Все операторы персональных данных обязаны сохранять конфиденциальность персональных данных субъектов, которые они обрабатывают. В связи с этим в процессе обработки персональных данных следует уделить особое внимание их учету и защите.
Закон возлагает на оператора персональных данных (работодателя) следующие обязанности (ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ):
- назначение лица, ответственного за организацию обработки персональных данных;
- издание документов, определяющих политику оператора в отношении обработки персональных данных работников, и ознакомление с ними субъектов персональных данных;
- внутренний контроль и (или) аудит соответствия обработки персональных данных законам и локальным актам оператора;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по защите персональных данных;
- применение организационных и технических мер по защите персональных данных.
Рассмотрим каждую их перечисленных обязанностей более подробно.
Назначение лица, ответственного за организацию обработки персональных данных
Оператор персональных данных, являющийся организацией, обязан назначить лицо, ответственное за организацию обработки персональных данных (далее – Ответственное лицо) (п. 1 ч. 1 ст. 18.1 Закона № 152-ФЗ). Индивидуальный предприниматель может выполнять его функции самостоятельно.
В зависимости от объема обязанностей Ответственного лица можно либо ввести отдельную должность, либо возложить эту функцию на кого-либо из действующих сотрудников (например, на условиях совмещения или совместительства). Помимо приказа о назначении Ответственного лица, следует оформить документы, определяющие перечень его обязанностей (например, должностную инструкцию).
Порядок работы такого сотрудника определен ст. 22.1 Закона № 152-ФЗ. Согласно ч. 2 этой нормы, Ответственное лицо подотчетно исполнительному органу организации-работодателя. Этот же орган вправе давать указания Ответственному лицу.
В обязанности Ответственного лица входят (ч. 4 ст. 22.1 Закона № 152-ФЗ):
- осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства РФ о персональных данных, в т. ч. требований к защите персональных данных;
- доведение до сведения работников оператора положений законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
Обратите внимание! Для работы Ответственному лицу понадобится как подробная информация о самом операторе персональных данных, так и иные сведения (цель обработки персональных данных, даты начала обработки персональных данных, сроки окончания их обработки и т. д.). Полный перечень таких сведений закреплен в ч. 3 ст. 22 Закона № 152-ФЗ. Оператор, в свою очередь, обязан предоставить эти сведения (ч. 3 ст. 22.1 Закона № 152-ФЗ).
Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законам и локальным нормативным актам
Для качественной и всесторонней защиты обрабатываемых персональных данных оператору недостаточно издать соответствующие локальные акты и указать своим работникам на необходимость соблюдения закрепленных в них правил, а также законодательства о защите этих данных. Необходим контроль за исполнением требований и соблюдением правил, закрепленных в указанных документах.
Обычно функции осуществления такого контроля возлагаются на лицо, ответственное за организацию обработки персональных данных. Закон не содержит перечня обязанностей такого лица, позволяющих осуществлять всесторонний контроль за исполнением правил по обработке персональных данных. Тем не менее контроль может осуществляться путем:
- отслеживания изменений действующего законодательства в сфере защиты персональных данных;
- проверки соответствия деятельности организации по защите персональных данных требованиям закона и локальных нормативных актов;
- своевременного приведения локальных нормативных актов организации в соответствие с действующим законодательством о защите персональных данных;
- оптимизации способов и методов защиты персональных данных;
- и т. д.
В целях организации внутреннего контроля за соблюдением законодательства о персональных данных целесообразно разработать план контрольных и проверочных мероприятий. В этом плане можно закрепить перечень мероприятий внутреннего контроля (например, таких как аттестация сотрудников, работающих с персональными данными, проверка техники, которая используется для обработки персональных данных и т. д.), а также способы, методы, периодичность и другие параметры мероприятий по внутреннему контролю.
Оценка вреда, который может быть причинен субъектам персональных данных при нарушении требований по защите персональных данных
Согласно п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ, Ответственное лицо оператора персональных данных или созданная им комиссия проводят оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона № 152-ФЗ.
Требования к такой оценке утверждены приказом Роскомнадзора от 27.10.2022 № 178 (далее – Требования).
Требования предусматривают три степени вреда: низкую, среднюю и высокую.
Высокая степень вреда устанавливается в случаях (п. 2.1 Требований):
- обработки биометрических персональных данных, если оператор использует их для установления личности субъекта, которому они принадлежат. Исключение – случаи, когда обработка таких данных прямо предусмотрена законом (например, в связи с реализацией международных договоров РФ о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, с проведением обязательной государственной дактилоскопической регистрации и т. д., см. п. 2 ст. 11 Закона № 152-ФЗ);
- обработки персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение составляют те случаи, установленные федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных (например, обработка данных в целях переписи населения, в соответствии с трудовым и пенсионным законодательством РФ и т. д.);
- обработки персональных данных несовершеннолетних лиц для исполнения или заключения договора, стороной которого такое несовершеннолетнее лицо является в случаях, не предусмотренных законом;
- обезличивания персональных данных (в т. ч. для проведения оценочных (скоринговых) исследований), оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
- поручения иностранному лицу (иностранным лицам) вести обработку персональных данных граждан РФ;
- сбора персональных данных с использованием баз данных, находящихся за пределами РФ.
Средняя степень вреда устанавливается в случаях (п. 2.2 Требований):
- распространения персональных данных на официальном сайте оператора, а также их предоставления неограниченному кругу лиц, кроме случаев, установленных законом (пп. 1.1 ст. 3 Закона № 152-ФЗ);
- обработки персональных данных в целях, отличных от первоначальной цели сбора (например, если изначально предполагались сбор и хранение персональных данных, а затем потребовалась их передача третьему лицу);
- продвижения товаров, работ, услуг на рынке путем прямых контактов с потребителем с использованием баз персональных данных, владельцем которых является другой оператор;
- получения согласия на обработку персональных данных на сайте оператора, который не предусматривает дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
- обработки персональных данных с получением согласия на передачу права их обработки третьим лицам в целях, которые несовместимы с целями сбора таких данных (ч. 2 ст. 5 Закона № 152-ФЗ).
Низкая степень вреда устанавливается в случаях (п. 2.3 Требований):
- ведения общедоступных источников персональных данных, сформированных в соответствии со ст. 8 Закона № 152-ФЗ (например, таких как справочники, адресные книги и т. д.);
- назначения ответственным за обработку персональных данных лица, которое не является штатным сотрудником оператора.
Степень вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона № 152-ФЗ, указывается в акте оценки вреда (п. 3 Требований). В нем также указываются (п. 4 Требований):
- наименование или Ф. И. О. (при наличии) и адрес оператора персональных данных;
- дата издания акта оценки вреда;
- дата проведения оценки вреда;
- Ф. И. О. (при наличии), должности лиц, проводивших оценку вреда, а также их подписи.
Форма акта оценки вреда не утверждена, поэтому акт составляется в произвольной форме. Его можно оформить как в бумажном, так и в электронном виде. Бумажный акт подписывается лицом, которое проводило оценку вреда. Электронный акт должен быть подписан электронной подписью. Полагаем, что речь идет об усиленной квалифицированной электронной подписи (если иной вид подписи не предусмотрен локальными нормативными актами оператора персональных данных) (п. 5 Требований).
При выявлении факторов, относящихся к разным степеням риска, выбирается более высокая степень.
Применение правовых, организационных и технических мер по защите персональных данных
Согласно ч. 1 ст. 19 Закона № 152-ФЗ, при обработке персональных данных следует принимать необходимые правовые, организационные и технические меры. Они призваны защитить персональные данные от неправомерного доступа, копирования, изменения, блокирования, уничтожения и т. д.
Примерный перечень мер, которые могут быть приняты оператором для защиты персональных данных работников, приведен в ч. 2 ст. 19 Закона № 152-ФЗ. Причем выбор способов защиты будет зависеть от того, обрабатываются персональные данные в информационных системах или нет. Под информационной системой персональных данных понимается совокупность всех персональных данных, обрабатываемых работодателем, а также технологий и технических средств для их обработки (п. 10 ст. 3 Закона № 152-ФЗ). То есть речь идет об обработке персональных данных автоматизированным способом (с использованием вычислительной техники). Более подробно об этом читайте в статье "Какие меры безопасности применяются при обработке персональных данных в информационных системах?".
Помимо указанных мер, рекомендуется также организовать физическую защиту носителей персональных данных, мест, где они хранятся и т. д. В частности, для этого понадобится оборудовать специальное помещение для хранения персональных данных и ограничить к ним доступ.