О персональных данных
Данная статья-гайд призвана внести ясность в тему персональных данных в Entertainment-бизнесе. Здесь вы сможете найти ответы на следующие вопросы:
- Что такое персональные данные?
- Являюсь ли я обработчиком персональных данных?
- Что делать, если я обработчик персональных данных?
- Другие частые вопросы.
Персональные данные
Чтобы ответить на вопрос о том, нужно ли Вам оформляться как обработчик персональных данных, разберем, что же на самом деле является персональными данными.
"Персональные данные" - термин, который мы употребляем практически не задумываясь о его законодательном применении. В действительности же, персональные данные - это, как правило, два и более атрибутов, с помощью которых можно идентифицировать человека. Приведем примеры:
"Персональные данные" - термин, который мы употребляем практически не задумываясь о его законодательном применении. В действительности же, персональные данные - это, как правило, два и более атрибутов, с помощью которых можно идентифицировать человека. Приведем примеры:
Кто может являться обработчиком?
С понятием о персональных данных определились. Исходя из этого можем сделать следующие выводы:
- Если у вас есть оформленные сотрудники - вы являетесь обработчиком персональных данных.
- Если вы собираете номера телефонов и/или набор данных клиента, которые могут быть использованы для точной идентификации клиента - вы являетесь обработчиком персональных данных.
Важно отметить, что это не какие-то "специальные" условия для Entertainment бизнеса. Это справедливо даже если у вас кофейня с 1 сотрудником помимо вас самих, так как нанимая сотрудника вы уже осуществляете обработку персональных данных. Таков закон.
Я обработчик персональных данных, какой план?
Итак, вы обработчик персональных данных, это не страшно, главное выполнить ряд процедур по 152-ФЗ, а именно:
Отправить уведомление в РКН
Уведомить Роскомнадзор можно, отправив письмо на бумаге, либо онлайн. Для отправки уведомления онлайн вам потребуется электронная подпись или учетная запись ЕСИА.
Начав заполнение заявления в РКН вы можете столкнуться со следующими вопросами:
Цели обработки персональных данных
Цели обработки персональных данных
В одном заявлении может быть указано сразу несколько целей, например, для базы сотрудников - "Ведение кадрового и бухгалтерского учета", для базы клиентов - "иная"
Чтобы добавить несколько целей сразу, необходимо нажать кнопку "Добавить цель", которая находится внизу раздела "Цели обработки"
После добавления вам станут доступны наборы данных для нескольких целей.
Для переключения между целями необходимо подняться в начало раздела.
Для переключения между целями необходимо подняться в начало раздела.
Итак, заполним раздел Цели обработки
- Цель обработки ПД (для базы сотрудников, например в 1С, выбираем "Ведение кадрового и бухгалтерского учета", для базы клиентов - "иная").
- Категории персональных данных (выбираете из графы "Персональные данные" в соответствии с обрабатываемой информацией. НЕ ПРОСТАВЛЯЙТЕ данные из разделов "Специальные категории персональных данных" и "Биометрические данные" - это нужно только специальному бизнесу и требует особых мер защиты )
- Категории субъектов, персональные данные которых обрабатываются (для сотрудников проставляем - "сотрудники", для клиентов - "клиенты")
- Правовое основание обработки персональных данных (выбираем пункт "обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;")
- Перечень действий (вне зависимости от цели обработки рекомендуется указывать следующий набор действий. Ваш набор может отличаться в зависимости от потребностей)
- Способы обработки:
c/без передачи по внутренней сети - указывается в зависимости от того, передаются у вас данные по внутренней сети или нет.
с/без передачи по сети Интернет - указывается в зависимости от того, передаются у вас данные по сети Интернет или нет.
Приведем примеры:
Gizmo сервер установлен на сервере в клубе, Проброс портов из внешней сети не настроен или не используется (в большинстве случаев), значит данные передаются по внутренней сети и не передаются по сети Интернет.
Вы используете облачное решение 1С, в таком случае данные не передаются по внутренней сети и передаются по сети Интернет.
Вы используете облачное решение 1С, в таком случае данные не передаются по внутренней сети и передаются по сети Интернет.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
В данном разделе необходимо указать набор правовых, организационных и технических средств, которые вам необходимо применить/выпустить сразу после подачи заявления, а лучше даже до подачи (список ниже в статье). Итак, необходимо указать:
Давайте подробнее разберемся с техническими средствами.
152-ФЗ не регламентирует перечень технических средств при работе с персональными данными, однако, его регламентирует ПП-1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
В этом документе регламентированы и категории персональных данных и модели угроз. В кратце, основное, что нас интересует из данного документа - это определение мер, которыми необходимо защитить персональные данные. Меры делятся на 4 уровня защищенности.
В рамках данной статьи мы разберем самый популярный 4ый уровень защищенности, который применяется в случае:
В данном разделе необходимо указать набор правовых, организационных и технических средств, которые вам необходимо применить/выпустить сразу после подачи заявления, а лучше даже до подачи (список ниже в статье). Итак, необходимо указать:
- Политика персональных данных
- Определение угроз
- Распорядительный документ о назначении ответственного
- Приказ об утверждении списка лиц, имеющих доступ к работе с персональными данными по служебной необходимости
- Правила обработки персональных данных
- Порядок доступа к серверу (только если сервер расположен у вас)
- Акт классификации
- Распорядительный документ об утверждении согласия на обработку персональных данных
- Акт ознакомления сотрудников с политикой персональных данных и 152-ФЗ
- Приказ о проведении проверки используемых технических мер защиты персональных данных на соответствие минимальному перечню мер, обозначенных в Приказе ФСТЭК России от 18.02.2013 N 21
- Акт о проведении проверки используемых технических мер защиты персональных данных на соответствие минимальному перечню мер, обозначенных в Приказе ФСТЭК России от 18.02.2013 N 21
- Технические средства (перечень средств, которые необходимо указать, описан ниже)
Давайте подробнее разберемся с техническими средствами.
152-ФЗ не регламентирует перечень технических средств при работе с персональными данными, однако, его регламентирует ПП-1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
В этом документе регламентированы и категории персональных данных и модели угроз. В кратце, основное, что нас интересует из данного документа - это определение мер, которыми необходимо защитить персональные данные. Меры делятся на 4 уровня защищенности.
В рамках данной статьи мы разберем самый популярный 4ый уровень защищенности, который применяется в случае:
Что нужно для обеспечения 4ого уровня защищенности?:
На данном этапе нас интересует 4 пункт, из которого следует, что у нас должны быть средства защиты информации (СЗИ), прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Как ни странно, описание этих мер содержится в отдельном документе, а именно в Приказе ФСТЭК России от 18.02.2013 N 21. Из приложения этого документа следует, что большинство мер для 4ого уровня защищенности стандартные (разграничение прав доступа, аутендификация и др.), однако есть и специальные - сертифицированные антивирусные решения:
К таким решениям, в частности, относятся:
- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечение сохранности носителей персональных данных;
- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
На данном этапе нас интересует 4 пункт, из которого следует, что у нас должны быть средства защиты информации (СЗИ), прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Как ни странно, описание этих мер содержится в отдельном документе, а именно в Приказе ФСТЭК России от 18.02.2013 N 21. Из приложения этого документа следует, что большинство мер для 4ого уровня защищенности стандартные (разграничение прав доступа, аутендификация и др.), однако есть и специальные - сертифицированные антивирусные решения:
К таким решениям, в частности, относятся:
Обращаем внимание, что использование облачного сервера (Cloud) или SaaS-сервиса, которые соответствует 152-ФЗ, не означает,что на вас не распространяются пункты 3 и 4 требований для обеспечения 4ого уровня защищенности.
При использовании Cloud решений, соответствующих 152-ФЗ, вы освобождаетесь от обязательств только по пунктам 1 и 2 (ограниченный доступ в помещение, сохранность носителей).
При использовании Cloud решений вам все равно необходимо определить перечень лиц, которые допущены к обработке персональных данных, а также приобрести и использовать сертифицированные Средства защиты информации, так как вы имеете доступ к базе с персональными данными.
Итак, заполним данный пункт, основываясь на вышесказанном:
- Технические средства:
а) Антивирусная защита - Kaspersky или Dr.Web (выбрать, приобрести, вписать и использовать)
б) Сетевая защита - включена по умолчанию на сервере Windows, а также включена на большинстве маршрутизаторов (вписать)
в) Системные обновления - включены по умолчанию в Windows сервере (вписать)
г) Идентификация и аутентификация - вписать
д) Управление доступом - вписать
е) Регистрация событий безопасности - вписать
ж) Защита среды виртуализации - вписать
з) Обеспечение защиты персональных данных при ее передаче по каналам связи, имеющим выход за
пределы контролируемой зоны - вписать
Продолжим заполнение:
Средства обеспечения безопасности
Использование шифровальных (криптографических) средств
Не используются в 99% случаев в обычных системах, но используются, например, в бухгалтерии в 1С при отправке отчетов и подписании их ЭЦП / ЭП (Электронная подпись). Если используется - потребуется информация для заполнения, указанная в лицензии СКЗИ КриптоПро или аналога (например VipNet).
б) Сетевая защита - включена по умолчанию на сервере Windows, а также включена на большинстве маршрутизаторов (вписать)
в) Системные обновления - включены по умолчанию в Windows сервере (вписать)
г) Идентификация и аутентификация - вписать
д) Управление доступом - вписать
е) Регистрация событий безопасности - вписать
ж) Защита среды виртуализации - вписать
з) Обеспечение защиты персональных данных при ее передаче по каналам связи, имеющим выход за
пределы контролируемой зоны - вписать
Продолжим заполнение:
Средства обеспечения безопасности
- Изолированное помещение (указать, если не Cloud)
- Технические средства (повторить пункт "Технические средства" из предыдущего раздела)
Использование шифровальных (криптографических) средств
Не используются в 99% случаев в обычных системах, но используются, например, в бухгалтерии в 1С при отправке отчетов и подписании их ЭЦП / ЭП (Электронная подпись). Если используется - потребуется информация для заполнения, указанная в лицензии СКЗИ КриптоПро или аналога (например VipNet).
Дата начала обработки персональных данных
Указывается число, которое будет указано на распорядительных документах. Если покупаете антивирусные решения - учтите что дата покупки должна быть меньше или равна дате начала обработки персональных данных.
Срок или условие прекращения обработки персональных данных
Желательно выбирать "Условия окончания" и прописать: Ликвидация компании или запрос, полученный от субъекта персональных данных.
Осуществление трансграничной передачи персональных данных
Указывается, если вы используете зарубежный сервер. В 99% случаев трансграничная передача не используется. Трансграничная передача требует дополнительных мер защиты, не обозначенных в данной статье.
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Указывается число, которое будет указано на распорядительных документах. Если покупаете антивирусные решения - учтите что дата покупки должна быть меньше или равна дате начала обработки персональных данных.
Срок или условие прекращения обработки персональных данных
Желательно выбирать "Условия окончания" и прописать: Ликвидация компании или запрос, полученный от субъекта персональных данных.
Осуществление трансграничной передачи персональных данных
Указывается, если вы используете зарубежный сервер. В 99% случаев трансграничная передача не используется. Трансграничная передача требует дополнительных мер защиты, не обозначенных в данной статье.
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Тут также, как и в "Целях обработки данных", можно указать сразу несколько серверов, например Gizmo и 1С.
Страна: Россия (для наших клиентов в РФ)
Адрес: если сервер у вас в клубе - адрес клуба, в противном случае адрес ЦОД. Адрес ЦОД можно найти на сайте вашего облачного провайдера, либо уточнить напрямую от провайдера. Например, адреса серверов Selectel указаны на странице.
Собственный ЦОД: Указываете "Да", если сервер расположен у вас в помещении, указываете "Нет", если вы арендуете сервер в облаке.
Адрес: если сервер у вас в клубе - адрес клуба, в противном случае адрес ЦОД. Адрес ЦОД можно найти на сайте вашего облачного провайдера, либо уточнить напрямую от провайдера. Например, адреса серверов Selectel указаны на странице.
Собственный ЦОД: Указываете "Да", если сервер расположен у вас в помещении, указываете "Нет", если вы арендуете сервер в облаке.
Сведения об обеспечении безопасности персональных данных
Указать, в соответствии с уровнем защищенности
Для обеспечения 4ого уровня защищенности, указать:
Указать, в соответствии с уровнем защищенности
Для обеспечения 4ого уровня защищенности, указать:
- организация режима обеспечения безопасности помещений;
- обеспечение сохранности носителей персональных данных;
- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Итак, мы разобрали основные вопросы по заполнению заявления в РКН. Теперь перейдем к документам.
Подготовить и утвердить документы
- Политика персональных данных
Политика персональных данных - один из самых важных документов по 152-ФЗ, необходимых к утверждению.
Важно, чтобы данные, которые вы указали в заявлении в РКН, совпадали с вашей Политикой.
Для формирования Политики персональных данных вы можете воспользоваться удобным конструктором или разработать ее по образцу РКН
Политику необходимо разместить в интерфейсе программы Gizmo (инструкция будет ниже)
Также настоятельно рекомендуется разместить Политику в уголке потребителя.
- Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора
Шаблон типового приказа можно найти по ссылке
- Согласие субъекта персональных данных на обработку его персональных данных (для сотрудников)
Шаблон типового согласия для сотрудников можно скачать по ссылке.
Согласие необходимо утвердить приказом или распоряжением.
Согласие необходимо подписать каждому сотруднику.
- Согласие субъекта персональных данных на обработку его персональных данных (для клиентов)
Шаблон типового согласия для клиентов можно скачать по ссылке.
Согласие необходимо утвердить приказом или распоряжением.
Согласие необходимо разместить в интерфейсе программы Gizmo (инструкция будет ниже)
- Приказ об утверждении списка лиц, имеющих доступ к обработке персональных данных
- Правила обработки персональных данных
Правила обработки персональных данных утверждаются приказом.
Образец правил можно найти по ссылке.
- Порядок доступа (только, если сервер расположен у вас)
Шаблон порядка доступа можно скачать по ссылке.
Порядок доступа необходимо утвердить приказом.
- Акт классификации
Шаблон акта классификации можно найти по ссылке.
Акт классификации в шаблоне соответствует 4 уровню защищенности.
Для каждой системы (1С, Gizmo и др.) необходим отдельный акт классификации.
- Акт ознакомления ответственных сотрудников с Порядком доступа, Правилами обработки персональных данных и 152-ФЗ
- Приказ о проведении проверки используемых технических мер защиты персональных данных на соответствие минимальному перечню мер, обозначенных в Приказе ФСТЭК России от 18.02.2013 N 21
В приказе необходимо указать лицо, которому необходимо произвести проверку.
- Акт о проведении проверки используемых технических мер защиты персональных данных на соответствие минимальному перечню мер, обозначенных в Приказе ФСТЭК России от 18.02.2013 N 21
В акте необходимо указать минимальный перечень технических мер, которому соответствует ваша система. Для каждой системы отдельный акт.
Минимальный перечени мер для 4ого уровня защищенности:
ИАФ.1, ИАФ.3-6, УПД.1-6, УПД.13-16, РСБ.1-3, РСБ.7, АВЗ.1-2, АНЗ.2, ЗСВ.1-2, ЗТС.3-4, ЗИС.3
Расшифровку мер можно взять из приложения к приказу ФСТЭК
ИАФ.1, ИАФ.3-6, УПД.1-6, УПД.13-16, РСБ.1-3, РСБ.7, АВЗ.1-2, АНЗ.2, ЗСВ.1-2, ЗТС.3-4, ЗИС.3
Расшифровку мер можно взять из приложения к приказу ФСТЭК
- Бухгалтерский учет сервера и SSD./Жестких дисков сервера (в случае, если сервер у вас в собственности)
- Модель угроз
Самый общирный документ для разработки.
Шаблон модели можно посмотреть здесь.
Модель необходима для каждой системы.
Тема модели угроз достаточно обширна и индивидуальна в каждом случае, поэтому выходит за рамки данной статьи.
После завершения подготовки и утверждения документов перейдем к технической части
Техническая часть
По технической части необходимо:
Приобрести:
Приобрести:
Обращаем внимание, что в обоих вариантах, вы приобретаете не просто дистрибутив, но и комплект необходимых документов.
В случае c Dr.Web вы приобретаете 5 лицензии на ПК и 1 лицензию на сервер. Сэкономить, к сожалению, не получится, так как приобретение менее 5 лицензий не предусмотрено.
В случае с Kaspersky минимальное количество лицензий - 10. Сэкономить также, к сожалению, не получится.
Если у вас Свой сервер:
Если у вас арендованный Облачный сервер или SaaS-сервис:
- Установите антивирус на ПК, на которых предполагается обработка (запись/чтение) персональных данных.
- Установите антивирус на сервер.
Если у вас арендованный Облачный сервер или SaaS-сервис:
- Установите антивирус на ПК, на которых предполагается обработка (запись/чтение) персональных данных.
Также, не забудьте разместить Политику и Согласие в личном кабинете пользователя. Сделать это можно по инструкции.
Есть вопрос!
Ниже мы собрали наиболее частые вопросы от наших партнеров.
Из данной статьи выходит, что разница между Облачными решениями/Арендными серверами по 152-ФЗ/SaaS решениями и собственным сервером в 1-2 одностраничных нормативных актах, так как приобретение антивируса с пакетом лицензий и разработка комплекта документов необходимы в обоих случаях. Это так?
Да, это действительно так, но важно понимать, что это справедливо далеко не для всех наборов персональных данных. В данной статье мы рассмотрели наиболее распространенный случай. Однако, если вы собираетесь обрабатывать, например, специальные или биометрические данные, то в случае собственного сервера могут понадобиться дорогостоящее оборудование защиты (Межсетевые экраны по типу Континент и пр.)- тут Cloud решения будут иметь весомые преимущества, правда, важно четко понимать различие между арендованным облачным сервером или SaaS решением. В случае сервера (арендованного в облаке или личного) - данные ваши, а в случае SaaS решения данные вам не принадлежат и дополнительно могут быть использованы в рамках пользовательского соглашения SaaS провайдера, что для многих клиентов неприемлемо.
У меня сервер и/или ноутбук/компьютер не арендован и не числится на балансе и на нем есть доступ к чтению персональных данных. Надо ставить на баланс данные устройства?
Да, обязательно.
Какие меры предусмотрены за невыполнение требований РКН?
Штрафы, Штрафы и Штрафы. Все зависит, конечно, от типа данных, количества данных и нарушении. За неуведомление РКН от 100 000 руб. (Невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПД) до 3 000 000 руб.(Невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора в случае утечки ПД, повлекшей нарушение прав субъектов персональных данных). Штрафы за утечку данных также начинаются от 3 млн. руб..