Что такое конфиденциальность персональных данных и как обеспечить

Конфиденциальность персональных данных — это процедура, которая позволит защитить данные и не нарушить требования законодательства о персданных. Чтобы определить, какие меры безопасности применять при обработке данных, сначала надо определить тип угрозы. А затем надо выбрать один из четырех уровней защиты. В статье рассмотрим все про конфиденциальность персональных данных: что это такое, как обеспечить, как определить типы угроз и выбрать защиту.

Как работать с персональными данными сотрудников

Что понимают под понятием конфиденциальность персональных данных

Немного исторически-лингвистического введения. Значение «конфиденциальный» можно трактовать как «тайный», «секретный», «чужой», «не подлежащий огласке», «инсайдерский». Эти слова обычно применяют для обозначения чего-то секретного для остальных и требующего надежной защиты от посторонних глаз.

В российском законодательстве закреплён подход, в соответствии с которым тайной считают информацию, не известную третьим лицам. Она не может быть легко получена, имеет определённую ценность и защищена.

Таким образом, конфиденциальность персональных данных защищается законом.

Есть 4 основных вида:

• Государственная (в том числе военная);
• Профессиональная;
• Служебная;
• Коммерческая тайна;

Есть ещё так называемый «секрет производства». Что это значит?  Для каждого вида предусмотрен определённый правовой режим конфиденциальности.

Если анализировать зарубежный опыт, то можно прийти к такому интересному выводу: понятие «конфиденциальность» сегодня имеет более широкое значение и включает в себя не только тайны (секреты), но и другие формы ограничения в отношении определённых типов информации.

Выделим две основные разновидности:

Секретность (secrecy) — это форма тайны, которая не предполагает добровольного разглашения и предусматривает наказание за нарушение режима. К этому типу конфиденциальности относятся:

• Государственные;
• Профессиональные;
• Служебные;
• Коммерческие;
• Частная жизнь;

P.S. В эту компоненту также относится информация для служебного пользования, согласованная между контрагентами и т. п.

Приватность (privacy) — это форма ограничения доступа к личным данным, которая подразумевает, что использование таких сведений возможно только при наличии согласия субъекта. Такой тип конфиденциальности включает неразглашение любой личной информации, использование которой может нарушить неприкосновенность частной жизни субъекта.

Добавим занимательный и важный факт: такое разделение нашло отражение и в российском законодательстве. Как раз о privacy (как виде конфиденциальности) говорится в статье 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В ней под конфиденциальностью информации понимается «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».

На какие персональные данные не распространяют конфиденциальность

Необходимо обратить внимание на ещё один немаловажный элемент. Какие персональные данные не требуют обеспечения конфиденциальности? Предоставления конфиденциальности персональных данных не требуется:

• в случае обезличивания персональных данных;
• в отношении общедоступных персональных данных.

Стоит вообще отметить, что любая информация, которая прямо или косвенно относится к физическому лицу – субъекту персональных данных, относится к его персональным данным (ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). При этом принцип конфиденциальности распространяется на любые персональные данные работников, за исключением общедоступных (ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). К примеру, дата рождения сотрудника к общедоступным персональным данным не относится (ст. 8 Федерального закона от 27.07.2006 № 152-ФЗ). Поэтому на нее также распространяется принцип конфиденциальности. Что такое персональные данные и какие критерии необходимо соблюдать, разобрали эксперты журнала "Главбух".

Кроме того, работодатель вправе получать сведения о сотруднике только в целях, которые определяет закон. Перечень таких случаев смотрите в таблице.

Таблица. В каких целях работодатель может получить персданные сотрудника

Как получать персональные данные сотрудников

Информацию, которая не относится к таким целям, работодатель получать не вправе. Это правило применяется даже в случае, если сотрудник не против обработки этих данных.

Защита конфиденциальных данных: основные моменты

Теперь стоит перейти к вопросу защиты конфиденциальных данных. В первую очередь, надо сказать, что есть уровни защиты персональных данных. Уже от степени конфиденциальности информации зависят меры ее защиты. Всего есть 4 уровня защищенности персональных данных:

• УЗ1;
• УЗ2;
• УЗ3;
• УЗ4;

Наиболее тщательно охраняют УЗ1.

Интересный факт: предприятия часто используют специальные системы защиты персональных данных, чтобы обеспечить безопасность хранения информации. Во избежание утечек и несанкционированного доступа к личным данным пользователей, необходимо принять комплекс организационных и технических мер.

Для определения уровня защиты важно знать:

• вид;
• категория субъектов ПД — сотрудники организации или другие лица;
• количество субъектов;
• тип актуальных угроз:

I: наличие уязвимостей в системном программном обеспечении, которое используется в информационной системе персональных данных — например, в операционной системе;
II: наличие уязвимостей в прикладном программном обеспечении — например, в рабочих программах;
III: угрозы, не связанные с уязвимостями ПО, — самый «безопасный» вариант.

Все эти показатели можно ввести в специальном калькуляторе на сайте ФСТЭК, чтобы определить уровень защищенности.

Оценить уязвимость данных

При выработке стратегии снижения риска также нужно оценить возможное воздействие угроз на бизнес и вынести решение:

• принять риск, если воздействие допустимо;
• устранить компоненты, которые приводят к возникновению угрозы;
• добавить проверки, которые смягчают воздействие риска или снижают вероятность его возникновения.
• Как работодателю защищать конфиденциальные персональные данные

Чтобы работодателю организовать защиту персональных данных, пропишите меры защиты, которые принимаете, чтобы предотвратить, выявлять и устранять нарушения закона о персданных, в локальном акте работодателя. Например, в положении о защите персональных данных (п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке указали в части 2 статьи 19 Закона от 27.07.2006 № 152-ФЗ и Требованиях, утвержденных постановлением Правительства от 01.11.2012 № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Выбор мер безопасности, которые помогут защитить персданные, зависят от того, каким способом работодатель обрабатывает персданные. Их два – автоматизированная и неавтоматизированная обработка.

Автоматизированная обработка. Это способ обработки персданных через специальные базы. Например, через память компьютера, сайт компании, специальные программы, как «1С» или «Контур». Чтобы определить, какие меры безопасности применять при автоматизированной обработке, сначала определите тип угрозы. Выделяют три типа угрозы, из-за которых третьи лица могут получить несанкционированный доступ к персональным данным (п. 6, 7 Требований, утв. постановлением Правительства от 01.11.2012 № 1119).

Когда определили тип угрозы, установите один из четырех уровней защиты. Зависят они от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства от 01.11.2012 № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и др. Конкретные требования к таким мерам установлены в приказе ФСТЭК от 18.02.2013 № 21.

Чтобы определить тип угрозы и уровень защищенности персданных в вашей организации, используйте наш сервис. Ответьте на вопросы и узнаете, какой в вашей организации тип угрозы и уровень защищенности персданных.

Сервис для оценки угроз для защиты персданных

Определить тип угрозы и уровень защищенности персданных

Неавтоматизированная обработка. Это способ обработки персданных через материальные носители: на бланках или в архиве. В этом случае персданные обрабатывают в ручную, без компьютера. Чтобы защитить такие данные, издайте приказ об определении мест хранения персональных данных. Это может быть сейф, отдельный кабинет или архив. Установите перечень лиц, у которых будет доступ к местам хранения.

Образец приказа об утверждении перечня мест хранения персональных данных

Скачать образец >>

Как работодателю оценивать возможный вред утечек конфиденциальных данных

Роскомнадзор установил правила, по которым работодатели должны оценивать вред, который может возникнуть, если нарушить Закон о персданных (п. 5 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, приказ Роскомнадзора от 27.10.2022 № 178).

Чтобы оценить вред, определите степень вреда, который будет нанесен, если нарушить Закон о персданных. Их всего три – высокая, средняя и низкая. Как определить степень вреда, смотрите в таблице.

Таблица. Как определить степень вреда при возможном нарушении закона о защите персданных

После того как оцените степень вреда, нужно оформить акт оценки вреда в бумажном или электронном виде. Составить документ должны ответственный за обработку персданных или специальная комиссия. Унифицированной формы акта нет, поэтому составьте его в произвольной форме.

Образец акта об оценке возможного вреда субъектам персональных данных

Скачать образец >>

Как работодателю контролировать защиту конфиденциальных данных

Чтобы контролировать защиту персданных сотрудников, проводите контрольные проверки не реже одного раза в три года. Порядок, по которому будете их проводить, а также сроки проверки работодатель вправе определить сам и закрепить в положении о защите персональных данных.

Чтобы провести проверку можете привлечь стороннюю компанию или ИП, у которой есть лицензия на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утв. постановлением Правительства от 01.11.2012 № 1119).

Образец положения о защите персональных данных

Скачать образец >>

Памятки для сотрудников, как обеспечить конфиденциальность персональных данных

Посмотрите семь базовых, но дельных советов о том, как защитить личностные данные. Они пригодятся не только сотрудникам, но и компании в целом. Ведь через утечки данных с компьютеров и учетных записей конкретного физлица могут появиться угрозы всем данным работодателя в целом.

• Меняйте пароли и избегайте слабых комбинаций. С одной стороны, стандартная рекомендация, ведь подбор пароля — несложная операция. Однако не все ей следуют. Регулярно меняйте пароли от своих аккаунтов в соцсетях и почтовых ящиков, старайтесь не использовать один и тот же пароль для разных сервисов. При создании пароля важно использовать сильные комбинации. Так, подобрать пароль SemenPetrov_96 несложно. А вот son_sVoe9o.otza выглядит более надежным — в нем нет имени или года рождения владельца, зато используются слова на двух языках, а цифра и заглавная буква стоят в случайных местах.
• Заведите дополнительный почтовый ящик. Практически все сайты — магазины, газеты и журналы, социальные сети — запрашивают при регистрации электронную почту. Заведите специальный адрес, который будете указывать в таких случаях. Пусть вашу основную почту знают только коллеги и близкие. Так у вас меньше шансов стать жертвой фишинга или спам-рассылки, а у мошенников — узнать и взломать вашу почту с ценной информацией.
• При покупках в интернете пользуйтесь банковской картой с небольшим объемом средств. Ваш любимый онлайн-магазин в любой момент может подвергнуться хакерской атаке, да и никто из нас не застрахован от случайного попадания на сайт-зеркало — мошеннический интернет-ресурс, который в точности повторяет интерфейс популярного сайта. Если данные вашей карты все же окажутся в руках мошенника, гораздо проще принять потерю небольшой суммы денег, чем всех ваших накоплений. Для платежей в интернете можно оформить виртуальную банковскую карту — это гораздо быстрее. Для защиты от списаний средств мошенниками настройте также максимальную сумму покупок. Такое ограничение позволит выиграть время и вовремя заблокировать карту.
• Закройте свои аккаунты в соцсетях и включите двухфакторную аутентификацию. Лучший способ защиты персональных данных в интернете — вовсе не загружать их в сеть. Но если все же очень хочется, то делитесь новостями и фотографиями только с друзьями. По вашему контенту мошенники могут отследить, например, когда вас нет дома или где хранятся ценные вещи. Внимательно читая посты, легко узнать имя первой учительницы или кличку любимого питомца — ответы на популярные контрольные вопросы. Двухфакторная аутентификация же позволит дополнительно защитить аккаунт — при входе в него система не только запросит логин и пароль, но и отправит вам на телефон или e-mail проверочный код.
• Не используйте Wi-Fi в общественных местах. Очень важная рекомендация (сколько людей уже попадались на проблемы взлома). Нередко мошенники создают сети, которые маскируют под обычный открытый Wi-Fi кафе, метро или любого другого общественного места. Их цель — перехватить логины и пароли (например, от приложения мобильного банка) подключившегося через их сеть пользователя. При этом даже проверенная общественная сеть несет в себе угрозу, так как имеет очень низкую степень защиты от хакеров.
• Не принимайте cookie-файлы автоматически. В большинстве своем cookie безопасны для пользователя. Но существуют и такие, которые угрожают конфиденциальности данных. Перед тем, как согласиться на использование сайтом cookie, самостоятельно выберите те данные, которые он сможет сохранить. Обычно ссылка на меню настроек зашита в уведомление об использовании cookie, которое появляется на сайте автоматически.
• Проверяйте личный компьютер на наличие вирусов. Нередко хакеры устанавливают на компьютеры пользователей программы-вымогатели, блокирующие экран, и требуют выкуп за данные жертвы. Чаще всего оплата не помогает разблокировать устройство, и утерянными оказываются и данные, и деньги. Антивирус позволит заблаговременно обнаружить такие программы и держать в сохранности персональные данные.

Достаточно простые, но постулирующие компоненты выделены. Необходимо придерживаться этих простых советов, тогда ваши данные будут более конфиденциальными.

Онлайн-помощник от «Актион 360»

Ответы на все вопросы по налоговым изменениям вы найдете в корпоративной справочно-образовательной системе «Актион 360». Просто задайте свой вопрос в поисковой строке и узнайте, как поступить именно в вашей ситуации. Разъяснения дают авторитеты в своей области – судьи, специалисты Минфина и ФНС.

Задать вопрос