При работе с персональными данными физических лиц, таких как клиенты или партнеры, необходимо принять меры для предотвращения любых неправомерных действий с ними, включая их копирование и распространение. Для этого требуется разработать пакет документов, включающий положение об обработке персональных данных и приказы о назначении ответственных лиц, а также реализовать организационные и технические меры, например, ограничить доступ в помещения и установить пароли. Особую сложность представляет защита данных в электронном виде, что требует предварительного определения типа угроз и соответствующего уровня защищенности.
Требования к защите персональных данных устанавливают, что операторы, обрабатывающие персональные данные, обязаны принимать меры для их защиты. Конкретный состав и вид мер определяется оператором самостоятельно, за исключением случаев, когда закон предписывает конкретные действия, например, назначение ответственного лица. Эти меры должны быть достаточными для обеспечения выполнения обязанностей оператора и предотвращения неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, копирования, распространения и иных неправомерных действий. Несоблюдение этих требований может повлечь ответственность за нарушение законодательства о персональных данных.
Меры защиты включают:
правовые: создание необходимого комплекта документов для защиты персональных данных;
технические и организационные: действия, направленные на обеспечение безопасности, такие как установка шифрования и обучение сотрудников.
Существуют специальные требования для отдельных категорий операторов, например, для государственных органов или компаний, подпадающих под действие Европейского регламента о персональных данных (GDPR). Также установлены особенности защиты биометрических персональных данных.
Для обеспечения защиты персональных данных физических лиц при их обработке необходимо предпринять ряд организационных и технических мер. Эти меры в целом совпадают с мерами по защите персональных данных работников, поскольку закон не проводит различий между ними. Конкретный перечень мер зависит от способа хранения данных: в электронном виде или на бумажном носителе. Для данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним, например, хранить их в сейфе.
Защита электронных данных требует более комплексного подхода. Необходимо определить тип угрозы безопасности персональных данных и выбрать соответствующий уровень защищенности из четырех возможных. От выбранного уровня зависит конкретный комплекс мер, который должен быть принят. Кроме того, для защиты электронных данных требуется взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы Российской Федерации. В рамках этого взаимодействия необходимо сообщать об инцидентах, повлекших неправомерную передачу персональных данных, руководствуясь соответствующим приказом ФСБ России.
Закон не устанавливает исчерпывающий перечень документов, необходимых для защиты персональных данных. Рекомендуется подробно отразить в документах весь процесс обработки персональных данных, чтобы избежать претензий со стороны контролирующих органов. Основной комплект документов включает:
политику в отношении обработки персональных данных: этот документ является основополагающим и определяет категории, цели, способы обработки, порядок хранения и использования персональных данных. Желательно учитывать рекомендации Роскомнадзора по его составлению. Политика должна быть доступна неограниченному кругу лиц, в том числе размещена на сайте, если через него осуществляется сбор персональных данных.
локальные акты:
по вопросам обработки персональных данных, определяющие категории и перечень данных для каждой цели обработки, способы и сроки обработки и хранения;
устанавливающие процедуры для предотвращения и выявления нарушений законодательства РФ и устранения их последствий;
приказ о назначении лица, ответственного за организацию обработки персональных данных физических лиц. Такое лицо обязательно должно быть назначено. Им может стать любой работник, например, руководитель отдела по работе с клиентами. Если уже назначен ответственный за персональные данные работников, его можно назначить ответственным и за данные других физических лиц, поскольку обязанности не зависят от категории обрабатываемых данных.
приказ об утверждении перечня работников, имеющих доступ к персональным данным физических лиц. Этот приказ может служить доказательством при установлении виновных в случае разглашения данных.
соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники обязуются не разглашать персональные данные клиентов или партнеров.
Дополнительно могут быть включены другие необходимые документы, такие как журналы учета и движения персональных данных или подробные регламенты по работе с персональными данными.