Безопасность персональных данных при их обработке в информационной системе (ИСПДн) обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора. (п. 3 Пр. 21). Но организация может заключить договор на оказание соответствующих услуг с юр. лицом,
постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (ПП №1119);
— приказом ФСТЭК России от 18.02.2013 г. №21 (ПР. 21) «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Пр. №21);
— постановлением Правительства Российской Федерации от 15.09.2008 г. №687 (ПП №687) «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В этих нормативных актах приведены меры по защите ПДн для обоих видов обработки ПДн — автоматизированного и без средств автоматизации. Так, например, если для информационной системы существует актуальная угроза вредоносного программного обеспечения, то мерой по защите ПДн является применение антивирусной программы, которая прошла процедуру оценки соответствия требованиям законодательства РФ.
соответствии со ст. 19 ФЗ-152 оператор обязан принимать правовые, организационные и технические меры по безопасности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. Перечень соответствующих мер обозначен в ст. 18.1 и ст. 19 ФЗ-152.
Для определения мер по защите ПДн в организации (учитывая уровень защищенности) необходимо руководствоваться:
Согласно ст. 19 ФЗ-152 оператор (организация, учреждение) должен защищать обрабатываемые им персональные данные. Важно исключить несанкционированный доступ к сведениям, их утрату или утечку. Для этого в организации необходимо правильно выстроить систему безопасности ПДн, которая зависит от многих факторов: вида деятельности компании, способа обработки данных (автоматизированной, без средств автоматизации или смешенный), категорий обрабатываемых сведений и др. Так, при обработке ПДн в информационных системах ПДн организации необходимо установить уровни защищенности ПДн в зависимости от уровней актуальных угроз с учетом категорий ПДн, выработать организационные и технические меры по их защите и провести ряд мероприятий:
1) Приказом руководителя организации назначается ответственный за обработку и защиту ПДн (его работа осуществляется на основании должностной инструкции). Также создается постоянно действующая комиссия по защите персональных данных из наиболее опытных работников в количестве 3—5 человек (порядок работы, функции и полномочия комиссии прописываются в локальном нормативном акте (положении), который утверждается приказом, также как и ее состав с указанием должностей и ФИО соответствующих работников).
2) Комиссия разрабатывает перечень лиц, допущенных к работе с ПДн, который также утверждается приказом руководителя (в приказе указываются должности и ФИО сотрудников, которые имеют доступ ПДн и обрабатывают их для выполнения своих должностных обязанностей). Эти сотрудники обязаны пройти обучение, инструктаж по работе с ПДн (проводит ответственный по ПДн).
Требования к мерам по защите ПДн регламентирует не только ФЗ 152, но и другие нормативные акты РФ. Рассмотрим основные из них.
В ст. 86 Трудового кодекса Российской Федерации, утвержденного Федеральным законом от 30.12.2001 N 197-ФЗ (далее — ТК РФ) содержатся общие требования к работе с ПДн работников и гарантии их защиты. Согласно ТК РФ все персональные данные работника следует получать у него самого, при необходимости работодатель может затребовать ПДн у третьих лиц, но только если нет возможности получить их у самого работника. Перед таким запросом необходимо уведомить этого работника и разъяснить ему последствия отказа дать такое согласие. В уведомлении также обязательно указать цели, источники получения сведений и характер ПДн. Согласно ТК РФ работодатель обязан принимать меры по защите ПДн, разрабатывать соответствующие локальные нормативные акты и знакомить с ними под роспись работников.
Немаловажен в работе с информацией и Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — ФЗ-149). В нем обозначена основная терминология — понятие информации (конфиденциальной, общедоступной), сайта, поисковой системы и др, прописаны требования к защите информации, порядок ограничения доступа и ответственность за нарушение правил работы с ней. На этот документ ссылаются при составлении локальных нормативных актов по информационной безопасности в организации. В этом законе определяется работа всех информационных систем в российской Федерации, а в статье 14 содержится описание государственных информационных систем (ГИС).
Нельзя не отметить и Федеральный закон «Об электронной подписи» от 06.04.2011 N 63-ФЗ (далее — ФЗ-63), который дает ответы на вопросы о том, что такое электронная подпись, как ее использовать и какую юридическую силу она придает электронным документам. Документ определяет технические требования к каждому виду электронных подписей для подтверждения подлинности информации — простой, усиленной квалифицированной и усиленной неквалифицированной (ст. 5 ФЗ-63).
Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ (далее — ФЗ-98) вводит понятие коммерческой тайны, а также определяет порядок работы с
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Полномочия: защита прав субъектов персональных данных, контроль и надзор за соответствием обработки ПДн требованиям законодательства РФ в области ПДн.
— Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Полномочия: контроль и надзор за организационными и техническими мерами защиты персональных данных.
— Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.
Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных (ст. 23 ФЗ-152). В Российской Федерации их 3:
Некоторые компании (например, турагентства) в ходе своей деятельности передают персональные данные за границу, т. е осуществляют трансграничную передачу ПДн — передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 ФЗ-152).
