Редакция как оператор персональных данных. Новый закон о персональных данных ударит по журналистам Распространение персональных данных в сми

Защита персональных данных и СМИ.

Обязательные требования Федерального закона «О персональных данных».

Свободный доступ граждан к информации ограничивается правом каждого отдельного человека на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Охрана личной жизни поддерживается всеми правовыми документами: нормами международного права , Конституцией РФ, уголовным, гражданским, специализированным законодательством.

Права и свободы – оговорены в Конституции, во всем массиве российского законодательства и в том числе в законе о персональных данных.

Принятие Федерального Закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» направлено на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации.

В законе используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

5) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Основными задачами Роскомнадзора, как уполномоченного органа по защите прав субъектов персональных данных, являются в том числе:

Обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных;

Ведение реестра операторов, осуществляющих обработку персональных данных, а также проверка сведений, содержащихся в уведомлении об обработке персональных данных;

Рассмотрение обращений субъектов персональных данных, а также принятие в пределах своих полномочий решений по результатам их рассмотрения.

В соответствии с ч. 1 ст. 22 Федерального закона оператор до начала обработки персональных данных обязан уведомить Уполномоченный орган о своем намерении осуществлять обработку персональных данных. Операторы, осуществляющие обработку персональных данных, обязаны направить в Уполномоченный орган уведомление об обработке персональных данных.

«Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе…» А почему человек захочет давать информацию СМИ о себе, какой ему в этом интерес? Это просто. Публичным людям это дает популярность, общественный авторитет , повышает рейтинг. Политики, бизнесмены готовы платить за материалы о себе - и не только во время предвыборных кампаний. Имидж - это одно из слагаемых успеха и бизнеса, и политики.

Но в журналистском арсенале есть не только и не столько положительные материалы, но и критика, расследования, разоблачения. Журналисты расследуют служебную деятельность и решения чиновников, критикуют органы власти, финансово-промышленные группы, разоблачают коррупцию. Здесь всегда встает вопрос, на что готовы пойти конкретные СМИ при публикации подобных материалов, какую цену они готовы заплатить за отстаивание интересов общества и конкретных людей. Если они уверены в своей правоте, то готовы судиться и с конкретными людьми, и с целыми структурами.

Что может изменить в этой ситуации закон о персональных данных? Понятно, что герой коррупционного скандала не даст согласие на публикацию своей фамилии «своей волей и в своем интересе». К своим искам о защите чести и достоинства, о клевете или о защите деловой репутации он прибавит иск о нарушении прав субъекта персональных данных. Это только еще один возможный риск при «осуществлении профессиональной деятельности журналиста».

Закон не содержит прямых ограничений для журналистов, но в правоприменительной практике, возможны ситуации, когда некоторые ограничения могут возникнуть. Будем надеяться, что правоприменительная практика все же будет развиваться в благоприятном для прессы направлении.

Таким образом, закон и этические нормы профессии журналиста за то, чтобы не публиковать сведения, касающиеся частной сферы. Как сказал один известный политик, «человек должен иметь свое личное пространство, куда можно войти только по приглашению».

Разглашение персональных данных 137 УК РФ при определенных условиях дает возможность признать основанием для привлечения человека к уголовной ответственности. В нашей статье будут рассмотрены условия возникновения этой ответственности, в том числе в отношении лиц, имевших в силу служебного положения доступ к таким данным и разгласивших их.

Что такое персональные данные

Закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) определяет персональные данные (далее — ПД) как всякую косвенно или напрямую относящуюся к физическому лицу (носителю ПД) информацию. Организации, индивидуальные предприниматели, государственные и муниципальные органы, а также прочие хозяйствующие субъекты в ходе своей деятельности получают и обрабатывают большой объем такой информации в отношении как своих работников, так и других граждан.

В частности, ими могут быть получены:

• данные о личности человека (паспортные данные, сведения об образовании, трудовой деятельности, военной службе, финансовом и семейном положении, медицинские данные, биографические факты);
• данные о родственниках человека;
• прочие сведения, с помощью которых можно идентифицировать человека (переписка, сведения о полученных и отправленных сообщениях, телефонных контактах).

Получение ПД должно производиться по общему правилу с согласия субъекта ПД (за исключением некоторых случаев, перечисленных в ст. 6 закона № 152-ФЗ). Обрабатывать ПД (в том числе распространять) можно только в соответствии с принципами, определенными ст. 5 того же закона, — и только в законных и заранее установленных целях, на законной основе и т. д. В противном случае возможно привлечение нарушителей к ответственности, в том числе уголовной — по ст. 137 УК РФ.

В организациях доступ к ПД обычно в силу служебных обязанностей имеют лишь руководители, сотрудники бухгалтерии, юридической и кадровой служб, а в государственных (особенно правоохранительных) и муниципальных органах он может быть и у множества рядовых сотрудников. Если такие работники будут использовать соответствующие ПД не по назначению, их может ожидать ответственность по ч. 2 или 3 ст. 137 УК РФ (наказание по которым гораздо строже, чем по ч. 1).

Разглашение персональных данных. Объект и предмет преступления

Уголовно наказуемое разглашение ПД посягает на отношения по обеспечению гарантированного конституцией РФ права на неприкосновенность частной жизни.

При этом разглашение ПД наказуемо по ч. 1 и 2 ст. 137 УК РФ лишь при условии, что эти данные соответствуют описанию предмета преступления, а именно:

• являются сведениями о частной жизни;
• относятся к семейной или личной тайне.

Определение понятия «частная жизнь» можно найти в судебной практике, согласно которой частной жизнью (в противовес общественной) признается жизнедеятельность индивида в сфере межличностных, семейных, интимных, бытовых отношений, неподконтрольных государству и обществу (определение КС РФ от 9.06.2005 № 248-О). Кроме того, в целях гражданско-правовой охраны частной жизни ст. 152.1 ГК РФ определяет, что информацией о ней являются сведения о личной и семейной жизни человека, его месте пребывания/жительства и происхождении.

Понятия «личная тайна» и «семейная тайна» являются оценочными. Наука уголовного права толкует их следующим образом:

• к личной тайне следует относить любой факт биографии лица, который он не желает обнародовать (состояние здоровья, принадлежность к политическим движениям, род деятельности, материальное положение и т. д.);
• семейная тайна отличается от личной по кругу носителей (сведения о внутрисемейных отношениях, образе жизни семьи, бытовых условиях и т. п.).

С 2013 года ст. 137 УК РФ дополнена ч. 3, предусматривающей особый предмет — данные, указывающие на личность потерпевшего по уголовному делу в возрасте до 16 лет, либо описание полученных таким потерпевшим моральных и физических страданий. Данные такого рода также относятся к ПД, так как по ним можно идентифицировать личность.

Разглашение каких персональных данных уголовно наказуемо (судебная практика)

Практика судов общей юрисдикции показывает, что понятие личной тайны трактуется предельно широко, в связи с чем привлечение к ответственности по ст. 137 УК РФ возможно за разглашение практически любых ПД. Отношение тех или иных сведений к личной или семейной тайне устанавливается на основании показаний потерпевшего.

Не знаете свои права?

Например, были признаны составляющими личную тайну:

• Ф. И. О., адрес, паспортные данные, дата рождения, абонентский номер (постановление Стерлитамакского городского суда Республики Башкортостан от 19.04.2012 по делу № 1-249/12);
• детализация телефонных соединений (приговор Соликамского городского суда Пермского края от 16.11.2011 по делу № 1-511/11);
• сведения о перемещениях автомобиля (приговор мирового судьи СУ № 28 г. Самары от 25.02.2015 по делу № 1-6/2015).

Статья о распространении персональных данных, характеристика деяния

Объективная сторона преступления, рассматриваемого в ч. 1 и 2 ст. 137 УК РФ, описана альтернативно следующими действиями в отношении соответствующих сведений:

1. Сбор.
2. Распространение.
3. Распространение специальным способом: в СМИ, публичном произведении или в выступлении.

Для привлечения к ответственности необходимо, чтобы эти действия совершались:

• незаконно (с любым нарушением процедуры, установленной законодательством);
• без согласия субъекта ПД.

Как правило, незаконному распространению ПД предшествует их сбор. Трактовка понятия «распространение» в уголовном законе более широкая, нежели в законе № 152-ФЗ. Так, согласно п. 5 ст. 3 закона № 152-ФЗ, распространением ПД является их раскрытие неопределенному кругу лиц. Для привлечения же к ответственности за разглашение ПД по ст. 137 УК РФ достаточно сообщить их хотя бы одному человеку.

Для привлечения к ответственности по ч. 1 и 2 ст. 137 УК РФ неважно, наступили ли в результате действий какие-либо последствия, т. е. преступление имеет формальный состав. В ч. 3 рассматриваемой статьи деяние описано особо: публичное распространение (в СМИ, информационных сетях, выступлении или произведении) сведений о подростке младше 16 лет, выступающем потерпевшим по уголовному делу.

При этом для привлечения к ответственности за такое деяние необходимы альтернативно описанные последствия, чье наступление обусловлено деянием (перечень открытый):

• вред здоровью несовершеннолетнего;
• психическое расстройство несовершеннолетнего;
• другие тяжкие последствия (к ним можно отнести, например, суицид, совершенный несовершеннолетним потерпевшим).

Субъективные признаки разглашения персональных данных

Разглашение ПД совершается только умышленно, вид умысла — прямой. Это означает для ч. 1 и 2 ст. 137, что виновный понимает опасность своих действий (разглашения ПД) и имеет твердое намерение их совершить. Для ч. 3 же возможен и прямой, и косвенный умысел. Это означает, что появляется отношение к последствиям действий, осознание их неизбежности или возможности наступления.

Ответственность по ст. 137 УК РФ наступает с 16-летнего возраста, однако для привлечения к ответственности по ч. 2 указанной статьи необходим специальный признак — использование виновным для разглашения ПД своего служебного положения.

ВАЖНО! Признак использования служебного положения не означает, что совершить преступление может только должностное лицо (в том смысле, как оно понимается уголовным законом). Использовать служебные возможности может любой работник, имеющий в силу должности доступ к ПД, т. е. конкретное место службы значения не имеет.

Определяющим критерием при установлении последнего признака служит то, что совершить преступление человеку позволили именно служебные возможности. Например, это может быть сотрудник кадрового подразделения предприятия, обладающий в силу должностного положения информацией о сотрудниках, отнесенной к ПД (паспортные данные, семейное положение и т. п.).

Ответственность за разглашение персональных данных гражданина, виды и размеры наказаний

Лица, разгласившие ПД, могут быть подвергнуты только одному из наказаний, перечисленных в ст. 137 УК РФ, и только в указанных там пределах. Выбор конкретного вида и размера наказания осуществляется судом с учетом степени и характера опасности совершенного деяния, смягчающих и отягчающих обстоятельств, личности виновного и т. д. (ч. 3 ст. 60 УК РФ).

Для примера рассмотрим наказания, которые могут быть назначены за разглашение ПД с использованием служебного положения по ч. 2 ст. 137 УК РФ. Суд вправе назначить:

1. Штраф. Может быть установлен как фиксированная сумма в пределах 100-300 тыс. руб., так и в размере зарплаты (или иного дохода) осужденного за период от 1 года до 2 лет.
2. Запрет на занятие определенной деятельностью или занятие каких-либо должностей в течение 2-5 лет.
3. Принудительные работы сроком до 4 лет. Они могут назначаться как самостоятельно, так и в сочетании с дополнительным наказанием, указанным в п. 2.
4. Арест на срок до 6 месяцев (в настоящее время этот вид наказания не применяется).
5. Лишение свободы сроком до 4 лет. Применяется только вместе одним из дополнительных наказаний, указанных в п. 2.

При этом срок дополнительного наказания в 3-м и 5-м случаях начинает течь только после отбытия основного (ч. 4 ст. 47 УК РФ).

Поскольку рассматриваемым преступлением нарушаются личные неимущественные права, потерпевший имеет полное право на предъявление требования о возмещении морального вреда (ст. 151 ГК РФ).

В заключение стоит отметить, что по ст. 137 УК РФ приговоров выносится довольно много, то есть статья действительно работает. При этом ответственность может наступить за разглашение практически любых ПД.

Герман Галкин, редактор сетевого издания Lentachel.ru

С 1 июля произошло ужесточение законодательства, серьезно затрудняющее работу средств массовой информации. При этом прошедшая 28 июня видеоконференция Уральского управления Роскомнадзора не сильно внесла ясность в перечень новых запретов и ограничений. Более того, выяснилось, что сотрудники уральского и челябинского Роскомнадзора по-разному понимают вводимую систему ограничений.

О том, что можно считать главным ограничением, уже говорили. Теперь фактически закрыта сама возможность журналистских расследований, без которых журналистики вообще-то не бывает. Закон о защите персональных данных резко ужесточает ответственность за несогласованное разглашение этих самых персональных данных граждан. Понятно, что журналистов интересуют чаще всего не рядовые граждане, а политики, чиновники, известные предприниматели, руководители силовых структур. Те или иные нарушения закона допускают все вышеперечисленные категории лиц. Беда для прессы теперь в том, что, если журналисты допустили «утечку» персональных данных, это будет расцениваться как …злоупотребление свободой СМИ. А персональные данные - это фактически любая информация об объекте журналистского расследования. Редакция СМИ может в два счета получить предупреждение Роскомнадзора. Не стоит лишний раз напоминать, что два предупреждения за год - уже есть повод для иска в суд о прекращении деятельности средства массовой информации. Фактически в России таким образом запрещают журналистику.

Я не преувеличиваю. Поскольку даже при использовании данных из открытых источников прессу теперь дополнительно ограничивают. Отныне журналисты имеют право брать из открытых источников только имя и фамилию (без отчества) героя материала, а также его должность или место работы. Описывать, где человек и как живет, с кем общается, уже будет считаться нарушением закона. Причем, для СМИ будет нарушением закона опубликовать даже то, что человек сам опубликовал о себе в социальных сетях. Понятно, что можно поступить по-другому: подробно рассказать о жизни человека, но изменить имя или использовать лишь инициалы. Однако в этом случае становится уже непонятно, о ком идет речь. И теряется сам смысл журналистской работы. Благодаря прессе цивилизованное общество контролирует деятельность высокопоставленных должностных лиц, включая депутатов, мэров, губернаторов, президента.

Согласно введенным изменениям в закон о персональных данных, главным критерием для того же Роскомнадзора является объем опубликованных сведений о человеке. Если информация не способствует идентификации личности, ее можно, видите ли, свободно размещать в СМИ. Правда, возникает вопрос - кому такая информация вообще будет нужна?

На встречах с юными журналистами я всегда советую читать «Универсального журналиста» Дэвида Рэндалла. Эта книга была написана в помощь молодым журналистам именно России. Напомню ключевой, на мой взгляд, момент из этого пособия: «Хорошие журналисты во всем мире одинаково понимают свою роль. Прежде всего, это означает задавать вопросы и сомневаться. Затем:

Отыскивать и публиковать информацию вместо слухов и измышлений.

Сопротивляться правительственному контролю или вовсе избегать его.

Информировать избирателей.

Тщательно расследовать действия и бездействие правительств, выборных представителей и общественных организаций.

Исследовать мир бизнеса, обращение с рабочими и покупателями и качество продукции.

Облегчать жизнь пострадавшим и тревожить удобно устроившихся, предоставляя свой голос тем, кто лишен возможности быть услышанными.

Держать зеркало у лица общества, показывая его достоинства и пороки, развенчивая лелеемые им мифы.

Работать на торжество правосудия, демонстрируя его победы и расследуя поражения.

Содействовать свободному обмену идеями, особенно - такими, которые идут вразрез с господствующей идеологией.»

В условиях изменившегося российского законодательства выполнять свое вышеописанное предназначение СМИ в России больше не смогут. На нас надели намордник в лице указанного закона и Роскомнадзора. Теперь автор материала должен взять согласие того, чьи персональные данные он собирается опубликовать. В некоторых ситуациях это согласие должно быть дано еще и в письменной форме - эти случаи перечислены в статьях 8, 10, 11, 12 и 16 федерального закона «О персональных данных». В частности, в статье 8 говорится: «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.» И тут же добавляется: «Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.»

Разглашение сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни возможно только с разрешения человека. Как, скажите, описывать теперь работу политиков? У каждого из них каждое СМИ теперь до публикации должно спрашивать разрешения на обнародование его политических взглядов? Даже если он состоит в той или иной партии? Абсурд.

Нелегче с фото и видеоматериалами. Если на фото и видео можно опознать человека, это считается распространением биометрических данных и требует …согласия субъекта. Исключением является только публикация фотографий во время розыскных и следственных действий. Для СМИ опять-таки есть лишь один выход - публиковать фотографии без подписей или давать минимальную информацию под ними. И то это будет рискованно.

Во время видеоконференции 28 июня я, как редактор сетевого издания Lentachel.ru, задал вопрос представительнице Уральского управления Роскомнадзора, которая вела конференцию. Вопрос касался одной из прежних наших публикаций, в которой челябинское управление Роскомнадзора усмотрело нарушения и потребовало убрать подробности происшествия. А происшествие было такое. На сайте службы спасения рассказывалось, как мужчина бросился с моста в реку. И прямо говорилось про попытку суицида. В публикации на Lentachel.ru не использовались слова "суицид", "самоубийство", тем не менее челябинский Роскомнадзор решил, что детали происшествия указывают именно на попытку самоубийства и потребовал скорректировать заметку или же вовсе удалить с сайта. Мы пошли первым путем. И внесли корректировку: "Новость временно отключена в связи с жалобой от Роскомнадзора в адрес сайта Lentachel.ru. В новости была информация от пресс-службы областной поисково-спасательной службы о том, что мужчина что-то сделал, о чем нельзя говорить на нашем сайте, но можно говорить на сайте областной поисково-спасательной службы."

Я описал этот случай представительнице уральского управления Роскомнадзора в присутствии всех участников видеоконференции. В ответ услышал, что достаточно было внести слово "предположительно" рядом со словом "самоубийство". И вопрос был бы снят. Я пояснил, что у нас в заметке в принципе не было слова "самоубийство". Стало быть, и сглаживать словом "предположительно" было нечего. Ведущая видеоконференции замялась. Потом сослалась на то, что не видит контекст.

Какие можно сделать выводы? Во-первых, что журналистика посредством новых законодательных ограничений уничтожается фактически в России на корню. Цензура по Конституции запрещена. Однако есть масса ограничений, которые фактически лишают журналистов возможности заниматься журналистикой. Во-вторых, есть основания думать, что отдельно взятый челябинский Роскомнадзор превышает свои полномочия. В-третьих, что в системе Роскомнадзора нет четких критериев оценки для обнаружения нарушений. А значит, драконовские изменения в законах будут дополнительно усилены своеобразным «пониманием» их применения в данном контролирующем ведомстве.

На видеоконференции челябинские журналисты просили представителя ведомства выдать письменные инструкции, что все-таки будет запрещено с 1 июля. Однако таковых не дождались. Как пояснила представительница Уральского управления Роскомнадзора, каждый случай индивидуален. Поэтому и решать Роскомнадзор будет индивидуально с каждым. Ничего хорошего для СМИ такой подход не сулит.

При таких ограничениях, да еще и «творческих» подходах Роскомнадзора прессе работать будет чрезвычайно трудно, если вообще возможно. Надо будет, видимо, уточнить имена тех, принимал данный безумный закон. И конечно, запомнить имена тех, кто с таким усердием его исполнял. Когда придет время закон о персональных данных в его нынешнем виде отменять (не факт, что все нынешние СМИ к тому времени выживут), можно будет вспомнить "героев" поименно. И воздать им по заслугам. Разумеется, в соответствии с нормами закона!

В Роскомнадзоре уже приводили пример, когда публикация о доходах госслужащего была определена как нарушение закона! Журналист взял сведения из официальной декларации чиновника, где также был указан доход его супруги. В тексте журналист дописал должность жены служащего и прочую информацию. Последовала жалоба от «пострадавших».

Претензии теперь могут, оказывается, возникнуть даже к публикациям, где дается справка о карьерной истории чиновника - где он учился, жил, работал. И в таком случае журналисту будет необходимо брать согласие у «субъекта персональных данных».

Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?

152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов.
Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):

• с какой целью вы собираете персональные данные;
• не собираете ли вы их больше, чем нужно для ваших целей;
• сколько храните персональные данные;
• есть ли политика обработки персональных данных;
• собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:

• Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
• Политика оператора в отношении обработки ПДн ( есть рекомендации по оформлению).
• Приказ о назначении ответственного за организацию обработки ПДн.
• Должностная инструкция ответственного за организацию обработки ПДн.
• Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
• Перечень информационных систем персональных данных (ИСПДн).
• Регламент предоставления доступа субъекта к его ПДн.
• Регламент расследования инцидентов.
• Приказ о допуске работников к обработке ПДн.
• Регламент взаимодействия с регуляторами.
• Уведомление РКН и пр.
• Форма поручения обработки ПДн.
• Модель угроз ИСПДн.

После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.

Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.

Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона

Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.
Призовем на помощь определение из закона:

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Источник: статья 3, 152-ФЗ

Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее.

Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн.

Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.

Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.

Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.

Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?

Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.

Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:

За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:

В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Источник: 152-ФЗ .

В поручении также важно прописать обязанность обеспечения защиты персональных данных:

Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.

Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1

Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается.
УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные.
На уровень защищенности влияют следующие моменты:

• тип персональных данных (специальные, биометрические, общедоступные и иные);
• кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
• количество субъектов персональных данных – более или менее 100 тыс.
• типы актуальных угроз.

Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119 . Вот описание каждого с моим вольным переводом на человеческий язык.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.

С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн.

Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119 .

Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг.

Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы.

Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить).

Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г. К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком "+" обязательные меры – они как раз и рассчитаны в таблице ниже. Если оставить только те, которые нужны для УЗ-3, то получится 41.

Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.

Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:

• заинтересован продать побольше сертифицированных СЗИ;
• будет бояться отзыва лицензии регулятором, если что-то пойдет не так.

Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.

Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

Пункт 12 Приказа № 21 ФСТЭК России .

Реальность: закон не требует обязательного использования сертифицированных средств защиты.

Миф 6. Мне нужна криптозащита

Тут несколько нюансов:

1. Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
2. Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
3. Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
4. Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ .

Для ИСПДн с УЗ-3 можно использовать КС1, КС2, КС3. КС1 – это, например, C-Терра Виртуальный шлюз 4.2 для защиты каналов.

KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д.

Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.

Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.

Ольга Ермакова, старший юрисконсульт и комплаенс специалист Linxdatacenter

Прошло почти пять лет с момента принятия поправок в федеральный закон № 152-ФЗ «О персональных данных», повлекших обязанность операторов ПДн обеспечивать обработку личной информации российских граждан на территории Российской Федерации*. Политическая подоплека этой инициативы и жаркие споры вокруг нее давно забылись, осталось главное: исполнение требований закона.

Как один из крупнейших операторов коммерческих дата-центров в России, мы работаем с десятками клиентов, и видим, что далеко не всегда бизнес понимает, что именно необходимо предпринять для исполнения требований Федерального Закона № 152.

Самый распространенный сценарий, который запрашивают клиенты - осуществить перенос данных в облако на территории РФ. Экономическая выгода от использования виртуальных мощностей ЦОД вместо покупки и обслуживания собственных серверов - очевидный факт, но это не все, что требуется от компаний.

Не только перенос данных

Чаще всего компанию Linxdatacenter спрашивают: «Расположен ли ваш ЦОД на территории РФ?». Самые продвинутые заказчики интересуются, есть ли у хостинг-провайдера лицензия ФСТЭК на техническую защиту конфиденциальной информации («ТЗКИ»), зачастую не понимая при этом, зачем может потребоваться такая лицензия и какие дополнительные гарантии клиентам может предоставить ЦОД, обладающий этой лицензией.

Кроме требований 152-ФЗ к хранению данных в России существует множество других требований, стандартов и регламентов, относящихся к техническим и процедурным моментам управления ресурсами дата-центров. Говоря о персональных данных, важно понимать, что один лишь факт наличия лицензий, аттестатов и сертификатов не приближает клиента к обеспечению комплаенса по 152-ФЗ.

Только честно: зачем это нужно

В 2017 году статья 13.11 КоАП, устанавливающая ответственность за нарушение законодательства РФ в области персональных данных, претерпела существенные изменения: были конкретизированы составы нарушения (вместо одного состава появилось семь), существенно увеличены штрафы за нарушение требований работы с персональными данными. Вместе с тем, при действующем подходе регулятора компания штрафуется однократно за совокупность аналогичных нарушений, а не за каждое отдельное нарушение (например, если в компании неправильная форма согласия на обработку ПДн, которую заполнили 100 субъектов ПДн, компания будет оштрафована однократно, а не в стократном размере). Очевидно, что в масштабе бизнеса крупных компаний (а с большими объемами персональных данных работают именно такие - банки, страховщики, ритейлеры, агрегаторы по продаже билетов) эти штрафы не представляют серьезную проблему. Вопрос, скорее, в репутационных издержках, которые в случае возникновения утечек намного выше.

По мере развития цифровой экономики риски в области информационной безопасности только растут. По данным Infowatch , объем скомпрометированных данных по всему миру в 2017 году вырос в несколько раз.

Специалисты по безопасности фиксируют все больше случаев, когда данные утекают из облака на стороне самой компании: технические сотрудники забывают закрыть свободный доступ к хранилищам, компрометируют их из-за неверных настроек при организации совместной работы. Например, также в 2017 году была зафиксирована утечка персональных данных около 14 млн клиентов с облачного репозитория оператора Verizon из-за неверных действий команды администраторов.

Поделить ответственность

Кто несет ответственность за соблюдение требований и за возможные утечки? Аутсорсинг, при котором персональные данные обрабатываются сторонней компанией, разрешен законом (п. 3 ст. 6 152-ФЗ). Сервис-провайдер, принимая на себя обязанности по обработке данных, разделяет и юридическую ответственность бизнеса клиента.

Бизнесу порой кажется, что распределение ответственности с сервис-провайдером за обработку персональных данных - самая масштабная задача. Вместе с тем, клиенты упускают важный момент в вопросе комплаенса по 152-ФЗ. Перемещение одной (двух, трех) информационных систем в защищенную инфраструктуру ЦОД само по себе не обеспечивает соблюдения клиентом законодательства о персональных данных.

Выбор надежного партнера по обработке и хранению персональных данных - важнейший шаг.

Наибольшую значимость при выборе имеет экспертиза компании в работе с конфиденциальными сведениями. Вместе с тем, это лишь один из аспектов соблюдения требований: для обеспечения безопасности и конфиденциальности персональных данных, на которое и рассчитан 152-ФЗ, оператор данных должен предпринимать организационные, технические и правовые меры.

Без проведения комплексного аудита на соответствие требованиям 152-ФЗ не обойтись. Важнейший момент здесь - осознать, что аудит нужен не Роскомнадзору, а самой компании. Анализ принятых в компании бизнес-процессов и соотнесение их с установленными в законе правилами помогает компании выявить узкие места в схеме работы с конфиденциальной информацией. Вот тут и встает вопрос о привлечении лицензиата ФСТЭК.

Следует упомянуть, что на сегодняшний день у регулятора отсутствуют полномочия проверять бизнес на предмет соблюдения законодательства о персональных данных в части принятия необходимых организационных и технических мер**. Такой подход выводит на первый план правовые меры, предусмотренных 152-ФЗ - разработка локальных актов, назначение лица, ответственного за обработку данных и т.д. Вместе с тем, важно осознать, что усилия по обеспечению комплаенса в области обработки данных представляют собой комплексный процесс: правовые меры обеспечения безопасности данных неразрывно связаны с организационными и техническими мерами, и не существуют в отрыве друг от друга.

У бизнеса должна выработаться привычка осуществлять последовательные непрерывные действия, направленны е на недопущение компрометации данных.

Как проходит аудит?

Это довольно трудоемкая процедура, с которой может успешно справиться только опытный сервис-провайдер, обладающий правовой и технической экспертизой. Сам оператор персональных данных как правило не обладает достаточными знаниями и опытом проведения подобных мероприятий, ввиду чего привлечение профессионалов на этапе построения системы защиты персональных данных является крайне желательным.

Аудит включает оценку бизнес-процессов компании, касающихся работы с данными, анализ локальных нормативных актов, договоров с контрагентами и тд.

Перед специалистами сервис-провайдера стоит ряд задач:

выявить все недочеты в бизнес-процессах аудируемого клиента,

определить перечень информационных систем, в которых осуществляется обработка персональных данных (ИСПДн),

смоделировать угрозы, актуальные для каждой ИСПДн клиента,

подготовить технический проект для системы защиты персональных данных клиента (СЗПДн).

После это специалисты разрабатывают комплект организационно-распорядительной документации, который может включать в себя около 40 различных документов, пошагово регламентирующих процессы обработки данных внутри компании. На базе этой документации принимаются необходимые организационные, технические и правовые меры для защиты персональных данных.

По сути, результат такой работы представляет собой индивидуальное проектное решение для конкретного бизнеса, которое сочетает в себе элементы правового и технического консалтинга в области информационной безопасности.

Дорогое бездействие

Гарантия надежной защиты персональных данных и любой ценной для бизнеса информации является такой же мерой качества современных ИТ-сервисов, как и их базовые характеристики.

Отсутствие должного понимания важности качественной защиты информации является глобальной проблемой, и не нужно думать, что Россия в этом отношении как-то выделяется.