Обработка и защита персональных данных: кто ответственный?
Недавно мы выступали на крупнейшем форуме директоров по информационной безопасности “CISO-FORUM 2023”. Там обсуждалась защита персональных данных и обновление ФЗ-152. В закрытом чате мероприятия коллега поинтересовался:
“Как правильно обосновать, что ответственный за организацию обработки ПДн и ответственный за обеспечение безопасности ПДн должны быть разные люди?”
Как это выглядит с точки зрения закона, разбираемся с Вероникой Нечаевой, нашим директором по информационной безопасности.
Кто такой “Ответственный за организацию обработки ПДн”
Это штатный сотрудник, который решает, какие ПДн собирать, как их хранить и использовать. Назначается он на организацию в целом. Им может быть и руководитель, и главбух, и другой, назначенный на эту роль.
За что он отвечает:
– за разработку и реализацию политики обработки ПДн;
– за ведение реестра обработки ПДн;
– за заключение договоров с операторами и обработчиками ПДн;
– за обучение сотрудников правилам обработки ПДн.
Что ещё делает:
– определяет уровень доступа и ответственность лиц, участвующих в обработке ПДн;
– контролирует выполнение мер защиты информации, которые внедряет ответственный за обеспечение безопасности персональных данных;
– подписывает и утверждает разработанную ответственным за обеспечение безопасности персональных данных документацию.
Зоны ответственности и правила регулируются статьей 22.1 ФЗ №152. Как самостоятельно выполнить ФЗ-152 – рассказывали здесь.
Кто такой “Ответственный за обеспечение безопасности персональных данных”
Это штатный сотрудник, который заботится о том, чтобы ПДн не были утеряны.
Что он делает:
– разрабатывает и внедряет технические и организационные меры защиты от:
- несанкционированного доступа
- утраты
- разрушения
- изменения
- блокирования
- копирования и распространения
– следит за их работоспособностью и устраняет уязвимости;
– реагирует на инциденты и оценивает риски;
– контролирует соблюдение требований по защите ПДн в подразделениях.
Ответственный назначается для информационных систем с 3 уровня защищенности. Зоны ответственности, правила и задачи описаны в постановлении правительства РФ № 1119 от 1.11.2012.
“Ответственный за организацию обработки ПДн – вышестоящее должностное лицо – руководитель предприятия, его заместитель, или заместитель, курирующий направление ИТ – тот, кто имеет возможность давать поручение, ставить задачи и т.д. НЕ руководящая должность НЕ МОЖЕТ БЫТЬ ответственной за организацию обработки ПДн
Ответственный за обеспечение безопасности персональных данных — это «рабочая голова, руки и ноги», который выполняет все работы, связанные с защитой ПДн”
– Вероника Нечаева, директор по информационной безопасности CORTEL
Об ответственности
Согласно ФЗ-152, оба лица несут ответственность за сохранение безопасности персональных данных.
Пример 1:
Лицо, ответственное за обеспечение безопасности, проведя аудит внутри организации, пришло к лицу, ответственному за обработку ПДн с обращением купить средства защиты от несанкционированного доступа для АРМ.
*Важно:
Все обращения должны быть зафиксированы, например, в форме служебной записки.
Однако лицо, ответственное за обработку ПДн, отказало в финансировании.
В случае инцидента, при наличии доказательств, к ответу привлекут ответственного за организацию обработки ПДн. Если доказательств нет, ответственность понесут оба.
Пример 2:
Произошла утечка данных. Виной инцидента стал сотрудник, который передавал информацию по незащищённым каналам.
Ответственность понесёт и лицо, ответственное за организацию обработки персональных данных, и лицо, ответственное за обеспечение безопасности.
Пример 3:
Ответственный за обеспечение безопасности ПДн не провел корректную настройку средств защиты информации.
Через неделю ФСБ проверяет СЗИ. Если регулятор нашёл уязвимость, связанную с настройкой СЗИ, к ответу привлекут только лицо, ответственное за обеспечение безопасности.
Подробнее об ответственности за несоблюдение законодательства в сфере защиты персональных данных рассказывали здесь.
О том, как выполнить ФЗ-152 без головной боли, закупки оборудования и оформления документации – здесь.