Законодателем на оператора, т.е. государственный орган, муниципальный орган, юридическое или физическое лицо организующие и (или) осуществляющие обработку персональных данных, возложена обязанность принять меры для их защиты. Какие меры и в каком составе принимаются определяются самостоятельно, кроме случаев, когда закон обязывает принять конкретные меры, например, назначить ответственное лицо (ч.1 ст.22.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
Однако, эти меры должны быть достаточными, чтобы обеспечить выполнение обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними (ч. 1 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных»). В противном случае за нарушение законодательства о персональных данных предусмотрена административная ответственность по ст.13.11 Кодекса РФ об административных правонарушениях.
Чтобы обеспечить защиту персональных данных физических лиц при их обработке должны быть приняты меры нескольких видов:
• правовые. Это создание комплекта документов, необходимых для защиты персональных данных;
• технические и организационные. Это действия, которые должны совершаться, чтобы обеспечить безопасность. Например, установка шифрования, обучение сотрудников.
В основном эти меры совпадают с мерами по защите персональных данных работников, поскольку Федеральный закон «О персональных данных» не проводит различий между персональными данными работников и прочих физических лиц.
Конкретный перечень этих мер зависит от того, каким образом хранятся данные – в электронном виде или на бумажном носителе. В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе).
Сложнее организовать защиту электронных данных. Для этого изначально необходимо определить, какой тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности (п. п. 7 – 12 Требований к защите персональных данных при их обработке в информационных системах, утвержденных постановлением Правительства РФ от 01.11.2012 №1119). От уровня защищенности будет зависеть конкретный комплекс мер, который должен быть принят (п. п. 13 – 16 указанных Требований).
В целях реализации Закона № 152-ФЗ постановлением Правительства Российской Федерации от 15.09.2008 № 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее – Положение).
Согласно п. 15 Положения, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
Помощник прокурора района
младший советник юстиции П.Е. Лелюх
По материалам сайта: mogryazovec.ru
Фото: pixabay.com