Автор- Елена Кожемякина, Управляющий партнер юридической фирмы BLS
Персональные данные стали одной из опасных тем для работодателей. Штрафы за нарушения стали самыми большими в сфере трудовых отношений. Оттого и особое внимание к ней. Согласно ст. 22.1 Федерального закона №152-ФЗ от 27.07.2006 в компании должен быть ответственный за обработку персданных: руководитель или назначенный им работник. Он отвечает за работу с такой информацией в компании. Но это не единственное уполномоченное лицо по персданным. Постановлением Правительства №1119 от 01.11.2012 утверждены Требования к защите данных при обработке в инфосистемах. И в п.14 этих требований сказано, что должно быть должностное лицо, которое отвечает за обеспечение безопасности – специалист по инфобезопасности. Что это за человек и когда его необходимо назначать?
Начнем с того, что ответственный за персданные и за информационную безопасность – 2 разных направления задач в рамках одной темы. Хотя обе их может курировать один человек. Но первое обязательно для всех работодателей. Обычно таким человеком является генеральный директор или задачи делегированы другому работнику. Второе же зависит от того, надо ли обеспечить уровни защищенности информации. И здесь задачу придется разбиться не несколько этапов.
Речь идет об обеспечении безопасности переданных в информационных системах организации, т.е.в базах данных, где данные хранятся и обрабатываются. А вот назначать ли ответственного – зависит от типа угроз безопасности данных и уровня защиты, который надо обеспечить.
В соответствии со ст. 19 ФЗ №152 оператор (компания) должны принять все необходимы меры для защиты данных от любых неправомерных действий. А требования к защите определены в Постановлении Правительства №1119. Чтобы обеспечить защиту, надо определить тип угрозы, на основании п.6 Требований. Угроз три. Первая – если к незаконному использованию данных могут привести скрытые возможности самого программного обеспечения, в операционной системе. Т.е. есть вопрос к надежности системных компьютерных программ. Вторая – если риск несут программы, которые дополнительно ставятся на компьютер. Третья – когда угроз нет. От типа угрозы зависят требованию к уровню защищенности данных. Если неправильно определить тип угрозы, есть риск принять неправильные меры для защиты.
Далее – надо установить уровень защиты. Всего их четыре: максимальная, ниже максимальной, некритичная угроза и минимальная угроза. Они подробно описаны в пп.9-12 Требований №1119. И требования к системе защиты зависят от того, какой уровень вы определили исходя из типа угроз. Вкратце, если 1, 2 или 3-й уровень защиты, компания должна назначить ответственного за обеспечение безопасности персданных в инфосистеме. Причем, если оказался 1-й уровень, компания вообще обязана создать соответствующий отдел из нескольких человек. Другими словами, только при минимальной угрозе ответственного можно не назначать.
Что должен знать HR о личной информации сотрудников
Кроме того, если ответственным за персональные данные может быть внешняя организация, например, по договору аутсорсинга, или человек по договору ГПХ, то ответственный за инфобезопасность согласно п.14 Требований должен быть в штате – на отдельной должности, по совместительству или совмещению. При этом в законе нет требований к квалификации и опыту такого сотрудника. Как вариант, для кандидата можно использовать профстандарт «Специалист по безопасности компьютерных систем» (утвержденный Приказом Минтруда от 14.09.2022 №533н), отталкиваться от высшего технического образования, прохождения учебных курсов по защите персданных. Или самостоятельно установить критерии для должности.
Самое интересное, что в законодательстве нет прямого наказания, если вы не назначили такого сотрудника. Но ответственность зависит от последствий, к которым приведут нарушения. Риск будет с другой стороны. Скажем, если вы обрабатываете данные при непосредственном участии человека, считается, что обработка происходит без средств автоматизации (как требует Положение об особенностях обработки данных, согласно Постановлению Правительства РФ №687 от 15.09.2008). И если ручная обработка привела к неправомерному доступу к информации, уничтожению или распространению, ждет наказание по ч.6 ст. 13.11 КоАП РФ – штраф до 20 тыс. рублей на должностных лиц, до 100 тыс. рублей – на компанию. Возможна и уголовная ответственность – за неправомерный доступ к компьютерной информации, из-за чего данные изменили, скопировали или уничтожили. Согласно ст. 272 УК РФ виновного накажут штрафом до 200 тыс. рублей и вплоть до исправительных работ или ограничения свободы.
К2 Кибербезопасность выходит на рынок коммерческих SOC в партнерстве с «Лабораторией Касперского»
И хотя точных критериев, кто, как и когда должен определять тип угрозы и уровни защищенности информации, по сути оператором персональных данных является любая компания. Проверки Роскомнадзора сейчас также под мораторием, но ошибки в использовании персданных – серьезное нарушение. А так как закон не устанавливает правил для проверки информации, самый безопасный способ – установить их в локальном акте, провести аудит, определить угрозу и уровень защиты. И таким образом вы поймете и документально зафиксируете – нужен ли вам ответственный за инфобезопасность.
