Роскомнадзор дал операторам рекомендации по организации обработки персональных данных

В целях разъяснения подходов, которыми следует руководствоваться операторам персональных данных, регулятор опубликовал ключевые рекомендации, нацеленные на сокращение числа участившихся утечек персональных данных.

Тезисно их можно сформулировать следующим образом. Операторам следует:

• Минимизировать количество обрабатываемых персональных данных.

• Обеспечить раздельное хранение различных категорий персональных данных.

• Хранить идентификаторы, указывающие на субъекта персональных данных (таких как: ФИО, email, номер телефона или адрес) отдельно от данных о типах и содержании взаимодействия с таким субъектом (какие услуги оказывались, содержание переписки и др.).

• Исключать из своей практики избыточное накопление данных.

• Внедрять технические и программные средства, обеспечивающие необходимый уровень безопасности данных.

• Информировать Роскомнадзор о признаках возможных и (или) наступивших инцидентах безопасности своевременно.

• Внедрять и применять меры физического контроля доступа к данным.

• Назначить ответственного за обработку персональных данных.

Роскомнадзор последовательно продолжает ориентироваться на общемировые практики и наработки в данной области и в первую очередь — на практику применения Общего регламента Европейского союза о защите персональных данных (далее — GDPR).

По своей сути разъяснения Роскомнадзора можно условно разделить на два основных направления, созвучных ключевым принципам и концепциям GDPR: минимизация данных («data minimization», ст. 5) и обязательство по обеспечению надлежащего уровня защиты при обработке данных («security of processing», ст. 32).

Согласно принципу минимизации данных, обработка и сбор персональных данных, в частности, должны быть ограничены количеством, строго необходимым для заявленных целей обработки. Таким образом, в соответствии с этим принципом недопустимым является накопление в базах данных оператора слишком большого (излишнего) количества информации о субъектах (в частности, сбор данных, которые могут пригодиться в будущем, но не используются оператором для достижения текущих целей).

В статье 25 GDPR также закреплено, что лицо, осуществляющее обработку данных, должно имплементировать необходимые технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только те персональные данные, которые требуются для каждой конкретной цели обработки, а все излишние данные своевременно подлежали удалению.

Что же касается обязательств по обеспечению надлежащего уровня защиты и безопасности данных, закрепленных в ст. 32, то здесь одним из базовых элемен­тов, находящих отражение и в рекомендациях Роскомнадзора, являются практики так называемого разделения или сегрегации данных. Грамотное разделение данных позволяет создавать отдельные правила доступа для различных категорий данных или разных групп пользователей и, как следствие, позволяет более эффективно контролировать, что только уполномоченные лица могут просматривать, получать доступ, удалять или изменять соответствующие данные.

При этом стоит отметить, что практика разделения данных может быть имплементирована как путем физического разделения (фактического выделения разных серверных мощностей для записи разных категорий данных и введения физического контроля доступа к определенным системам), так и путем логического разделения (путем введения системы распределения данных в подсистемах и создания различных уровней доступа).

Поддерживая подобный контроль доступа и обеспечивая надлежащее разграничение в хранении данных по отдельным системам, оператор сможет обеспечить более высокий уровень защиты и с большей долей вероятности уменьшит существенные риски инцидентов безопасности, которые могут привести к утечке значительного количества персональных данных.

В своих рекомендациях РКН указал на важный принцип обработки персональных данных — соответствие объема обрабатываемых данных целям. Оператору стоит соотнести предлагаемые клиентам продукты с объемом персональных данных, необходимых для исполнения своих обязательств.

Отказавшись от практики накопления данных «на всякий случай», организации могут концентрироваться исключительно на необходимых данных и уделять приоритетное внимание эффективному распределению ресурсов для их хранения, что должно упростить обеспечение высокого уровня мер безопасности, систем управления данными и поддержание доверия пользователей.

Систематическое и организованное удаление данных при достижении целей их обработки также поможет организациям использовать меньше информации, способной скомпрометировать физическое лицо в сети. Это снижает риск утечек по принципу «не может быть скомпрометировано то, чего не существует».

Раздельное хранение различных категорий персональных данных, рекомендуемое РКН, позволяет варьировать степени защиты используемых информационных систем с учетом требований законодательства, а также выстраивать систему защиты для каждой из них, что позволяет сохранить часть данных при утечке одной из систем.

Упоминая синтетические идентификаторы относительно раздельного хранения идентификаторов о лице и данных о взаимодействии с ним, РКН, вероятно, указывает на организацию оператором процедуры, аналогичной обезличиванию персональных данных с целью недопущения к данным нарушителей без дополнительных знаний о расшифровке сокрытых данных. Важно заранее позаботиться об алгоритмах присвоения идентификатора таким образом, при котором ценность данных будет сохраняться только для лиц, имеющих правомерный доступ.

Напоминая об ответственности в случае поручения на обработку, РКН обращает внимание оператора на применение специальных мер защиты уже при получении информации от пользователя. При этом усиление технических и программных мер защиты со стороны оператора позволит снизить контроль за организацией, которой поручена обработка данных, не надеясь исключительно на ее добросовестность.

РКН также рекомендует не полагаться исключительно на добросовестность своих работников, а снизить риск несанкционированного доступа к устройствам или иным физическим носителям за счет мер физического контроля доступа к данным (карты доступа, системы авторизации и др.). Это создаст дополнительный уровень безопасности, удерживающий от попыток неразрешенного доступа, обеспечит подотчетность, поможет выявить даже попытки несанкционированных действий.

Для своевременного информирования в случае утечки организациям важно разработать инструкцию для сотрудников, содержащую алгоритм действий при выявлении инцидента, назначить рабочую группу для расследования инцидента и ответственное за предоставление уведомлений РКН лицо.

Наличие лица, ответственного за защиту персональных данных, позволяет снизить риск утечки данных за счет более эффективной организации процесса обработки данных в организации. Необходимо учитывать, что его деятельность регламентируется не только законодательством, но и ЛНА (положения, должностная инструкция).