ОБЩИЙ ПОРЯДОК
действий оператора по выполнению требований
Федерального закона № 152-ФЗ «О персональных данных»
Перед началом работ по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» органу государственной власти необходимо решить следующие основные задачи:
инициация работ по защите персональных данных и назначение ответственных за организацию обработки и обеспечения безопасности персональных данных (должны быть определены объекты, в границах которых будут осуществляться мероприятия по реализации требований, структурные подразделения или должностные лица, ответственные за обеспечение безопасности ПДн);
определение состава обрабатываемых ПДн, целей, сроков, условий и законных оснований обработки (необходимо определить состав обрабатываемых ПДн, цели и условия обработки, сроки хранения ПДн различных категорий, при необходимости должны быть организованы процессы получения согласий субъектов ПДн на обработку ПДн);
разработка основных организационно-распорядительных документов (необходимо сформировать совокупность согласованных организационных мероприятий, направленных на выполнение правил обработки ПДн и обеспечение их безопасности);
определение порядка взаимодействия с субъектами персональных данных (в целях обеспечения максимальной юридической чистоты в вопросах соблюдения прав субъектов ПДн и во избежание инцидентов, связанных с нарушением этих прав, порядок реагирования на запросы со стороны субъектов ПДн, внесения изменений в ПДн, а также условия прекращения обработки ПДн должны быть также определены документально в соответствующих приказах, инструкциях и процедурах, определяющих степень участия должностных лиц в обработке ПДн и характер их взаимодействия между собой);
определение порядка взаимодействия с другими организациями при обработке персональных данных (требуется определить порядок взаимодействий, в рамках которых возможен обмен персональными данными, в том числе провести разграничение ответственности);
определение перечня информационных систем персональных данных (ИСПДн) и их характеристик (ИСПДн, подлежащие защите, должны быть однозначно идентифицированы как совокупности конкретных технических средств, размещенных внутри конкретных контролируемых зон и предназначенных для обработки конкретных категорий ПДн с конкретными целями);
разработка модели угроз для ИСПДн (разработка модели угроз входит в состав мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах, с учетом моделирования угроз определяется уровень защищенности ПДн при обработке в информационных системах и требования, выполнение которых позволит обеспечить указанный уровень).
проектирование и реализация системы защиты персональных данных (в каждой информационной системе, предназначенной для обработки персональных данных, должна быть спроектирована и создана система защиты персональных данных (СЗПДн) соответствующая требованиям руководящих и нормативно-методических документов ФСТЭК России и ФСБ России);
определение необходимости уведомления уполномоченного органа на защите ПДн (выполнив все установленные требования к системе защиты персональных данных в своей информационной системе, оператор получает право начать обработку персональных данных. До начала обработки он обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор). Порядок уведомления, содержание представляемых материалов, а также случаи, когда разрешается осуществлять обработку ПДн без уведомления уполномоченного органа, определены в законе).
В ряде предусмотренных федеральным законодательством случаев организация, осуществляющая деятельность, связанную с использованием средств криптографической защиты информации, либо деятельность в области технической защиты конфиденциальной информации должна получить соответствующие лицензии.
Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и подзаконными актами установлен ряд других норм и требований, которые могут иметь отношение не ко всем операторам и которые должны исполняться теми из них, для кого это является производственной необходимостью. Например, вопросы трансграничной передачи персональных данных. При наличии таких оснований требуется выработка специальных мер, разработка процедур и издание внутренних организационно-распорядительных документов, регулирующих данные процессы.
1. Инициация работ по защите персональных данных и назначение ответственных за организацию обработки и обеспечения безопасности персональных данных
В начале всех работ по выполнению требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» необходимо назначить ответственного (ответственных) за организацию обработки и защиты персональных данных.
Распределение ролей и ответственности персонала за обеспечение требований по ИБ в организации всегда рассматривалось как важнейшее требование и в международной практике, и в отечественном правовом поле.
Действующая нормативная база в области обработки персональных данных также предусматривает необходимость наличия в организации лиц, ответственных за организацию обработки и защиты персональных данных.
Наделение полномочиями лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных, рекомендуется оформить соответствующим приказом.
Цели проведения работ
определение должностных лиц и структурных подразделений, ответственных за информационную безопасность и соблюдение требований нормативно-правовых актов Российской Федерации, регламентирующих порядок защиты ПДн;
разработка и утверждение внутренних документов (положений, инструкций и т.п.), регламентирующих деятельность структурных подразделений, отвечающих за информационную безопасность;
разработка и утверждение документов, закрепляющих функциональные обязанности и права должностных лиц и структурных подразделений, отвечающих за информационную безопасность.
Выполняемые работы
В соответствии с требованиями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (п. 4 ст. 16), обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
предотвращение несанкционированного доступа к информации и (или) передачи её лицам, не имеющим права на доступ к информации;
своевременное обнаружение фактов несанкционированного доступа к информации;
предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней. постоянный контроль за обеспечением уровня защищенности информации.
Чтобы процесс актуализации системы защиты ПДн, а также поддержания ее в состоянии, соответствующем требованиям нормативно-правовых актов Российской Федерации, был управляем, на этапе принятия решения о формировании системы управления информационной безопасностью организации-оператора необходимо определить коллегиальный орган или должностное лицо, которое будет координировать деятельность по созданию системы защиты. Назначение структурных подразделений и ответственных лиц осуществляется приказами руководителя организации-оператора.
Как правило, лицом, ответственным за организацию обработки ПДн, назначается работник, который имеет широкие полномочия и от имени руководителя организации может организовать все работы, необходимые для реализации требований законодательства в области обработки ПДн (в т.ч. способен самостоятельно принимать управленческие решения).
Лицом (или структурным подразделением), ответственным за обеспечение безопасности ПДн, могут быть назначены следующие лица/структурные подразделения:
ИТ-подразделение;
подразделение информационной безопасности;
начальник службы безопасности;
администратор информационной безопасности;
специалист по защите информации;
системный администратор;
и др.
Для небольших и средних организаций, в которых отсутствуют сложные схемы подчиненности, наиболее правильным решением будет совмещение указанных ролей в одном сотруднике в виде лица, ответственного за организацию обработки и защиты персональных данных.
В обеспечение деятельности назначенных структурных подразделений и ответственных должностных лиц в организации должны быть разработаны Положения о данных подразделениях и должностных лицах. Обязательным условием является включение в данные Положения разделов, определяющих не только функции и обязанности, но и права, и ответственность за исполнение данных функций и обязанностей.
Для каждого сотрудника подразделения, ответственного за обеспечение безопасности ПДн, должны быть разработаны индивидуальные, соответствующие его зоне ответственности и обязанностям должностные инструкции.
При достаточно сложной производственной структуре организации-оператора могут быть разработаны регламенты и процедуры взаимодействия подразделений и сотрудников по ИБ с другими структурными подразделениями оператора и распределены роли и ответственность подразделений, не отвечающих за исполнение требований по ИБ, но вовлеченных в деятельность, связанную с использованием информации конфиденциального характера (персональных данных).
Указанные регламенты и процедуры могут быть исполнены в виде текстовых и графических (схем взаимодействия) материалов и изданы как в качестве отдельных документов, так и в виде разделов документов более высокого уровня.
2. Определение состава обрабатываемых ПДн, целей, сроков, условий и законных оснований обработки
Для того чтобы наиболее эффективно спланировать деятельность по приведению процессов, в рамках которых происходит обработка персональных данных, в соответствие требованиям нормативно-правовых актов Российской Федерации, необходимо обеспечить четкое представление о том, какие именно категории ПДн используются оператором в деятельности, на каких условиях и с какой целью осуществляется их обработка. Это достигается разработкой перечня персональных данных, обрабатываемых оператором.
Также необходимо получить информацию о сотрудниках, которые имеют доступ к обрабатываемым персональным данным. Это достигается разработкой перечня сотрудников оператора, допущенных к обработке персональных данных.
Цели проведения работ
Целью этапа является закрепление представления о составе, условиях и целях обработки персональных данных, формирование основы для дальнейшего планирования работ по приведению процессов, в рамках которых происходит обработка персональных данных, в соответствие требованиям нормативно-правовых актов Российской Федерации, регламентирующих порядок обработки ПДн.
Документированным выражением данного представления для оператора персональных данных являются Перечень персональных данных и Перечень лиц, допущенных к обработке персональных данных – подробные, четко структурированные документы, содержащие информацию обо всех категориях и видах персональных данных, основаниях и условиях обработки, а также список лиц, имеющих к ним доступ.
Выполняемые работы
Для составления Перечней должен привлекаться широкий круг экспертов и должностных лиц структурных подразделений, отделов, служб организации с тем, чтобы ни одно из возможных направлений её деятельности не было упущено при его разработке. В ходе подготовки Перечней должностные лица организации, а в случае проведения работ сторонней организацией – сотрудники организации-исполнителя должны провести анализ всех сторон деятельности оператора. При этом выполняются следующие работы:
изучение внутренней и внешней организационно-распорядительной документации, в том числе организационно-штатной структуры;
интервьюирование должностных лиц и специалистов оператора;
идентификация точек входа и выхода информации, содержащей ПДн, и пути её миграции в структуре оператора;
выявление в информационных потоках, сопровождающих деятельность оператора, ПДн, обрабатываемых как с использованием, так и без использования средств автоматизации
анализ оснований и установление целей обработки ПДн; . выявление условий начала и прекращения и определение сроков обработки (хранения) для ПДн; . определение структурных подразделений и должностных лиц оператора, использующих в своей деятельности ПДн; . составление и представление на утверждение Перечня персональных данных и Перечня лиц, допущенных к обработке персональных данных.
Наиболее информативными источниками получения исходных данных для формирования Перечней могут быть процессы:
оформления трудовых договоров с работниками;
ведения учета труда работников и их оплаты;
осуществления обязательного государственного пенсионного страхования работников;
осуществления обязательного пенсионного страхования в негосударственном пенсионном фонде;
продажи товаров дистанционным способом
оказания услуг связи;
оказания услуг по обязательному (добровольному) медицинскому страхованию граждан;
оказания банковских услуг;
и др.
Следует особое внимание уделять основаниям обработки ПДн. Одним из условий обработки персональных данных может являться её осуществление с согласия субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Невыполнение условия согласия субъекта на обработку его персональных данных может привести к нарушению прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его согласия (например – рассылка персонифицированных рекламных предложений и т.п.). Для обеспечения защиты законных прав и свобод субъекта на неприкосновенность частной жизни необходимо исключить случаи, когда обработка персональных данных прямо или косвенно нарушает эти права. В этих целях рекомендуется провести ряд мероприятий, направленных на получение согласия субъектов персональных данных, чьи данные уже обрабатываются, и разработать схему для штатного получения таких согласий в будущем.
Особенно важной является аналитическая проработка и создание юридически значимой доказательной базы правомерности обработки персональных данных, осуществляемой без согласия субъекта персональных данных. Как показывает практика, таких случаев достаточно много, и качественная аналитическая проработка данного блока ПДн позволяет значительно снизить издержки на разработку и исполнение процедуры получения согласия.
Законом также установлен ряд случаев, когда согласие субъекта на обработку его персональных данных должно быть дано исключительно в письменной форме. Доказательной базой наличия согласия субъекта на обработку его ПДн могут быть только официальные, юридически грамотно оформленные документы.
Таким образом, отсутствие доказательств, подтверждающих право оператора на обработку персональных данных в тех случаях, когда отсутствуют основания для обработки персональных данных без согласия субъекта, а также продолжение такой обработки после отзыва субъектом своего согласия может быть расценено как нарушение федерального закона или привести к неприемлемым последствиям для субъекта персональных данных.
Стоит уделить внимание обоснованию целей обработки ПДн, с учетом того, что согласно п. 7 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», хранение персональных данных должно осуществляться не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в их достижении. |
