ПДн и Роскомнадзор

В этой статье снова хотелось бы поднять тему защиты персональных данных (ПДн) а также проверку исполнения требований по защите регулятором. Пик дебатов на тему защиты ПДн давно прошел — по наступлению «самого последнего срока» вступления 152-ФЗ «О персональных данных» в силу.

Сразу хочется оговориться, что в данной статье будет рассмотрена информация в основном организационного характера: тема технической защиты ПДн довольно емкая и заслуживает отдельного внимания. Задача проверки организационных моментов по организации системы защиты информации возложена на Роскомнадзор, технических — на ФСТЭК.

В связи с отменой Постановления Правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК и ФСБ России оказались в «подвешенном» состоянии. Так что же делать, когда это случилось: Вы узнали, что Ваша организация внесена в план проверок Роскомнадзора на грядущий год?

В первую очередь необходимо выяснить, числится ли Ваша организация в реестре операторов персональных данных (www.pd.rsoc.ru/operators-registry/operators-list) — для этого в поисковую строку достаточно вбить ИНН компании. В случае отрицательного результата, необходимо подать соответствующее уведомление (при этом нужно учесть, что если уведомление ранее подано не было — это уже является поводом для регулятора для наложения штрафа).

В случае присутствия уведомления в системе необходимо тщательно проверить содержание всех полей на соответствие. Практика карательных мер говорит о том, что большинство предписаний выносится Роскомнадзором в связи с несоответствием данных уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указаны «ФИО, паспортные данных, адрес места жительства», а Вы обрабатываете в дополнении к этому еще и адрес E-mail, номер мобильного телефона.

Для внесения изменений в уведомление на портале персональных данных существует специальная форма. Не стоит забывать и о том, что любые изменения не будут приняты до тех пор, пока вслед за электронной заявкой Вы не отправите бумажное письмо в соответствующее территориальное управление Роскомнадзора. Это же касается и первоначальной подачи уведомления.

Вслед за проверкой данных на портале необходимо удостоверится в наличии (а в случае их отсутствия — разработать и ввести в силу) документов по порядку организации защиты ПДн: инструкций, положений, приказов, журналов и так далее... Документы должны регламентировать не только автоматизированные процессы сбора, обработки, хранения информации, но и процессы, выполняемые в «ручном» режиме.

Установленного перечня документов не существует — есть лишь перечень аспектов, которые Вы должны изложить. Самое первое — назначение ответственного лица за обработку персональных данных. Этот человек призван отвечать в основном за «бумажные» вопросы. После нужно назначить администратора безопасности персональных данных — лицо, отвечающее за техническую сторону вопроса. Хочется заметить, что все формулировки в издаваемых документах следует тщательным образом согласовывать с текстом законодательства (проверяющий орган очень часто придирается к подобным несоответствиям). Например, если Вы ответственного за организацию обработки ПДн назовете просто «ответственный за обработку ПДн», с вероятностью 99% регулятор в процессе проверки попросит внести изменения в соответствующие документы.

Далее необходимо определиться с лицами, допущенными к обработке персональных данных — сотрудники, которые работают с персональными данными коллег, клиентов организации, абонентов и других категорий субъектов. В документе должно быть указано, какой сотрудник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае автоматизированной обработки — еще и его роль в система (пользователь, администратор и так далее). Каждый сотрудник, допущенный к обработке персональных данных, в обязательном порядке должен подписать соглашение о неразглашении.

Следующим шагом нужно определить категории ПДн, подлежащие защите. Делается это отдельным приказом. Персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Информация, которая может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 года.

Вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь описываются основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Придется разработать ряд журналов, которые необходимо предъявить Роскомнадзору: этим Вы доказываете, что проводите регулярную (а не только одноразовую) деятельность по защите ПДн. К такому числу относятся, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно должен вестись журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Не забудьте перед проверкой обзавестись журналом учета проверок юридического лица контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в Вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что перечислено выше, а можете разбить весь объем на множество мелких документов.

Для примера приведен стандартный перечень документов, который в общем случае считается оптимальным:

  • перечень сведений конфиденциального характера;
  • инструкция администратора информационной безопасности;
  • приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
  • перечень персональных данных, подлежащих защите;
  • приказ об утверждении мест хранения персональных данных;
  • инструкция пользователей информационной системы персональных данных;
  • приказ о назначении комиссии по уничтожению персональных данных;
  • порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
  • план внутренних проверок режима защиты персональных данных;
  • приказ о вводе в эксплуатацию информационной системы персональных данных;
  • журнал учета носителей информации информационной системы персональных данных;
  • журнал учета мероприятий по контролю обеспечения защиты персональных данных;
  • журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
  • правила обработки персональных данных без использования средств автоматизации;
  • положение о разграничении прав доступа к обрабатываемым персональным данным;
  • акт классификации информационной системы персональных данных;
  • инструкция по проведения антивирусного контроля в информационной системе персональных данных;
  • инструкция по организации парольной защиты;
  • журнал периодического тестирования средств защиты информации;
  • форма акта уничтожения документов, содержащих персональные данные;
  • соглашение о неразглашении персональных данных;
  • журнал учета средств защиты информации;
  • журнал проведения инструктажа по информационной безопасности;
  • инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
  • приказ о перечне лиц, допущенных к обработке персональных данных;
  • положение об обработке и защите персональных данных;
  • план мероприятий по обеспечению безопасности персональных данных;
  • модель угроз безопасности в информационной системе персональных данных.

Завершая перечень необходимой документации, отметим еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с предъявленными требованиями ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных необходимо вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе / находиться в другом общедоступном месте.

Русский
8 (800) 350-81-96