Как работать с персональными данными сотрудников в 2021 году из-за изменений в законах

Что делать владельцу сайта, чтобы избежать штрафов

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

• ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
• цель обработки ПД;
• перечень ПД, на обработку которых субъект дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
• срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
• подпись субъекта ПД.

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе. 

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД. 

За что и на какие суммы штрафуют в 2021 году

27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2021 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1.   За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?  

Как мы помогали защитить данные по 152-фз

В начале 2021 года к нам обратилась компания ООО «Смарт-Сервис», разработчик платформы для управления сервисным обслуживанием

и приложения для обмена контактами

Первое решение позволяет автоматизировать процесс обслуживания оборудования в самых разных областях – от настройки кофемашин и кондиционеров в офисных помещениях до ремонта газовых турбин. Второе – онлайн-конструктор для создания электронных визитных карточек на базе QR-кодов.

Онлайн-визитка myQRcards.

Обе системы хранят и обрабатывают данные пользователей, подпадающие под классификацию «персональных» в соответствии с 152-ФЗ. В этом случае закон диктует ряд ограничений к системам хранения таких персональных данных для того, чтобы обеспечить требуемый уровень их защищенности и исключить риск несанкционированного доступа с целью хищения или неправомерного использования.

Закон нужно соблюдать, но «Смарт-Сервис» не планировал развивать у себя внутри компетенции по защите ПДн. Поэтому сервисы и данные, которыми делились их пользователи, «переехали» в Linxdatacenter. «Смарт-Сервис» перенес серверные мощности рабочего окружения в отдельную защищенную сетевую зону нашего дата-центра, аттестованную в соответствии с заявленными в 152-ФЗ требованиями – так называемое «Защищенное облако».

Как устроено защищенное облако

Любая информационная система, обрабатывающая персональные данные, должна удовлетворять трем основным требованиям: 

Мы размещаем серверные мощности заказчика в отдельных зонах, удовлетворяющих требованиям 152-ФЗ, и помогаем получить заключение о соответствии.

Архитектура защищенной виртуальной инфраструктуры для ООО «Смарт Сервис».

Международные нормы по защите персональных данных

Если в России не утихают споры относительно правоприменения 152-ФЗ и соответствующих подзаконных актов, то в Европейском Союзе последние 3 года ведется работа по внедрению и соответствию нормам GDPR (

, Общий регламент по защите персональных данных). Данный документ, с момента его принятия в апреле 2021 года и до момента вступления в силу 25 мая 2021 года, а также и в настоящий момент, вызывает множество вопросов и споров, поскольку он касается большого количества граждан и компаний по всему миру.

Предшественником GDPR в Европейском Союзе была Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 года «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». После принятия GDPR права субъектов ПДн существенно расширились, а обязанности операторов и штрафы за их неисполнение существенно возросли.

Само определение ПДн в GDPR не сильно отличается от того, что было принято в Конвенции Совета Европы и от аналогичного определения в отечественном 152-ФЗ: под персональными данными в рамках GDPR понимается любая информация, относящаяся к идентифицированному или идентифицируемому лицу (субъекту персональных данных).

Под идентифицируемым лицом понимается то лицо, которое может быть идентифицировано, прямо или косвенно, в частности с использованием таких идентификаторов, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или при помощи одного или нескольких факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального статуса этого лица.

Новым важным термином в GDPR является «профилирование» (англ. profiling), под которым понимается любая форма автоматизированной обработки персональных данных в целях оценки определенных аспектов личности, в частности для анализа или предсказания работоспособности человека, его материального положения, здоровья, личных предпочтений, интересов, поведения, местоположения или передвижений.

Как и в 152-ФЗ, в GDPR используются такие понятия, как «обработка персональных данных», «обработчик», «оператор» (англ. controller), «трансграничная обработка», «псевдонимизация» (обезличивание) и подобные универсальные термины.

Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн граждан ЕС и иных граждан, находящихся на территории ЕС. При этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также находиться за пределами ЕС. Примеры, касающиеся операторов-компаний из РФ:

Основой норм GDPR являются шесть базовых принципов:

• законность, справедливость и прозрачность обработки — соответствие обработки ПДн законодательству, выработка и следование публично доступной политике по работе с персональными данными (т.н. privacy policy);
• ограничение целей обработки — обработка ПДн осуществляется для определенных, четко выраженных целей и не дольше, чем того требует достижение указанных целей;
• минимизация данных — обработка ровно такого объема ПДн, который требуется для достижения целей обработки;
• точность — обрабатываемые ПДн точны и верны, в противном случае субъект может потребовать удалить или откорректировать неверные ПДн;
• ограничение на хранение — после достижения цели обработки данные удаляются;
• целостность и конфиденциальность — обработка ПДн ведется безопасно, данные защищаются от несанкционированного доступа, случайного или намеренного удаления, утери, повреждения, с применением соответствующих технических и организационных мер.

Документ не дает операторам детальных инструкций по защите, предоставляя им свободу выбора мер и техник. Например, следует, где это возможно, шифровать ПДн при хранении, передаче и обработке, а также использовать алгоритмы псевдонимизации. Это ожидаемо снизит потенциальный ущерб в случае утечки, но GDPR не приводит конкретных условий применения этих защитных мер.

Кроме вышеописанных принципов, в GDPR также присутствуют следующие нормы:

• субъекты ПДн обладают правом на получение доступа к собранным о них данным, правом на корректировку и удаление неверных ПДн в системах оператора, правом на забвение, т.е. на удаление ПДн по их просьбе, правом на перенос данных из одной системы в другую в машиночитаемом виде, правом на отказ от обработки ПДн системами искусственного интеллекта, системами профилирования и автоматизированными системами принятия юридически значимых решений (при этом при таком отказе оператор не вправе ущемлять иные законные права субъекта при обработке его ПДн);
• оператор должен производить оценку рисков нарушения прав и свобод субъектов ПДн (т.е. проводить Data Protection Impact Assessment);
• оператор должен вести актуальный реестр бизнес-процессов обработки ПДн, в котором отражаются цели и основания обработки ПДн, категории обрабатываемых ПДн, сроки хранения и применяемые меры по защите ПДн;
• при проектировании автоматизированных систем обработки ПДн операторы должны руководствоваться принципами встроенной конфиденциальности (privacy by design, т.е. внедрять меры защиты ПДн на всех этапах проектирования систем и жизненного цикла обработки ПДн) и конфиденциальности по умолчанию (privacy by default, т.е. обрабатываемый объем ПДн должен быть минимальным для достижения чётко поставленных целей их обработки);
• согласие на обработку ПДн должно быть дано субъектом ПДн в виде активных осознанных действий — оператор не имеет права считать согласие субъекта данным по умолчанию, как не может и не давать пользователю выбора или не предоставлять ему возможность отозвать согласие без ущемления интересов;
• оператор должен назначить ответственного за защиту персональных данных (Data Privacy Officer) в случаях, когда:
• оператор обязан в течение 72-х часов уведомить локального представителя регулятора (supervisory authority, который подчиняется Data Protection Authority — регулятору по вопросам защиты данных) об обнаруженных или сообщенных фактах нарушения GDPR-норм обработки ПДн, в т.ч. утечках ПДн, задокументировав выявленные факты, прогнозируемый ущерб субъектам, принятые меры для смягчения последствий.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Постановление Правительства Российской Федерации от 01.11.2021 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
3. Приказ Федеральной службы безопасности Российской Федерации от 10.07.2021 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11.02.2021 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
5. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2021 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
6. «Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных», утв. 14.02.2008 заместителем директора ФСТЭК России.
7. «Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных», утв. 15.02.2008 заместителем директора ФСТЭК России.
8. Банк данных угроз безопасности информации.

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

Российские нормы по защите персональных данных

Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет и поднимаются в самых высоких кабинетах как в России, так и за рубежом, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.

Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками.

С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году.

Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных.

В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федерального закона №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице.

Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2021 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных.

Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.

Итак, в 2006 году был принят 152-ФЗ «О персональных данных», который не только во многом повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных (далее — ПДн). Со временем в Федеральный Закон вносились изменения, основные из которых были введены 261-ФЗ от 25.07.

2021 и 242-ФЗ от 21.07.2021. Первый закон внес существенные изменения в базовые постулаты защиты ПДн, а второй запретил первичную обработку ПДн за пределами территории РФ. Отметим, что уполномоченным государственным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации.

В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить установленные Постановлением Правительства №1119 от 01.11.2021 уровни защищенности ПДн, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности.

Кроме этого, ФСТЭК России в 2021 году разработала проект «Методики определения угроз безопасности информации в информационных системах», которой после её утверждения смогут руководствоваться как операторы государственных информационных систем, так и частные компании.

Следует отметить, что государственные информационные системы (далее — ГосИС) определены в 149-ФЗ (ст.13 п.1) как федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые МУ в зоне их ответственности. Такие МУ были разработаны, например, в ЦБ РФ (сначала в виде РС БР ИББС-2.4, затем в виде Указания Банка России №3889-У)

, Министерством связи и массовых коммуникаций РФ («Модель угроз и нарушителя безопасности ПДн, обрабатываемых в типовых ИСПДн отрасли» и «Модель угроз и нарушителя безопасности ПДн, обрабатываемых в специальных ИСПДн отрасли»)

В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее — ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»). В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня зависит от категории обрабатываемых ПДн (т.е. типа ИСПДн), категории и количества субъектов ПДн и типа актуальных угроз.

Категории ПДн могут быть специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения), биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности), общедоступными (ПДн получены из общедоступных источников), иными.

Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).

Выбор уровня защищенности (далее — УЗ) персональных данных зависит от перечисленных выше характеристик ИСПДн (категории обрабатываемых ПДн и тип актуальных для ИСПДн угроз), а также от категории субъектов (сотрудники оператора или иные лица) и количества субъектов, чьи ПДн обрабатываются (больше или меньше 100000 записей). Максимальным УЗ является 1-ый, минимальным – 4-ый.

ПП-1119 предлагает достаточно сжатый перечень мер защиты ПДн, поскольку детальные меры безопасности определяет ФСТЭК России: Приказ №21 от 18.02.2021 утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн, а Приказ №17 от 11.02.

2021 регламентирует требования по защите информации в ГосИС, включая защиту ПДн в них. Кроме этого, ФСБ РФ также выпустила Приказ №378 от 10.07.2021, который содержит описание мер защиты ПДн при использовании средств криптографической защиты информации (далее — СКЗИ).

Рассмотрим сначала Приказ №21. Данный документ посвящен мерам защиты ПДн для негосударственных ИС и содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн. В п.4 операторам негосударственных ИС дается послабление в виде разрешения не использовать сертифицированные СЗИ в случае отсутствия закрываемых ими актуальных угроз, а п.

6 документа устанавливает трехлетний интервал проведения оценки эффективности реализованных мер. Приказ №21, равно как и Приказ №17, предлагает одинаковый алгоритм выбора и применения мер для обеспечения безопасности: сначала осуществляется выбор базовых мер на основании положений соответствующего Приказа, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных «базовых» мер в зависимости от особенностей информационных систем и использующихся технологий.

Затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.

Приказ №21 в п.10 содержит важное замечание о возможности оператора применять компенсирующие меры при невозможности технической реализации или экономической нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности ПДн.

Сертифицированные межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы в соответствии с недавно (в 2021-2021 гг.) введенными классификаторами ФСТЭК России могут иметь классы от 1 (максимальный уровень обеспечения защиты)

до 6 (минимальный уровень). СВТ могут быть классифицированы по семи уровням в соответствии с руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия недекларированных возможностей в ПО СЗИ — существует четыре уровня контроля.

В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны быть применены в зависимости от требуемого уровня защищенности ПДн:

• Идентификация и аутентификация субъектов доступа и объектов доступа • Управление доступом субъектов доступа к объектам доступа • Ограничение программной среды • Защита машинных носителей ПДн • Регистрация событий безопасности • Антивирусная защита • Обнаружение вторжений • Контроль (анализ)

защищенности ПДн • Обеспечение целостности ИС и ПДн • Обеспечение доступности ПДн • Защита среды виртуализации • Защита технических средств • Защита ИС, ее средств, систем связи и передачи данных • Выявление инцидентов и реагирование на них • Управление конфигурацией ИС и системы защиты ПДн.

Приказ №17 устанавливает требования к обеспечению безопасности информации ограниченного доступа в ГосИС, при этом в п.5 подчеркивается, что при обработке ПДн в ГосИС следует руководствоваться и ПП-1119. Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации.

Данный документ предполагает выполнение операторами следующих мероприятий для обеспечения защиты информации (далее — ЗИ): формирование требований к ЗИ; разработка, внедрение и аттестация системы ЗИ ИС; обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации. Пункт 14.

3 Приказа говорит о необходимости создания модели угроз и предлагает использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России, о котором мы говорили в предыдущей публикации. Для ГосИС устанавливается класс защищенности (от максимального 1-го до минимального 3-го), который зависит от уровня значимости обрабатываемой информации и масштаба системы, где уровень значимости зависит от степени возможного ущерба свойствам безопасности (конфиденциальность, целостность, доступность) обрабатываемой в ГосИС информации, а масштаб системы может быть федеральным, региональным или объектовым.

В ГосИС 1-го класса защищенности должна быть обеспечена защита от действий нарушителей с высоким потенциалом, в ГосИС 2-го класса — от нарушителей с потенциалом не ниже усиленного базового (в БДУ их потенциал называется «средним», а в проекте Методики определения угроз безопасности информации в ИС — «базовым повышенным»)

, в ГосИС 3-го класса — от нарушителей с потенциалом не ниже базового (в БДУ этот потенциал называется «низким»). Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные СЗИ, в п.26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля отсутствия НДВ, в зависимости от класса ГосИС. В п.

27 проводится связь между классом защищенности ГосИС и уровнями защищенности ПДн, обрабатываемыми в ней: выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн, для 2-го класса — 2, 3 и 4 УЗ, для 3-го класса — 3 и 4 УЗ.

Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа №21, описанными выше, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией. Эти действия выполняются уже после построения системы защиты, на этапе эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты информации и контролем за обеспечением уровня защищенности информации в ГосИС.

Кроме Приказа №17 при реализации соответствующих мер ЗИ можно также руководствоваться и методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», в котором более детально раскрываются состав и содержание всех мер.

Приказ ФСБ РФ №378 устанавливает нормы по применению одного из шести классов СКЗИ при защите ПДн: КС1 (минимальный), КС2, КС3, КВ1, КВ2, КА1 (максимальный). Класс СКЗИ выбирается в зависимости от требуемого уровня защищенности ПДн и от типа актуальных угроз.

Несмотря на то, что классы СКЗИ нейтрализуют угрозы, источником которых является нарушитель определенного типа с тем или иным уровнем потенциала (типов нарушителей всего 6, от Н1 до Н6, они определяются в модели нарушителя), данный Приказ привязывает класс СКЗИ именно к уровню защищенности ПДн, а не к возможностям злоумышленников.

Кроме описания необходимых классов СКЗИ, указанный документ содержит административные требования к оператору, такие как организация режима доступа в помещения (физическая безопасность — установка замков, решеток), обеспечение сохранности носителей ПДн, утверждение перечня лиц, которые имеют доступ к ПДн.

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2021 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

• ФИО 
• дата рождения
• адрес
• телефон
• электронный адрес
• фотография
• ссылка на персональный сайт
• ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД.