СОВЕТЫ ТУРАГЕНТУ
по созданию системы защиты персональных данных
Мы считаем, что настал тот срок, когда турагентству, которое не ищет лишних поводов для выяснения отношений с государственными контролирующими органами¹, следует озаботиться приведением своей деятельности в соответствие с требованиями Федерального закона от 01.01.01 года «О персональных данных» (далее - Закон «О персональных данных»).
¹ - такое выяснение отношений может закончиться штрафом до полумиллиона рублей либо приостановлением деятельности турагентства до 90 суток либо уголовным преследованием – см. таблицу №1.
В соответствии с норами п.1. ст.18-1. Закона «О персональных данных» организация, осуществляющая обработку персональных данных, может самостоятельно² определить состав и перечень мер, необходимых и достаточных для защиты персональных данных и обеспечения выполнения иных обязанностей, предусмотренных правовыми и нормативными актами.
² - разумеется, Вам ни кто не запрещает нанять для этих работ профессионалов, были бы лишние деньги.
Если Вы введете в действие документы, приведенными нами в разделе «Система защиты персональных данных в турагентстве», и выполните предусмотренные этими документами мероприятия, то, как нам представляется, деятельность Вашей организации в достаточной степени³ будет соответствовать законодательству и иным нормативным актам, регламентирующим обработку персональных данных.
³ - Главную задачу, которую мы ставим перед собой открывая на сайте раздел «Создание системы защиты персональных данных в турагентстве», мы видим не в том, чтобы оказать содействие коллегам в построении безупречной системы защиты ПДн, а в том, чтобы помочь сформировать необходимый комплект документации, и внедрить при минимальных материальных затратах комплекс организационных и технических мер, соответствующих нормативным требованиям к защите персональных данных. Эти мероприятия должны позволить Вашей организации в случае проверки со стороны ФСТЭК, Роскомнадзора или ФСБ иметь достаточно прочную позицию и уверенность в том, что Вами были приняты требуемые законом меры по защите персональных данных. И дать возможность даже при самом плохом раскладе вести с контролерами из регулирующих органов конструктивный диалог об улучшении и модернизации Вашей системы защиты ПДн, а не о том, что Вы грубо нарушаете закон.
В этом документе мы позволим себе дать Вам некоторые советы, которые возможно окажутся вовсе не лишними в практической деятельности по разработке системы защиты персональных данных в Вашей организации.
Информационными системами персональных данных (ИСПДн) в законодательных, нормативных и методических документах называются Ваши информационные системы, в которых обрабатываются персональные данные (ПДн) физических лиц: сотрудников, клиентов и партнеров. Именно для этих ПДн и требуется обеспечение режима информационной безопасности.
По современной редакции Закона «О персональных данных» турагент является оператором персональных данных туриста, который в дальнейшем поручает туроператору вести обработку данных ПДн. Турагент, как оператор ПДн, должен зарегистрироваться в Роскомнадзоре, направив форму «Уведомление об обработке персональных данных» (или заполнив ее на сайте Роскомнадзора). С одной стороны, в этом есть некоторые риски. Вы сами себя «светите» перед проверяющими. А вдруг про Вас никто и никогда не вспомнит? Может быть, конечно, и так. Но, с другой стороны, не направив уведомления, уже с 01 июля 2010 года Ваша компания становится нарушителем Закона «О персональных данных» и претендует, как минимум, на один штраф.
Рекомендуем посылать в территориальный орган Роскомнадзора по месту нахождения Вашей организации (как у Вас указано в Уставе) как электронную форму уведомления, так и ее копию – по почте, с уведомлением о вручении и проставив документе исходящий номер. Важно заполнить все поля уведомления, проверить полное соответствие всех полей в электронной форме и бланке уведомления, направленного Вами по почте. В разделе уведомления «Правовое основание обработки персональных данных» желательно постатейно перечислить все федеральные законы и нормативные акты, в рамках которых Вы обрабатываете ПДн. Например, для сбора, систематизации, накопления, копирования, хранения, уточнения, использования, блокировки и уничтожения с учетом требований ст. ст. 5, 6, 7, 19 Федерального закона от 01.01.2001 года «О персональных данных»:
- сведений о работниках организации в соответствии с нормами ст. ст. 85-90, 391 Трудового кодекса РФ;
- информации об участниках общества и их долях в соответствии с нормами ст. ст. 7, 10, 15, 19, 21, 26, 28, 50 Федерального закона от 01.01.2001 года «Об обществах с ограниченной ответственностью»;
- сведений о клиентах в соответствии с нормами ст. ст. 10, 14, 17 Федерального закона от 01.01.2001 года «Об основах туристской деятельности в Российской Федерации».
Ни когда не следует турагенту отмечать (если денег на ветер - жалко) ни в уведомлении, ни в каких-либо других документах, что он осуществляет обработку биометрических персональных данных либо обработку других персональные данных, отнесенных ст.10 Закона «О персональных данных» к специальной категории ПДн. В крайнем случае, старайтесь свести специальные ПДн только к их нахождению на бумажных носителях, защита которых ограничится хранением под замком, и обработке без использования средств автоматизации.
В графе «осуществляется ли трансграничная передача персональных данных» турагенту лучше однозначно ответить «не осуществляется». И одновременно подстраховаться тем, что в договора с клиентом вставить пункт о его согласии на трансграничную передачу его ПДн, в том числе и в страны, не обеспечивающие адекватную защиту персональных данных.
Для поля «описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке» нужно дать общее представление о тех способах и механизмах защиты, которые Вы будете использовать, можно без указания точных наименований программных продуктов и технических устройств. Например, контроль доступа в помещения информационной системы посторонних лиц; наличие хранилища носителей информации, содержащей ПДн; управление доступом в ИСПДн: идентификация и проверка подлинности пользователя при входе в систему по паролю; регистрация и учет входа/выхода пользователя в ИСПДн; использование средств антивирусной защиты; межсетевое экранирование.
Вы своей доброй волей (но при соблюдении определенной процедуры, которую при желании найдете в прилагаемых документах) сами определяете класс Вашей ИСПДн и моделируете все основные угрозы (частная модель угроз), которые могут быть, по Вашему мнению, актуальными для Вашей ИСПДн. Помните, что избыточная детализация частной модели угроз может привести к избыточной финансовой нагрузке на турагентство в части закупки средств защиты и выполнения мероприятий по защите ПДн.
Лучше, если Вы определите Вашу ИСПДн по уровню необходимой защиты, как специальную. Дело в том, что сейчас необходимый набор средств защиты, как правило, определен только для так называемых типовых систем. Выбор же средств защиты для специальных систем определяется с помощью частной модели угроз, формирование которой находится на совести оператора, который в этом случае может регулировать свои материальные затраты. Может оказаться, что для Вашей специальной системы достаточно будет сертифицированного антивируса. Однако в этом случае придется написать значительно больше документов (а они все представлены в разделе «Создание системы защиты персональных данных в турагентстве») которые в данных обстоятельствах должны потребовать проверяющие. Тем не менее, это дешевле, чем внедрение всех требуемых для типовой системы средств защиты.
В действующей редакции Закона «О персональных данных» не установлен срок для приведения информационных систем ПДн в соответствие с его требованиями. Более того, новой редакцией Закона определено, что Правительство РФ устанавливает уровни защищенности ПДн, затем для каждого из уровней защищенности ФСБ и ФСТЭК разрабатывают конкретные требования в отношении организационных и технических мер по обеспечению безопасности ПДн. Однако в настоящее время соответствующий акт Правительства РФ, который бы устанавливал уровни защищенности ПДн, отсутствует. Соответственно, отсутствуют и требуемые уточняющие акты ФСБ и ФСТЭК. Но мы бы не рекомендовали Вам на этом основании делать вывод о том, что до издания соответствующих подзаконных актов операторы не могут выполнить соответствующие требования. Ряд законодательных требований к безопасности информационных систем ПДн не связан с необходимостью издания подзаконных актов (включая, например, учет машинных носителей ПДн и др.) и должен выполняться сразу после вступления поправок в силу.
Важно помнить, что при покупке нового оборудования, установке новых программ, расширении офиса и т. д., необходимо вносить изменения в соответствующие документы, регламентирующие обработку и защиту ПДн турагентстве.
При разработке документации и мероприятий, приведенных в разделе «Создание системы защиты персональных данных в турагентстве», мы исходили из той предпосылки, что ИСПДн турагентства является одним из наиболее распространенных и типичных для турагентств вариантом*:
- либо автономной ИС, представляющей собой многопользовательское, автономное рабочее место, имеющее подключение к сетям связи общего пользования и/или сетям международного информационного обмена, с разграничением прав доступа;
- либо локальной ИС, имеющей подключение к сетям связи общего пользования и/или сетям международного информационного обмена информационные системы, с разграничением прав доступа.
* - В любом случае мы надеемся, что если Ваш вариант построения ИСПДн и отличается от рассмотренных нами в качестве примера, то Вы сможете адаптировать под свои условия приведенные нами данные.
При этом в данной ИС при любом ее варианте одновременно обрабатываются данные менее чем 1000* субъектов персональных данных.
** - Цифра указана также с учетом условий, приведенных в п.5.2. ст.9. Положения об обработке и защите персональных данных Клиентов.
Если в документах, представленных в разделе «Создание системы защиты персональных данных в турагентстве», упоминаются должности, которые в Вашем турагентстве отсутствуют, то проявите находчивость, и распространите упомянутые в документах обязанности на те должностные лица, которые у Вас имеются в наличии.
Меры ответственности за невыполнение и/или нарушение требований Закона «О персональных данных» сведены нами в таблицу №1.
Таблица №1
Нормативно-правовой акт | Статья | Название статьи | Максимальная мера наказания |
Уголовный кодекс РФ | 137 | Нарушение неприкосновенности частной жизни | Штраф до 300 тысяч рублей, арест на 4 месяца, исправительные работы до 1 года |
Кодекс РФ об административных правонарушениях | 13.11 | Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) | Штраф до 10 тысяч рублей |
13.12 | Нарушение правил защиты информации | Штраф до 20 тысяч рублей, конфискация имущества, приостановление деятельности до 90 суток | |
13.13 | Незаконная деятельность в области защиты информации | Штраф до 20 тысяч рублей, конфискация имущества | |
13.14 | Разглашение информации с ограниченным доступом | Штраф до 5 тысяч рублей | |
19.5 | Невыполнение в срок законного предписания | Штраф до 500 тысяч рублей | |
19.7 | Непредставление сведений (информации) | Штраф до 5 тысяч рублей |
Соблюдение турагентством требований законодательства о персональных данных имеют право проверять:
Роскомнадзор - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — федеральный орган исполнительной власти России в ведении Минкомсвязи России (сайт http://www. *****/).
ФСТЭК России - Федеральная служба по техническому и экспортному контролю - федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности (сайт http://www. *****/).
ФСБ России - Федеральная служба безопасности Российской Федерации — единая централизованная система органов федеральной службы безопасности, осуществляющая решение в пределах своих полномочий задач по обеспечению безопасности Российской Федерации (сайт http://www. *****/).
12.09.2011 года
