Оператор обязан обеспечивать защиту данных пользователей согласно закону.
Почему важно защищать информацию субъектовЧтобы требования закона были соблюдены, брать с посетителя сайта согласие — недостаточно. Если пользователь против, то его информацию нельзя передавать 3-им лицам. Кроме того, важно предотвратить ее утечку. Для этого, прежде всего, нужно сделать пароли на ПК и серверах, где хранятся сведения. Сотрудники не должны иметь к ним необоснованный доступ. Бумажные документы надо хранить в сейфе.
Если персональные данные пользователя станут доступны третьему лицу без его согласия, то он может обратиться в суд, чтобы взыскать с оператора компенсацию морального вреда по статье 24 ФЗ № 152.
Приведем пример.
По кредитному договору образовалась задолженность, но заемщик умер. Его наследник отказался от наследства. В кредитном договоре был указан его номер, который банк передал коллекторам, не истребовав согласие. Это повод взыскать моральный вред с банка.
Как правило, в организации есть сотрудник, который занимается защитой персональных данных. Это может быть работник колл-центра, менеджер или другое лицо. ИП обеспечивают безопасность сведений пользователей самостоятельно.
Отметим, что закон запрещает хранить персональные данные заграницей (ст. 18 ФЗ № 152 ФЗ), поэтому, арендуя хранилище, нужно узнать, где находятся серверы.
Требования к защите персональных данныхСуществуют общие требования к защите персональных данных субъекта и нюансы, касающиеся охраны информации пользователей, передаваемой заграницу.
Общие требования к защитеЛицо, которое хранит персональные данные пользователей, является оператором. Общие требования к защите информации следующие:
- Обеспечить аутентификацию, чтобы доступ к данным могли получить только те, кто имеет на это право.
- Поставить серверы с информацией в защищенном месте. Это нужно, чтобы посторонний человек не мог попасть в помещение и подключиться к серверу.
- Использовать антивирусные программы, а также межсетевые экраны, другое программное обеспечение, защищающее информацию от злоумышленников.
- Для защиты информации персонального компьютера применять сертифицированное ФСТЭК, которое признается безопасным.
Когда оператор хранит не только ФИО, но и более важную информацию, например, фотоснимки пользователей, то он должен создать более существенную защиту. Это может быть система обнаружения вторжений.
Если оператор не защищает данные должным образом, то ему грозит административный штраф. Иногда утечка информации может привести к тому, что злоумышленники узнают адрес пользователя и проникнут в его жилище. В такой ситуации оператор должен компенсировать субъекту ущерб.
Передача данных пользователя иностранной компанииЕсли данные пользователя передаются иностранной компании, то должна обеспечиваться их должная защита.
Когда оператор передает сведения пользователей заграничным организациям (трансграничная передача), то он должен прописать страны, принимающие информацию.
Существует список государств, обеспечивающих должную защиту информации при ее трансграничной передаче (статья 12 ФЗ «О персональных данных»). Ими могут выступать стороны Конвенции № 108 от 28.01.1981 года. Всего этот документ подписали 47 государств, имеющих членство в Совете Европы. Речь идет, например, о Франции, Хорватии, Италии. Полный перечень стран указывается в Приказе Роскомнадзора № 274 от 15 марта 2013 года. В приказ неоднократно вносились правки. Сейчас там указано около 30 стран.
Перед тем, как передавать информацию, оператор должен убедиться в том, что государство-получатель должным образом защищает права субъектов персональных данных. Для этого нужно проверить, входит ли оно в указанный перечень.
Закон не запрещает передавать информацию на территории стран, не гарантирующих полноценную защиту прав субъектов персональных данных. Однако для этого требуется соблюдение условий:
- Субъект предоставил свое письменное согласие на трансграничную передачу информации.
- Право на данную передачу указано в международных договорах РФ.
- Закон допускает трансграничную передачу персональных данных, поскольку это требуется в интересах государства, людей, а также для других целей.
- Нужно выполнить условия договора, подписанного субъектом.
- Это необходимо для защиты его жизни или здоровья (либо других лиц).
Этот перечень считается исчерпывающим.
Закон устанавливает: субъект имеет право знать, что оператор хочет совершить трансграничную передачу данных или уже совершил ее. Кроме того, оператор должен сообщить в Роскомнадзор о трансграничной передаче данных до ее начала.
Мы выяснили, что согласие на трансграничную передачу требуется, если оператор хочет передать сведения ненадежной стране. Оно состоит из трех частей:
- Часть первая. В ней указывают, какому оператору направляют документ, а также ФИО субъекта и его паспортные данные, например, «в ООО «Сервис» от А.А. Смирнова, паспорт (серия, номер).
- Часть вторая. Здесь повторно указывают информацию из шапки, а также сообщают, какие сведения передаются, каковы цели, форма передачи информации. Например, прописывают, что передают ФИО человека, чтобы определить, соответствует ли он требованиям зарубежной вакансии.
- Часть третья. В ней указывают срок действий согласия, а также право субъекта отозвать документ в свободной форме.
Хранение данныхО «хранении» персональных данных говорят, если информация содержится на серверах, флешках, жестких дисках, в облаке или в бумажном варианте.
Требования к хранению:
- Надо хранить количество данных, достаточное для обработки.
- Сведения нужно хранить так, чтобы можно было установить субъекта.
- Если данных недостаточно либо они недостоверные, то оператор должен их уточнить или удалить.
- Базы данных с разными персональными данными пользователей запрещается объединять.
- По завершении обработки персональные данные нужно обезличить или уничтожить.
- Если оператор предоставляет персональные данные в другую страну, то он должен убедиться в том, что там есть оптимальная система защиты, а субъект дал свое письменное согласие.
Федеральным законом № 149 устанавливаются основные правила хранения персональных данных, о которых речь пойдет ниже.
Так, субъект имеет право в любое время запросить у оператора информацию о том, какие данные у него имеются, где и кем они хранятся. Также он вправе требовать удалить неактуальные или недостоверные данные.
Важно: оператор отвечает за все, что случается с персональными данными, даже если передал их третьим лицам для обработки. Он должен обеспечить надлежащую защиту информации и предотвратить ее попадание в руки злоумышленников. Например, если банк собрал базу сканов паспортов, а они попали к мошенникам, то он будет отвечать.
По этой причине, системы хранения данных должны хорошо защищаться. Уровни защиты указаны в 21 приказе ФСТЭК и определяются категорией персональных данных:
- Первый уровень защиты. Для особых данных, подлежащих самой сильной защите. Использование такой информации злоумышленниками может нанести пользователю серьезный ущерб, поэтому должна обеспечиваться безотказная работа серверов.
- Второй уровень защиты. Для биометрических данных (первый уровень защиты тоже допускается). Чтобы уберечь такую информацию, используют резервное копирование и системы обнаружения вторжений.
- Третий уровень защиты для других данных. Здесь достаточно ограничить доступ к системам.
- Четвертый уровень защиты для общедоступной информации. Для нее хватает простой защиты, например, использования антивирусной программы. Общедоступные данные пользователей находятся в открытом доступе, поэтому особой необходимости защищать их нет.
- Общие требования к защите указаны в Приложении к приказу. Их насчитывается более 100, но есть общие для всех:
- Сделать так, чтобы серверы находились в защищенном месте.
- Ограничить доступ к серверам, чтобы к ним нельзя было подключиться напрямую.
- Разрешить доступ к данным только лицам, у которых есть права на это.
- Установить программное обеспечение, защищающее от угроз.
- Применять программное обеспечение, у которого есть сертификат ФСТЭК.
- Установить подходящий уровень защиты данных пользователей и обеспечить ее.
Важно: если операция хранится в центре обработки данных, то надо убедиться, что у него есть аттестат, подтверждающий соответствие требованиям приказа ФСТЭК. Аттестат гарантирует защиту информации. Как правило, в аттестованных центрах обработки данных допускается хранить информацию пользователей по первому и второму уровням защиты.