Ответ на вопрос коллеги: Меры защиты персональных данных в базах данных

Вопрос: Какие меры защиты персональных данных предпринимаются владельцами баз данных – инициаторами внедрений в регионах, на чьем оборудовании и чьими силами осуществляется сопровождение и администрирование соответствующей системы в отдельно взятом регионе?

Ответ: К моей сфере компетенции этот вопрос относится лишь частично, поэтому отвечаю в меру своих знаний и с оговоркой, что не являюсь специалистом по техническим мерам информационной безопасности.

Итак, начну с вопроса как он поставлен – меры защиты ПДн. Одними техническими мерами ни одна проблема в области информационной безопасности никогда не решается, поэтому необходимо использовать комплекс правовых, организационных, технических и образовательных мер.

Правовые меры – это разработка федерального и регионального законодательства и внутренней нормативной базы организации по вопросам обработки персональных данных. Хорошо продуманная законодательно-нормативная база должна поощрять добросовестное отношение к защите персональных данных и предусматривать достаточно болезненные карательные меры за нарушения. Она также должна защищать организацию от претензий субъектов персональных данных и регулятора, легализуя обработку персональных данных. Крайне важно правильно сформулировать цели и сроки обработки, увязав их с требованиями иного применимого к этим данным законодательства и существующим срокам хранения документов. Должно быть продумано, как в случае необходимости организация будет доказывать регулятору и в суде своё соответствие требования и добросовестность действий.

Среди организационных мер ключевой по важности является создание системы наподобие системы менеджмента качества, позволяющей эффективно и законно обрабатывать ПДн, вести мониторинг ситуации и своевременно принимать корректирующие меры. Очень важно научиться не собирать, не хранить, не обрабатывать и своевременно уничтожать ненужные персональные данные; и по возможности обезличивать наборы ПДн, если основная цель их обработки – получение статистических данных.

Технические меры по существу ровно те же, что и меры по обеспечению информационной безопасности в целом. Точно так же могут понадобиться сертификаты соответствия ФСБ и ФСТЭК.

Образовательные меры должны, в частности, включать инструктаж на рабочем месте и более детальное ознакомление персонала с законодательством о ПДн и с ответственностью за нарушения. Люди должны понимать, что умышленная или неумышленная утечка по их вине ПДн может оставить их без штанов и без будущего, и даже привести в тюрьму. У сотрудников не должно быть иллюзий насчёт безнаказанности, причём особенное внимание нужно уделить более молодым членам коллектива. Они должны также чётко понимать, что можно делать, чего нельзя, и к кому обращаться в сомнительных ситуациях. Соответствующий персонал должен быть проинструктирован, как реагировать на жалобы и обращения граждан по поводу обработки их ПДн, причём желательно иметь заготовленные типовые ответы для наиболее распространённых обращений.

Для выработки комплекса мер в идеале должна создаваться междисциплинарная группа специалистов, обязательно включающая юристов, ИТ, ИБ, ДОУ и представителей работающих с ПДн подразделений, а также кадровой службы.

Вторая сторона вопроса – не собственно защита данных, а правовая защита организации на случай конфликтных ситуаций. Помимо упомянутых выше мер, сюда входя меры по получению, сохранению и отработке требований об отзыве согласий на обработку ПДн. Образовательные меры в таком случае могут включать своевременное информирование субъектов ПДн о политике обработке данных, что может уменьшить количество жалоб.

В законе о персональных данных установлено, что всю ответственность перед субъектом персональных данных несет оператор персональных данных, даже в тех случаях, когда он передал ПДн на обработку третьему лицу.

Федеральный закон от 02.05.2006 N 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»

Статья 6. Гарантии безопасности гражданина в связи с его обращением
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Также стоит обратить внимание на то, что порядок обработки ПДн в государственных или муниципальных информационных системах может быть установлен федеральными законами.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных…

К сожалению, законодательные нормы постоянно отстают от реальной практики работы, в том числе и при работе с обращениями граждан. Это касается и использования информационных систем для обработки персональных данных.

Вопрос: На какие правовые вопросы стоит обратить внимание, какой набор документов должен быть для того, чтобы в единой базе данных могли вести обработку персональных данных граждан органы власти субъектов РФ, которые в свою очередь являются разными юридическими лицами?...

Ответ: Начать надо с привлечения к этой работе юриста организации (или юристов, если заинтересованных сторон несколько).

С моей точки зрения, очень важны:

• Четко определенная правовая основа для обработки ПДн,


• Четкое определение того, кто является оператором каких ПДн, а кто – их обработчиком; кто и за что несёт ответственность;


• Полно и правильно сформулированные цели обработки ПДн, в полной мере учитывающие не только положения Закона о персональных данных, других законов, определяющих особенности обработки ПДн в специфических случаях, но и иного законодательства (например, Налогового кодекса и закона о бухгалтерском учёте, и т.д.).


• Четко определенный и сведенный к минимуму состав собираемых и обрабатываемых ПДн,


• Продуманная система доступа к данных, способная доказуемо обеспечить доступ к ним лишь тем, кто имеет на это право и кому они нужны для исполнения своих обязанностей.