Константин Искам → Вопрос о мерах по обеспечению соответствия Закону о персональных данных
- Меньше трёх месяцев осталось до вступления в силу закона 152-ФЗ. Для меня до сих пор остаётся открытым один глобальный вопрос.
Думаю, он волнует не меня одного, а многих администраторов, работающих на предприятиях, не имеющих мало — мальски грамотной юридической службы.
В первом очевидно собираются данные по сотрудникам предприятия, во втором — по контрагентам, среди которых есть и ИП, соответственно, в нашем справочнике хранятся и их паспортные данные, и адрес, и телефон.
Собственно, вопрос: Руководство предприятия, опираясь на ч.2 п.п. 1 и 2 ст. 22 закона,
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных,
если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных
и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
решает не принимать никаких мер, поскольку уведомлять уполномоченный орган об осуществлении обработки ПД нет необходимости, отсюда делается вывод, что и приводить программно-аппаратный комплекс в соответствие требованиям надзорных органов тоже не нужно. А как же обстоит дело на самом деле?
Какой минимум мероприятий должен быть задокументирован и проведён, чтобы уберечь себя от последствий возможных проверок, если они вообще возможны в нашем случае?
В соответствии со ст. 6 ФЗ «О персональных данных» обработка персональных данных может осуществляться только с согласия лица, которому эти данные принадлежат, за исключением случаев, перечисленных в п. 2 указанной статьи. В том числе, при заключении трудового договора, а также при исполнение договора, когда одной из сторон является субъект персональных данных.
Таким образом, до уведомления уполномоченных органов необходимо получение согласия лиц, персональные данные которых будут обрабатываться. Исходя из этого, обработка персональных данных без согласия лица, которому они принадлежат и без уведомления уполномоченных органов образуют 2 самостоятельных правонарушения.
Организации могут привлекаться к гражданской, административной, уголовной ответственности и иной ответственности. При нарушении правил обработки персональных данных, возможно привлечение к административной ответственности в соответствии со ст. 13.11 КоАП РФ.
Что касается вопроса о приведении программно-аппаратного комплекса в соответствии с требованиями законодательства, то в данном случае неважно необходимо ли уведомлять уполномоченный орган или нет. Требования по обеспечению безопасности информационных систем определяются ст. 19 ФЗ «О персональных данных» а также Постановлением Правительства от 17 ноября 2007 года № 781 и должны быть приведены в соответствии с ФЗ «О персональных данных» до 1 января 2011 года.
В соответствии с п.2 ч.3 ст. 23 ФЗ «О персональных данных» уполномоченный орган, в том числе вправе осуществлять проверки сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий.
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
То есть согласия ни индивидуального предпринимателя при заключении гражданско-правового договора, ни работника при заключении трудового договора не требуется! (это подтверждает так же раздел ТК РФ о защите персональных данных).
Но если у Вас есть сомнения, и Вы хотели ли бы предпринять шаги для защиты своей компании от нападок контролирующих органов, рекомендую начать с определения класса информационной системы ПД в Вашей организации для определения уровня необходимой защиты ПД. Надеюсь, следующая информация Вам будет полезна:
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы. В первую очередь, необходимо определить тип информационной системы.
1.1. Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Классификация типовых информационных систем персональных данных компании осуществляется исходя из следующих показателей:
А) Определяются следующие категории обрабатываемых в информационной
системе персональных данных:
категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 — обезличенные и (или) общедоступные персональные данные.
Б) Определяется объем обрабатываемых ПД:
1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
В) Класс типовой информационной системы определяется в соответствии с таблицей:
Категории ПД/
Количество субъектов ПД Менее 1000 От 1000 до 100 000 Свыше 100 000
Категория 4 К4 К4 К4
Категория 3 К3 К3 К2
Категория 2 К3 К2 К1
Категория 1 К1 К1 К1
класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
В соответствии с требованиями ФСТЭК Для информационных систем класса 1 и 2 обязательна сертификация (аттестация), для 3 класса – декларирование соответствия и, наконец, для 4 класса оценка проводится по решению оператора ПД. Для информационных систем класса 1 и 2 операторы ПД должны получить лицензию на деятельность по технической защите конфиденциальной информации.
1.2. Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Например, к специальным информационным системам обязательно должны быть отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
В соответствии с п. 16 «Порядка проведения классификации информационных систем персональных данных» по результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». К таким документам относятся:
• «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных», утвержденная ФСТЭК 14 февраля 2008 года.
• «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных», утвержденная ФСТЭК 14 февраля 2008 года.
• «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденные ФСТЭК 14 февраля 2008 года.
• «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных», утвержденные ФСТЭК 14 февраля 2008 года.
Удачи!