Нам всем нужны секреты: основы защиты персональных данных

22 января 2013

Троицкая Наталья, директор
Департамента правового консалтинга "ТЛС-ПРАВО", 2010

Опубликовано в СПС КонсультантПлюс

В 2007 году вступил в силу Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), в сферу действия которого попадают практически все юридические и физические лица, поскольку любое, даже небольшое, предприятие обрабатывает персональные данные: списки сотрудников, контактные данные контрагентов, сведения об участниках (акционерах) и т.п. Закон требует, чтобы каждый оператор - организация или физическое лицо, - владеющий персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечил конфиденциальность этой информации в соответствии с требованиями Закона № 152-ФЗ уже в этом году.

Основной целью законодательства в области защиты персональных данных является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты конституционных прав: прав на неприкосновенность частной жизни, личную и семейную тайну.

В целях реализации и обеспечения исполнения требований Закона № 152-ФЗ государственными органами был принят ряд подзаконных нормативных актов, назначены и определены компетенции и полномочия контролирующих органов. Кроме того, в рамках выполнения функций по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства в области персональных данных, федеральной службой в сфере связи с 2008 года проводятся проверки операторов по соблюдению требований законодательства. Однако далеко не все организации понимают обязательность защиты персональных данных и адекватно оценивают риски неисполнения требований закона.

Проблемы с «рамками» бывают у всех, кто в них не укладывается (House, M.D.)

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Иными словами, персональные данные - это любые данные о физическом лице, позволяющие его идентифицировать.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и /или осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В частности, любая организация или индивидуальный предприниматель, принимающие на работу физических лиц (по трудовому или гражданско-правовому договору), становятся оператором персональных данных и попадают под действие указанного закона.

Обработка персональных данных - действия с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование, уничтожение персональных данных.

Информационная система персональных данных (далее - ИСПД) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

-Зачем ты читаешь программу конференции? Ты не собираешься туда идти.
- Хочу понять, сколько скуки пропускаю (House, M.D.).

28 января 1981 года Советом Европы была принята Конвенция «О защите физических лиц в отношении автоматизированной обработки данных личного характера». Федеральный закон о ратификации указанной Конвенции принят Государственной Думой в 2005 году (Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»). Первым шагом в реализации положений Конвенции и приведении деятельности в области защиты персональных данных в соответствие с требованиями европейского законодательства стало принятие Закона № 152-ФЗ.

Положения Закона № 152-ФЗ конкретизируются нормативными актами Правительства РФ, Министерства информационных технологий и связи РФ (далее – Мининформсвязи России), Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России), Федеральной службы безопасности Российской Федерации (далее - ФСБ России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор).

Назовем основные документы, регламентирующие деятельность в области защиты персональных данных:

  • Трудовой кодекс Российской Федерации от 30.12.2001. №197-ФЗ;

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

  • Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

  • Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

  • Приказ Роскомнадзора от 28.03.2008 № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»;

  • Приказ ФСТЭК России от 05.02.2010 №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»;

  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14.02.2008;

  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. ФСТЭК России, 14.02.2008;

  • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утв. ФСТЭК России, 15.02.2008 (не применяются по решению ФСТЭК России от 05.03.2010);

  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены ФСТЭК России, 15.02.2008 (не применяется по решению ФСТЭК России от 05.03.2010);

  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21.02.2008 г, № 149/5-144.
    У нас у всех свои причуды. Разве они не делают нас людьми? (House, M.D.)

Объем сведений, необходимых для идентификации лица, и их состав определяется операторами в зависимости от целей обработки персональных данных. Состав этих сведений должен соответствовать целям обработки персональных данных и не должен быть избыточным.

Отметим, что в отдельных областях со специальной регламентацией отношений требования к объему и содержанию персональных данных устанавливаются законом. Например, в соответствии с Федеральным законом от 09.02.2007 № 16-ФЗ «О транспортной безопасности», в автоматизированные централизованные базы персональных данных о пассажирах включаются следующие данные:

  • фамилия, имя, отчество;

  • дата и место рождения;

  • вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет);

  • пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный);

  • дата поездки.

К иным отношениям с законодательной регламентацией состава и содержания персональных данных, предоставляемых субъектом оператору, можно отнести трудовые отношения. В целях реализации трудовых отношений кадровой службе предприятия работник предоставляет следующие сведения:

  • фамилия, имя, отчество;

  • дата и место рождения;

  • гражданство;

  • номер страхового пенсионного свидетельства;

  • идентификационный номер налогоплательщика;

  • данные об образовании;

  • данные о профессиях /специальностях;

  • семейное положение и данные о членах семьи и другая информация.

Зачем человеку власть, если он не знает, что с ней делать? (House, M.D.)

Законом №152-ФЗ физическому лицу – субъекту персональных данных предоставлены следующие права:

  • Самостоятельное решение вопроса о предоставлении кому-либо своих персональных данных за исключением случаев, установленных законом. Персональные данные предоставляются субъектом лично либо через доверенное лицо;

  • До предоставления своих персональных данных ознакомление с перечнем собираемых оператором данных, основаниями и целями их сбора и использования;

  • На получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Право на доступ к персональным данным может быть ограничено исключительно в случаях, предусмотренных законодательством РФ;

  • На получение в доступной документированной форме от оператора информации о наличии и содержании персональных данных субъекта. Указанная информация не должна содержать персональных данных, относящихся к другим субъектам. Персональные данные предоставляются их субъекту по его инициативе на основании письменного запроса с указанием на документ, удостоверяющий его личность, за плату, не превышающую затраты на поиск и выдачу информации. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту в срок, не превышающий недели с момента подачи заявления.

  • Требование от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

  • При наличии достаточных оснований считать, что в отношении его персональных данных совершены неправомерные действия (бездействие), субъект вправе обратиться с жалобой в уполномоченный орган государственной власти либо обжаловать эти действия (бездействие) в судебном порядке, в том числе с требованием возмещения убытков и/или компенсации морального вреда.

Хочу побольше узнать о своем работнике, чтобы было легче им манипулировать или уничтожить, если захочу. Информация – власть! (House, M.D.)

В соответствии с требованиями Закона № 152-ФЗ, операторы должны:

  • обеспечивать конфиденциальность персональных данных;

  • обеспечить соответствие информационных систем требованиям Закона № 152-ФЗ;

  • до начала обработки персональных данных направить уведомление в уполномоченный орган (Роскомнадзор); оператор вправе осуществлять обработку персональных данных без уведомления в случаях, перечисленных в п.2 ст.22 Закона № 152-ФЗ;

  • определить, к какому классу относится информационная система, в зависимости от объемов обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личностей, общества и государства;

  • использовать средства защиты информации, применяемые в информационных системах, прошедшие в установленном порядке процедуру оценки соответствия;

  • бесплатно предоставить по требованию субъекта персональных данных информацию об операторе, месте его нахождения, наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных.

Законом № 152-ФЗ предусмотрены и иные обязанности, связанные со сбором, обработкой, уничтожением персональных данных.

Игнорируются лишь две вещи – то, что неважно, и то, что хочешь, чтобы было неважно. И второе никогда не выходит. (House, M.D.)

Исходя из положений Закона № 152-ФЗ, можно выделить следующие категории персональных данных: общедоступные персональные данные, специальные категории персональных данных, биометрические персональные данные и иные.

В соответствии с законом, общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта персональных данных. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные их субъектом. К общедоступным источникам такой информации можно отнести справочники, адресные книги и т.п. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается исключительно в случаях, предусмотренных ст.10 Закона № 152-ФЗ.

С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, оператор проводит классификацию информационной системы в зависимости от категории и объема обрабатываемых персональных данных. При этом категория определяется исходя из перечня персональных данных, необходимых для обработки в данной информационной системе: от обезличенных до наиболее ценных для человека (сведения о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни).

При проведении классификации информационной системы учитываются также заданные оператором характеристики безопасности, структура информационной системы, наличие подключений информационной системы к сетям связи общего пользования и/или сетям международного информационного обмена, режим обработки персональных данных, режим разграничения прав доступа пользователей информационной системы, местонахождение технических средств информационной системы. Порядок проведения классификации информационных систем регламентируется в порядке, установленном совместным Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20.

По результатам анализа исходных данных типовой информационной системе присваивается один из классов:

  • класс 1 (К1) — ИСПДн, для которых нарушения могут привести к значительным негативным последствиям для субъектов персональных данных;

  • класс 2 (К2) — ИСПДн, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;

  • класс 3 (К3) — ИСПДн, для которых нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных;

  • класс 4 (К4) — ИСПДн, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.

Методы и способы защиты информации в ИСПДн в зависимости от класса, режима обработки информации и организации доступа к ней установлены Приказом ФСТЭК России от 05.02.2010 № 58.

Указанный нормативный акт формулирует общую методику построения защиты информационных систем и требует классифицировать данные, определить места их хранения, построить для них модель угроз и модель нарушителя и уже на основе этих данных выбирать средства защиты, способные предотвратить реализацию угроз из подготовленного списка.

- Я давала клятву, что не нанесу вреда!
- Но тебя же не заставляли где-то подписаться. (House, M.D.)

Как указывалось выше, любой работодатель является оператором персональных данных своих работников. Кроме того, осуществляя хозяйственную деятельность, организация или индивидуальный предприниматель получает доступ к некоторым персональным данным своих контрагентов и/или их представителей.

В связи с этим руководителю организации или соответствующему должностному лицу необходимо проанализировать состав, цели, сроки обработки и хранения персональных данных, обрабатываемых предприятием.

Далее, в зависимости от результатов проведенного анализа, необходимо установить наличие обязанности уведомления уполномоченного государственного органа (Роскомнадзора). Как уже упоминалось, без уведомления обработка персональных данных может производиться в случаях, предусмотренных п.2 ст.22 Закона № 152-ФЗ, в частности:

  • при наличии трудовых отношений;

  • в связи с заключением договора, стороной которого является субъект персональных данных;

  • если персональные данные являются общедоступными;

  • если персональные данные включают только фамилии, имена и отчества субъектов персональных данных;

  • если персональные данные необходимы для оформления однократных пропусков;

  • если персональные данные обрабатываются без использования средств автоматизации.

Вне зависимости от обязанности уведомить уполномоченный орган, организацией определяются применяемые способы обработки персональных данных. Обработка персональных данных может осуществляться с использованием средств автоматизации или без их использования.

Обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Указанное определение дано в Постановлении Правительства РФ от 15.09.2008 № 687.

Большинство организаций и/или индивидуальных предпринимателей в своей хозяйственной деятельности используют бухгалтерские программы, клиентские автоматизированные системы и иные программные продукты, осуществляющие обработку персональных данных. Несмотря на то, что такая обработка осуществляется при непосредственном участии человека, эксперты относят ее к автоматизированному способу. Порядок обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных регламентирован Постановлением Правительства РФ от 17.11.2007 № 781.

Далее формируется модель угроз безопасности и проводится классификация ИСПДн. Отметим, что, по экспертным оценкам, большинство существующих ИСПДн относятся к 3 классу.

Исполнение требований Закона № 152-ФЗ подразумевает проведение организацией комплекса организационных и технических мероприятий по обеспечению защиты персональных данных.

Организационные мероприятия по защите персональных данных включают в себя разработку организационно – распорядительных документов, регламентирующих процесс получения, обработки, хранения, передачи и защиты персональных данных. К таковым можно отнести:

  • Положение об обработке персональных данных;

  • Положение по защите персональных данных;

  • Перечень (состав) информационных систем, обрабатывающих персональные данные;

  • План мероприятий по защите персональных данных;

  • Регламент взаимодействия с субъектами персональных данных;

  • Регламент специалистов (администраторов) безопасности персональных данных;

  • Перечень лиц (пользователей), допущенных к обработке персональных данных, и регламент их работы с персональными данными;

  • Регламент организации хранения персональных данных и организация доступа в помещения, где осуществляется обработка персональных данных и/или размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

  • Согласие субъекта на обработку его персональных данных (порядок получения согласия на обработку персональных данных регламентирован ст.9 Закона № 152-ФЗ);

  • Иные документы.

Меры организационного характера проводятся вне зависимости от способа осуществления обработки персональных данных: с использованием средств автоматизации или без использования таких средств. Перечень документов и мероприятий зависит от специфики деятельности организации, с учетом категорий обрабатываемых персональных данных.

Технические мероприятия, осуществляемые в целях обеспечения защиты информации, проводятся на базе и с использованием программно - аппаратных средств защиты информации.

В соответствии с Приказом ФСТЭК России от 05.02.2010 № 58, при обработке персональных данных в информационных системах применение технических мер защиты является обязательным.

Технические мероприятия направлены за защиту речевой (акустической) информации и информации, обрабатываемой техническими средствами, в том числе воспроизводимой при помощи различных устройств отображения, средств вычислительной техники, информации на бумажных носителях и/или носителях на магнитной, оптической и т.п. основе.

К основным методам и способам защиты информации в информационных системах относятся:

  • межсетевое экранирование;

  • использование средств антивирусной защиты, систем предотвращения вторжений, сканеров уязвимостей;

  • использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;

  • использование средств защиты от утечек информации: систем контроля над периферийными устройствами, средств шифрования.

  • Статистика министерства юстиции показывается, что расовые предрассудки влияют на определенные меры наказания. Черным обвиняемым выносят приговор в десять раз чаще, чем белым.

- Но это же не означает, что надо совсем отказаться от смертной казни. Просто нужно убивать больше белых. (House, M.D.)

Поскольку действие Закона № 152-ФЗ касается фактически каждого субъекта предпринимательской деятельности, необходимо учитывать, что за невыполнение требований законодательства в области защиты персональных данных установлена административная и уголовная ответственность.

В частности, административная ответственность предусмотрена следующими статьями Кодекса РФ об административных правонарушениях:

  • статья 5.39 «Отказ в предоставлении гражданину информации»;

  • статья 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»;

  • статья 13.14 «Разглашение информации с ограниченным доступом»;

  • статья 19.5 «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)»;

  • статья 19.7 «Непредставление сведений (информации)».

Уголовная ответственность наступает при совершении преступлений, предусмотренных следующими статьями Уголовного кодекса РФ:

  • статья 137 «Нарушение неприкосновенности частной жизни»;

  • статья 140 «Отказ в предоставлении гражданину информации»;

  • статья 272 «Неправомерный доступ к компьютерной информации»;

  • статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».

Подводя итог высказанному, необходимо отметить, что Федеральный закон «О персональных данных» ставит серьезные задачи, связанные с защитой персональных данных, практически перед каждой организацией или индивидуальным предпринимателем, начинать решать которые необходимо уже сегодня. Своевременное проведение необходимых технических и организационных мероприятий избавит субъектов предпринимательской деятельности не только от притязаний со стороны контролирующих органов, но и обеспечит стабильность хозяйственной деятельности, поскольку позволит избежать материальных и репутационных издержек, связанных с претензиями работников, контрагентов и/или их представителей, обусловленными невыполнением требований по сбору, обработке и хранению персональных данных.