требования к защите персональных данных и этим причинил вред субъекту персональных данных, то последний вправе взыскать с оператора:

  • моральный вред
  • имущественный вред (убытки)

Прокрутить вверх