Сообщайте об утечках
С 01.09.2022 операторам персданных вменили обязанность взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (п. 12 – 14 ст. 19 Закона № 152-ФЗ).
Сама эта система, название которой обычно обозначают аббревиатурой ГосСОПКА, создана во исполнении требований ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации.
Если вы обнаружите утечку персональных данных граждан в результате кибератаки на ваши информационные ресурсы, нужно будет в произвольной форме сообщить об инциденте по электронной почте в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) (см. сайт Центра – cert.gov.ru).
Ответственность непосредственно за нарушение данного правила пока не предусмотрена, однако риски для оператора персональных данных зависят от последствий как самой утечки сведений по причине их недостаточной защищенности, так и безучастности к такой утечке.
Если же оператор обнаружил, что персональные данные были неправомерно или случайно переданы (предоставлены, распространены, к ним был получен доступ), что повлекло нарушение прав субъекта персданных, он обязан уведомить Роскомнадзор (п. 3.1 ст. 21 Закона № 152-ФЗ):
- в течение 24-х часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение 72-х часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Эта обязанность также возникла с сентября 2022 г., за ее неисполнение придется отвечать по ст. 19.7 КоАП РФ.
Обеспечение защиты персональных данных при их обработке Оператором
7.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами.
К таким мерам относятся:
- назначение Оператором ответственного за организацию обработки персональных данных;
- издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
- определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
- ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
7.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.3. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем использования антивирусного средства защиты информации (Kaspersky Endpoint Security для бизнеса), присвоение персональных паролей для каждого рабочего места (конкретного работника), наличие средств восстановления системы защиты персональных данных. Установлены сейфы для хранения личных дел работников и персональных данных физических лиц, запирающиеся металлические шкафы, установлена пожарная сигнализация, круглосуточный охранный пост.
Почитайте дополнительно
В завершении порекомендуем два полезных документа, которые помогут проверить себя на предмет соблюдения законодательства об обработке персональных данных и подготовиться к потенциальным контрольным мероприятиям:
Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных, утв. Постановлением Правительства РФ от 29.06.2021 № 1046 (ред. от 16.12.2021) – содержит описание видов и приемом контроля. Применяется в новой редакции с 01.03.2022;
Приказ Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами» – это, по сути, анкета с вопросами, которые будут задавать проверяющие. Можно пройти этот тест заранее и исправить огрехи. Документ применяется с 11.03.2022.
Уведомляйте Роскомнадзор
Роскомнадзор – это уполномоченный орган по защите прав субъектов персональных данных.
По общему правилу оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении ее осуществлять (п. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» – далее Закон № 152-ФЗ).
От этой обязанности в ряде случаев оператор освобожден. Все исключения приведены в п. 2 ст. 22 Закона № 152-ФЗ, но список исключений с 01.09.2022 г. сильно сократился. Теперь в обязанности оператора входит уведомлением Роскомнадзора о намерении обрабатывать персданные:
- в соответствии с трудовым законодательством;
- полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящиеся к членам (участникам) общественного объединения или религиозной организации;
- разрешенные субъектом персональных данных для распространения;
- включающие в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.
Звучит туманно? Что же от вас требуется на практике?
Как только наступит начало сентября и соответствующие поправки в закон вступят в силу, подайте уведомление об обработке (намерении осуществлять обработку) вышеуказанных видов персональных данных. Сделать это можно через Портал персональных данных (pd.rkn.gov.ru), который курирует Роскомнадзор. На портале имеется форма уведомления для заполнения, но, честно говоря, сообразить, как именно заполнить ее строки, довольно трудно. Например, вы должны указать цель обработки персональных данных, описать меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Законом № 152-ФЗ, и меры по обеспечению безопасности персональных данных при их обработке; указать срок или условие прекращения обработки персональных данных; привести сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации и др. Если не знаете с какой стороны подступиться, воспользуйтесь чужим опытом. На портале есть реестр операторов персональных данных. Сведения, содержащиеся в нем, являются общедоступными. Поэтому вы можете посмотреть реестровую запись, например, любой крупной компании и заполнить свое уведомление по образу и подобию.
Дополнительно можно изучить Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения», Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказ ФСТЭК России от 18.02.2013 № 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
В дальнейшем нужно не забывать уведомлять Роскомнадзор об изменении ранее предоставленных сведений, а также в случае прекращения обработки персональных данных. Оператор обязан подать соответствующее информационное письмо, заявление в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных (п. 7 ст. 22 Закона № 152-ФЗ). С 01.01.2023 сроки уведомления изменят: в случае изменения в ранее переданных сведениях об обработке персданных, оператор должен будет уведомить контролирующий орган не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения; в случае прекращения обработки персональных данных оператор обязан будет уведомить об этом Роскомнадзор в течение десяти рабочих дней с даты прекращения обработки персональных данных (п. 7 ст. 22 Закона № 152-ФЗ в ред. Федерального закона от 14.07.2022 № 266-ФЗ).
Нарушение рассмотренных требований влечет предупреждение или наложение административного штрафа на должностных лиц и ИП – 300-500 тыс. руб.; на юридических лиц – 3-5 тыс. руб. (ст. 19.7 КоАП РФ).
Меры по обеспечению безопасности обрабатываемых персональных данных
- централизованность – система защиты данных должна централизованно управляться;
- своевременность – меры обеспечения безопасности персональных данных, применяемые в рамках системы защиты, должны быть своевременными;
- целенаправленность – меры обеспечения безопасности персональных данных, применяемые в рамках системы защиты, должны иметь четкие цели, на достижение которых они направлены;
- комплексность – система защиты должна включать комплекс мер, направленных на обеспечение безопасности персональных данных, дополняющих и поддерживающих друг друга;
- превентивность – меры обеспечения безопасности персональных данных, применяемые в рамках системы защиты, должны носить предупреждающий характер;
- надежность – система защиты персональных данных должна обеспечивать достаточные гарантии Компании в том, что обрабатываемые персональных данных защищены надлежащим образом.
Цели сбора ПД.
Здесь важно указать, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей и не допускается обработка данных, несовместимая с целями их сбора. Сами же цели обработки проистекают в том числе из анализа правовых актов, регламентирующих деятельность того или иного оператора, целей фактически осуществляемой им деятельности и деятельности, предусмотренной учредительными документами, а также отдельных бизнес-процессов оператора в информационных системах персональных данных (п
3.2 Рекомендаций).
В частности, цели обработки, общие для большинства учреждений (в том числе автономных), могут быть следующими:
1) заключение трудовых договоров, договоров с контрагентами, выполнение обязательств по этим договорам;
2) кадровое планирование, принятие решения о трудоустройстве кандидата на должность;
3) исполнение налогового законодательства, ведение бухгалтерского учета;
4) осуществление пропускного режима;
5) организация предоставления услуг на основании законодательства, действующего в профильной сфере.
Последний пункт – отсылка к отраслевому законодательству. Здесь речь идет об услугах, которые учреждение оказывает в рамках уставной деятельности: предоставление дошкольного, дополнительного или среднего специального образования, оказание государственных и муниципальных услуг на базе многофункционального центра и т. д.