Комплексная защита персональных данных

Нарушение права на неприкосновенность частной жизни – по закону и вопреки ему

Частная жизнь человека – это личное пространство, которое вбирает его внешний вид, убеждения, профессиональные интересы и религиозные взгляды, отношения с родственниками и многое другое.

Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки и телефонных переговоров (ст. 23 Конституции РФ). Но это право относительно: вторжение в личное пространство человека возможно, когда есть законная цель. Такой целью может быть, например, обеспечение общественной безопасности в торговом центре или соблюдение требований антикоррупционного законодательства.

Читайте также

Персональные данные: изменения и опыт практиков

Эксперты рассказали о новых требованиях в области персональных данных и посоветовали компаниям, как их выполнять

06 апреля 2023 Советы

Право на защиту частной жизни признано не только на национальном уровне, но и на международном. Оно охватывает в том числе персональные данные (далее – ПД).

Персональные данные – это информационно-цифровое выражение частной жизни. К ним относятся любые сведения, которые можно прямо или косвенно ассоциировать с человеком: Ф.И.О., номер телефона, данные о состоянии здоровья, месте работы, кредите и т.д.

Если не побеспокоиться о защите ПД, то их могут использовать злоумышленники. Кто-то захочет обманом выманить деньги или завладеть чужой недвижимостью, а кто-то – нанести вред здоровью человека или опорочить его репутацию.

На фоне стойкого риска утечки ПД и их несанкционированного оборота законодательство о персональных данных регулярно уточняется. За этими обновлениями важно следить, чтобы не пришлось расплачиваться за несоблюдение установленных требований.

Реформа в области персональных данных 2022 года

В июле прошлого года значительно изменился Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ):

• этот закон стал применяться экстерриториально, т.е. теперь он распространяется на зарубежные компании, обрабатывающие ПД российских граждан;
• сократился перечень операторов, которые не обязаны уведомлять Роскомнадзор о начале обработки ПД;
• появились новые требования к согласию субъекта на обработку ПД – оно должно быть не только конкретным, информированным и сознательным, но также предметным и однозначным;
• появились новые требования к поручению на обработку ПД – в него надо включать порядок совместного расследования инцидента утечки ПД;
• появилось новое основание для уведомления Роскомнадзора – трансграничная передача ПД, а также разработана форма уведомления;
• сократились сроки взаимодействия оператора с госорганами и субъектами ПД – с 30 дней до 10 и 15 дней;
• появились новые требования к политикам обработки ПД – в них должны быть отражены все перечни обрабатываемых ПД и категории субъектов по целям обработки данных.

Ответственность за нарушения в области персональных данных

За нарушения законодательства в области персональных данных могут привлечь к административной и уголовной ответственности (ст. 13.11, 13.12, 13.14, 19.7 КоАП РФ, ст. 137, ч. 1 ст. 272 УК РФ).

Административные штрафы могут назначить за отсутствие согласий на обработку ПД, за неознакомление субъектов с политикой по защите ПД, за сбор ПД не на территории России. Наказывают как компании-операторов, так и их сотрудников, ответственных за организацию обработки ПД. Штрафы достигают 18 млн руб. – именно столько придется заплатить за повторную нелокализацию баз ПД на территории России (ч. 9 ст. 13.11 КоАП РФ).

Гражданско-правовая ответственность последует за распространение порочащих недостоверных сведений, за нарушение прав гражданина на изображение и неприкосновенность частной жизни (ст. 152, 152.1, 152.2 ГК РФ).

Во время мартовского вебинара представители Роскомнадзора рассказали о дальнейшем ужесточении ответственности в области персональных данных. За утечку ПД и их незаконный оборот для операторов хотят ввести фиксированный и оборотный штрафы.

Репутационные риски компании в случае утечки данных

Мы все чаще слышим об утечках персональных данных. А значит, операторам нужно быть внимательнее при организации работы с ПД, выборе программного обеспечения и технических средств защиты.

Если оператор допускает утечки ПД, он становится объектом пристального внимания Роскомнадзора. В таких случаях ведомство проводит проверочные мероприятия, даже несмотря на действие моратория на проверки.

Более того, информация об утечке больших баз данных сразу появляется в СМИ, что негативно влияет на репутацию оператора. Люди отдают предпочтение тем, кто уважает их права и оберегает их данные.

Способы защиты персональных данных

Защиту персональных данных нельзя назвать просто «бумажной историей». Получение согласия на обработку ПД – лишь малый шаг на пути к обеспечению безопасности данных.

Как только компании переданы персональные данные клиентов, сотрудников или контрагентов, у нее возникает обязанность по их защите, в том числе по соблюдению одного из важнейших принципов обработки ПД – конфиденциальности данных (ст. 7 Закона № 152-ФЗ, ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Защита ПД – это комплекс мер правового, организационного и технического характера, направленных на обеспечение сохранности и безопасности ПД (ст. 19 Закона № 152-ФЗ).

Правовые меры защиты предполагают принятие локальных нормативных актов и организационно-распорядительных актов:

• политики обработки и защиты ПД;
• положения о порядке уничтожения ПД;
• политики обработки ПД пользователей сайтов;
• положения о внутреннем аудите работы с ПД;
• приказа о назначении ответственного по работе с ПД.

Правовые меры подразумевают легализованное выстраивание отношений с субъектом ПД и контрагентами. Для этого могут понадобиться:

• соглашения о неразглашении конфиденциальной информации;
• поручения на обработку ПД;
• согласия субъектов ПД.

Взаимодействие с Роскомнадзором – еще один способ обеспечить защиту ПД. Для этого пригодятся:

• уведомление о начале обработки ПД;
• информационное письмо о внесении изменений в ранее поданное уведомление о начале обработки ПД;
• уведомление о намерении осуществлять трансграничную передачу ПД;
• уведомление о прекращении обработки ПД;
• согласия субъектов ПД.

Организационные меры могут включать в себя назначение ответственных лиц, обучение работников, формирование культуры приватности в компании.

Меры технического характера предусматривают выбор надежных поставщиков программного обеспечения и серверных мощностей, средств защиты информации, разработку технической документации в компании (технических заданий, моделей угроз), а также реализацию мер защиты данных при работе с программным обеспечением. Оператор должен отслеживать действия в информационных системах для предотвращения риска утечки ПД.

Правила работы с персональными данными на каждый день

1. Развитие корпоративной культуры бережного отношения к любым персональным данным. Для этого необходимо регулярно напоминать сотрудникам компании о важности ПД и правилах работы с ними.

2. Законная обработка ПД на рабочем месте. То есть соблюдение правил хранения на рабочем столе документов, содержащих ПД. Регулярное обновление пароля на персональном компьютере. Бумажные документы и сменные носители данных, содержащие ПД, должны храниться в сейфах, в отведенных для этого шкафах, тумбочках или на отдельных полках.

3. Внедрение «политики чистого стола». К концу дня на рабочем месте не должны оставаться документы и сменные носители данных. Распечатанные документы с ПД не должны залеживаться на принтере.

4. Контроль допуска посторонних лиц – посетителей, клиентов, контрагентов. Они могут находиться в помещениях, где обрабатываются ПД, только в сопровождении и под контролем сотрудников компании.

5. Обработку ПД с использованием компьютерной техники нужно вести в соответствии с политикой и руководством по информационной безопасности компании.