Как правильно организовать обработку и защиту персональных данных в соответствии с требованиями законодательства, рассказал Иван Дмитриев, директор по безопасности СберКорус.
Персональными данными (ПДн) следует считать любую информацию, прямо или косвенно относящуюся к физическому лицу. Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, все эти действия принято объединять в одно понятие — обработка персональных данных. В России практически все участники процесса обработки ПДн, чьи организации созданы как с целью осуществления предпринимательской деятельности, так и без этой цели, являются операторами ПДн. За нарушение законодательства о персональных данных операторы несут предусмотренную законодательством РФ ответственность за невыполнение требований 152-ФЗ. Поэтому представителям бизнеса, государства и НКО важно понимать, как грамотно выстроить процесс работы с персональными данными.
На что обратить внимание в согласии на обработку персональных данных
Форма согласия должна соответствовать требованиям 152-ФЗ ‒ иначе согласие на обработку ПДн будет считаться полученным с нарушением 152-ФЗ, повлечет за собой риск привлечения оператора к ответственности.
Есть некоторые моменты, на которые необходимо обратить внимание при подготовке формы согласия. Оно должно быть:
- конкретным — обработка ПДн предназначена для реализации цели, указанной в согласии. Например, если субъект дал согласие на обработку данных для получения коммерческого предложения, оператор не может использовать его данные для проведения статистических опросов;
- предметным — лицо разрешает обрабатывать данные в ограниченном составе персональных данных, определенным в согласии способом, на ограниченный срок;
- информированным — в согласии указаны сведения об операторе (ИНН, ОГРН, юридический адрес, фирменное наименование), о способе отзыва согласия;
- сознательным — субъект ставит свою подпись на согласии, может получить разъяснение в случае отказа от предоставления согласия на обработку ПДн. При этом молчание или бездействие не должны считаться надлежащим способом получения согласия;
- однозначным — согласие должно быть выполнено в форме отдельного документа, не допускается включение дополнительных целей в текст согласия.
Форма согласия может быть письменной с собственноручной подписью лица или иной (например, кнопка-галочка в форме обратной связи на сайте оператора ПДн). Важно отметить, что к письменной форме с собственноручной подписью приравнивается согласие в форме электронного документа, заверенного электронной подписью (ЭП).
Всегда ли нужно согласие лица на обработку данных?
Согласие — это лишь одно из оснований на обработку ПДн, предусмотренных ст. 6 152-ФЗ «О персональных данных». Оператор может заявлять, что обрабатывает ПДн на основании законного интереса, договора, либо в соответствии с исполнением требований закона и иных случаях. В таком случае важно, чтобы оператор мог аргументированно подтвердить наличие подобного основания со ссылкой на законодательство.
Как бизнесу и другим организациям обеспечить обработку персональных данных в соответствии с требованиями законодательства?
Проверку обработки персональных данных на соответствие требованиям законодательства осуществляет Роскомнадзор . Каждый оператор самостоятельно разрабатывает процесс организации обработки и защиты ПДн, опираясь на законно установленные требования.
Для начала рекомендуется:
- пройти по процессам обработки персональных данных в компании;
- составить реестр процессов обработки персональных данных; в соответствии с реестром корректно составить цели обработки данных;
- подготовить политику обработки персональных данных, уведомить об обработке ПДн, либо об изменениях организации обработки ПДн в Роскомнадзор.
Полезно регулярно проводить ревизию локальных нормативных актов (ЛНА), регулирующих производственные процессы обработки и защиты персональных данных; выделить ответственных должностных лиц по обработке, хранению и защите персональных данных; своевременно проводить актуализацию ЛНА, а также проверять процессы обработки данных на актуальность.
Для соответствия принципам обработки ПДн следует производить сбор только минимально необходимых данных, обязательно фиксировать факт предоставления наличия основания на обработку данных, предоставлять разъяснения в случае отказа предоставить согласие на обработку данных, своевременно удалять ПДн при достижении заявленных целей обработки.
Финальным этапом реализации рекомандаций следует считать получение акта о соответствии требованиям по защите и обработке персональных данных в информационной системе персональных данных (ИСПДн). Такая проверка ИСПДн на соответствие требованиям законодательства в организации должна проводиться не реже одного раза в три года.
Какие на сегодня известны зоны уязвимости в работе с персональными данными и как их предотвратить?
Технически, уязвимости — это недостатки программного обеспечения либо информационной системы, которые могут быть использованы для реализации угроз безопасности ПДн. При этом, реализация этих недостатков зависит от человека, который пользуется программным обеспечением или информационной системой. Поэтому, основной уязвимостью следует считать человеческий фактор. Чтобы минимизировать риск реализации утечки ПДн из-за человеческого фактора, требуется обучать сотрудников основам информационной безопасности.
Для соблюдения безопасности ПДн сотрудникам важно при уходе с рабочего места блокировать компьютер, не устанавливать стороннее программное обеспечение без одобрения сотрудников информационной безопасности, составлять сложные пароли, как минимум из 12 символов с использованием специальных символов, тщательно проверять адреса интернет-ресурсов прежде, чем перейти по ним. Для обмена информацией лучше использовать корпоративные каналы и сети, а вот сторонним VPN-сервисам лучше не доверять.