Защита персональных данных: почему не уделяют внимания и почему придется уделить

Почему важно обеспечить защиту персональных данных?

Регуляторы со стороны Роскомнадзора (далее — РКН) и ФСБ серьезно взялись за организации, которые обрабатывают персональные данные (далее — ПДн). На это указывают новые документы, которые уже вступили в силу.

Обработку ПДн осуществляют операторы ПДн. Оператором может являться абсолютно любая компания, физическое или юридическое лицо, собирающие и обрабатывающие личные данные своих пользователей, клиентов или сотрудников.

Поэтому предложенные изменения затронули всех, кто обрабатывает ПДн, в особенности операторов, осуществляющих трансграничную передачу данных.

Такое внимание к защите личной информации человека не удивительно, ведь за последнее время случаи утечки, кражи и дальнейшего распространения значительно участились.

Например, совсем недавно утекло около миллиона данных пользователей МТС Банк. Это грозит серьезными атаками со стороны злоумышленников, которые получили доступ к данной информации.

Новые требования регуляторов по защите ПДн

Рассмотрим новые Приказы, которые предоставили регуляторы в лице РКН, ФСБ и Правительства РФ:

1. ПП РФ №2526 от 29.12.2022
2. ПП РФ №24 от 16.01.2023
3. ПП РФ №6 от 10.01.2023
4. Приказ РКН №128 от 05.08.2022
5. Приказ РКН №178 от 27.10.2022
6. Приказ РКН №179 от 28.10.2022
7. Приказ РКН №187 от 14.11.2022
8. Приказ ФСБ №77 от 13.02.2023

Данные документы касаются изменений 152 ФЗ, которые содержатся в 266 ФЗ от 14.07.2022 и вступили в силу 01.03.2023 года.

Изменения, которые несет в себе 266 ФЗ, очень важны для обеспечения защиты личной информации людей и действительно заставляют операторов ПДн уделять ей больше внимания.

Обратим внимание на требования нововведений и кратко выделим основное.

Для начала стоит отметить, что если ранее не всем нужно было уведомлять Роскомнадзор об обработке Пдн, то теперь, если организация каким-либо способом обрабатывает такую информацию, она обязана направить уведомление.

Уведомление содержит в себе большой объем информации об обработке и защите ПДн.

Постановления Правительства РФ №24, №6, №2526

Данные постановления связаны с запрещением или ограничением трансграничной передачи данных.

Следует подчеркнуть, что при трансграничной передаче данных также необходимо направить уведомление в РКН.

Согласно документам РКН имеет возможность ограничить передачу ПДн, если посчитает нужным.

Приказ РКН №128

Со стороны РКН было выпущено огромное количество Приказов, которые играют значительную роль.

Приказ РКН №128 содержит в себе перечень иностранных государств, которые создают адекватную защиту прав субъектов ПДн.

Приказ РКН №178

Приказом №178 были введены новые правила оценки вреда.

Документ выделяет три степени вреда:

1. Высокая
2. Средняя
3. Низкая

Результатом оценки должен быть Акт, содержащий в себе:

• Наименование/ФИО и адрес оператора Пдн
• Дату составления Акта
• Дату проведения оценки
• ФИО, должность и подпись сотрудника, проводившего оценку
• Степень вреда

Если субъекту ПДн подходят все три степени вреда, то в Акте необходимо указать высокую степень.

Приказ РКН №179

Согласно 179 Приказу РКН, теперь не только необходимо удалять ПДн, но и обязательно хранить доказательства, подтверждающие факт удаления.

В качестве такого доказательства будет являться Акт уничтожения ПДн.

Приказ содержит в себе требования для правильного составления документа, а именно:

• Наименование/ФИО и адрес оператора Пдн
• Наименование/ФИО и адрес лица, осуществляющего обработку по поручению
• ФИО субъекта ПДн
• ФИО, должность и подпись сотрудника, осуществившего удаление
• Список категорий уничтоженных ПДн
• Наименование и количество листов уничтоженного материального носителя
• Наименование ИСПДн
• Способ
• Причина
• Дата

Если обработка ПДн производилась с помощью средств автоматизации, то вместо акта подойдет выгрузка из журнала событий. В Приказе также содержатся требования к данной выгрузке.

Акт уничтожения ПДн должен храниться не менее 3-х лет. Многие операторы ПДн и ранее составляли такие документы, но теперь это обязательно для всех.

Приказ РКН №187

Приказ РКН №187 содержит в себе порядок уведомления РКН об инцидентах.

Уведомление можно направить в бумажном виде или электронном с помощью формы, расположенной на сайте РКН.

Данное письмо необходимо направить первично в течение 24 часов, либо в случаи разногласий или уточнений дополнительно в течение 72 часов.

Первичное уведомление должно обязательно содержать в себе:

1. Информацию о произошедшем инциденте, причинах, рисках, принятых мерах
2. Данные оператора ПДн

Дополнительное уведомление содержит информацию:

1. Внутреннем расследовании
2. О людях, которые стали причиной инцидента

Приказ ФСБ России №77

Завершающим изменения является документ со стороны ФСБ.

Они предоставили Приказ №77, который регламентирует порядок информирования регулятора об компьютерных инцидентах, поэтому теперь у операторов ИСПДн есть порядок взаимодействия с ГосСОПКА.

Как и предполагалось таких вариантов два: передавать информацию либо через НКЦКИ, либо через сайт РКН.

Уведомлять ФСБ необходимо в течение 24 часов с момента выявления компьютерного инцидента.

Рекомендации Роскомнадзора по защите персональных данных

Вопрос о защите ПДн последнее время стоит очень остро, поэтому регуляторы стараются с помощью изменений в законодательстве обратить на это внимание операторов ПДн.

В начале августа 2023 года Роскомнадзор предоставил новые рекомендации по защите ПДн, они включают в себя:

1. Ограничение перечня обрабатываемых ПДн
2. Обеспечение раздельного хранения Пдн по категориям и целям обработки
3. Обеспечение хранения в разных базах данных (далее – БД) идентификаторов, указывающих на человека и данных о взаимодействии с ним (таким связям необходимо присваивать другие идентификаторы и хранить в отдельной БД)
4. Своевременное удаление ПДн
5. Использование технических и программных средств оператора, при передаче обработки данных третьим лицам
6. Своевременное информирование регулятора об инцидентах ЗИ
7. Усиление контроля за физическим доступом к ПДн
8. Назначение ответственного за обеспечение защиты ПДн

Все эти требования также содержатся в нормативных документах, представленных регуляторами ранее. Роскомнадзор лишь еще раз подчеркнул важность соблюдение правил защиты ПДн.

Самым важным, что необходимо выделить из нововведений, является немедленное уведомление регулятора об инцидентах, которые произошли в компании.

Под инцидентом понимается любое событие, которое повлекло за собой какую-либо неправомерную передачу ПДн. Организациям необходимо стремиться к налаживанию системы защиты ПДн таким образом, чтобы время выявления инцидентов было минимальным.