Власти опубликовали условия, согласно которым действия операторов в отношении персональных сведений о клиентах будут оценивать по степени риска. Речь идет о возможном вреде, который физлицо может получить вследствии противоправных манипуляций оператора.
Новшества будут действовать в течение 6 лет в соответствии со ст. 2 Приказа Роскомнадзора № 178 ─ с 01.03.2023 по 01.03.2026.
Оценка вероятного риска для граждан
В следующем году за работой органов, занимающихся обработкой личной информации граждан, будут тщательнее следить. Так, Роскомнадзор приказал оценивать деятельность на соотношение вероятного риска, который граждане могут получить. Точное описание каждой степени и порядок оценки уточнили в соответствующих требованиях.
Так, на основании первого пункта контролировать операции должен ответственный за организацию обработки. В ином случае полномочия направляют в комиссию. Проверяющий может уточнить следующие степени опасности в соответствии с действиями:
- высокую: обрабатывают данные о лицах младше 18 лет для исполнения обязательств по договорам, где несовершеннолетние граждане ─ контрагенты, идет обработка биологических, расовых сведений, обработку поручают иностранцу и т.п.;
- среднюю: сведения раскрываются широкому кругу граждан, цель обработки выходит за рамки изначальной, реклама товаров клиентам из других информационных баз, запрос на согласие по обработке данных через реализацию функционала, который впоследствии не требует аутентификации;
- низкую: оператор ведет общедоступную сеть личной информации, данные обрабатывает внештатный работник.
В то же время человеку может грозить риск разных видов. В таком случае выбирают самый высокий из них.
После определения уровня опасности данные необходимо отразить в акте. Документ включает название компании, Ф.И.О. оператора, дату формирования акта, оценивания работы, Ф.И.О. проверяющего, степень вероятного риска. Акт о контроле действий оператора можно сформировать в электронном виде. В таком формате документ подписывают УКЭП.
Оценивать степень возможной опасности нужно только при обработке данных в информационных системах. Такая мера позволит усилить безопасность личных сведений. В других ситуациях процедуру проводить необязательно.
Меры по защите персональных сведений
Для избежания угрозы индивидуальным данным граждан операторы обязаны принимать меры по их защите. Специалисты рекомендуют использовать две основные ─ документарные и технические. Первые подразумевают формирование перечня бумаг, помогающих в защите данных. А вторые нужны для защиты системы от взлома и изъятия личных данных.
Итак, что касается документарного метода, то в список базового комплекта обычно включают:
- политику относительно обработки индивидуальной информации, утверждающую категории, методы обработки, а также правила их архивации и эксплуатации;
- ЛНА: по вопросам обработки, о мерах, направленных на предупреждение правонарушений в сфере защиты персданных и ликвидацию их последствий;
- приказ о назначении сотрудника, отвечающего за организацию процесса обработки сведений;
приказ о формировании штата, имеющего доступ к персданным; - соглашение о конфиденциальности с такими сотрудниками.
По желанию руководитель компании-оператора вправе самостоятельно дополнить перечень иными документами. Однако сокращать указанный список нельзя.
Организационная и техническая безопасность подразумевать шифрование документов, регулярное обучение сотрудников в области охраны личных данных граждан. Причем способы защиты зависят от вида хранения сведений. Например, бумажный формат достаточно закрыть в сейфе, исключив доступ к ним «лишних» лиц. А вот электронную информацию тяжелее защитить. Согласно п. 6 Постановления № 1119, для подбора защитной меры предварительно надо уточнить вид угрозы. А затем в соответствии с ним выбрать один из четырех уровней защиты.
Помимо прочего, чтобы организовать эффективную защиту электронных перссведений, надо сотрудничать с федеральной системой обнаружения, профилактики и устранения последствий хакерских атак на российские ИС.