Описание мер защиты персональных данных для уведомления Роскомнадзора
Анализ ситуации
При регистрации в качестве оператора персональных данных вы обязаны описать меры, принимаемые в соответствии со статьями 18.1 и 19 Федерального закона "О персональных данных". Рассмотрим обязательные меры, которые необходимо отразить в уведомлении.
Применимые нормы законодательства
Меры согласно статье 18.1 ФЗ "О персональных данных"
"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей..." (Источник: Федеральный закон "О персональных данных", статья 18.1)
Конкретные меры по ст. 18.1, которые нужно указать:
- Назначение ответственного лица:
"назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18.1)
- Разработка документов:
"издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 18.1)
- Меры безопасности:
"применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона" (Источник: Федеральный закон "О персональных данных", статья 18.1)
- Внутренний контроль:
"осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону..." (Источник: Федеральный закон "О персональных данных", статья 18.1)
- Оценка вреда:
"оценка вреда... который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона" (Источник: Федеральный закон "О персональных данных", статья 18.1)
- Обучение сотрудников:
"ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 18.1)
Меры согласно статье 19 ФЗ "О персональных данных"
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19)
Конкретные технические и организационные меры:
- Определение угроз безопасности:
"определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19)
- Применение средств защиты:
"применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации" (Источник: Федеральный закон "О персональных данных", статья 19)
- Контроль доступа:
"установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19)
Рекомендации по заполнению поля уведомления
Организационные меры для описания:
- Назначение приказом ответственного за обработку персональных данных
- Разработка и утверждение Политики в отношении обработки ПДн
- Издание локальных актов, регламентирующих обработку ПДн
- Проведение внутреннего контроля соблюдения требований законодательства
- Ознакомление сотрудников с положениями о защите ПДн под подпись
- Ведение реестра обращений субъектов ПДн
Технические меры для описания:
- Использование средств защиты информации (межсетевые экраны, антивирусы)
- Применение систем аутентификации и авторизации
- Регистрация и учет действий с персональными данными
- Резервное копирование данных
- Использование SSL-сертификатов для защиты передаваемых данных
- Регулярное обновление программного обеспечения
Что указать про шифрование:
"сведения о наличии шифровальных (криптографических) средств и наименования этих средств" (Источник: Федеральный закон "О персональных данных", статья 22)
Если используете шифрование, укажите конкретные средства (например, "используется TLS-шифрование для защиты данных при передаче", "применяется шифрование дисков для хранения резервных копий").
Выводы и рекомендации
-
Разработайте необходимые документы до подачи уведомления: политику обработки ПДн, локальные акты, должностные инструкции.
-
Опишите меры конкретно, но без излишней детализации. Например: "Назначен ответственный за организацию обработки ПДн приказом №... от...", "Применяются организационные меры: разработана Политика обработки ПДн, проводятся инструктажи сотрудников".
-
Укажите технические меры, соответствующие вашему сайту: защита форм обратной связи, безопасное хранение cookies, ограничение доступа к базам данных.
-
Учитывайте требования Постановления Правительства №1119 об уровнях защищенности ПДн, которые могут применяться к вашей информационной системе.
-
Помните, что Роскомнадзор может запросить документы, подтверждающие принятие указанных мер.
Для разработки полного комплекта документов и определения точного перечня необходимых мер рекомендуется обратиться к адвокату, специализирующемуся в области защиты персональных данных.