В России регулирование обращения с персональными данными осуществляется федеральным законом №152-ФЗ от 27 июня 2006 года и рядом других нормативных актов. Все организации, работающие с персональными данными, должны соблюдать эти правила, чтобы избежать штрафов со стороны Роскомнадзора. Это касается данных клиентов, подрядчиков и сотрудников.
Нарушить закон №152-ФЗ легко, и это касается не только несанкционированной передачи данных. Для полного понимания вопроса необходимо разобраться в терминологии и законодательной базе, а затем изучить тонкости организации защиты данных. Начнем с основ.
Согласно пункту 1 статьи 3 Федерального закона №152-ФЗ:
Также в этом законе приводится определение субъекта персональных данных:
Однако не вся информация, которая на первый взгляд кажется персональными данными, действительно является таковой. Например, распространенное имя — Иван Петрович Смирнов. В стране могут быть многие Иваны Смирновы, и точно установить личность конкретного человека только по имени не получится. Поэтому компании, собирающие персональные данные, запрашивают дополнительную информацию: номер телефона или электронную почту. В сочетании с ФИО такой набор данных позволяет компании точно идентифицировать Ивана Петровича Смирнова, и этот набор будет считаться персональными данными.
Все персональные данные можно разделить на четыре большие категории: общедоступные, иные, специальные и биометрические.
Информация о субъекте, размещённая в открытых источниках с его согласия (не на обработку, а на классификацию данных как общедоступные).
Если наш Иван Петрович дал согласие на размещение своих ФИО и номера телефона в справочнике, то такие данные будут считаться общедоступными. Общедоступные персональные данные определяются именно фактом их размещения в открытых источниках, а не содержанием.
Важно не путать общедоступную информацию (статья 7, 149-ФЗ) с персональными данными, опубликованными в общедоступных источниках (статья 8, 152-ФЗ). Открытый доступ к персональным данным не делает их автоматически общедоступными.
Примером могут служить социальные сети. Судебная практика показывает, что социальные сети не относятся к категории общедоступных источников. Это связано с тем, что при регистрации пользователи не дают письменного согласия на размещение своих данных в общедоступных источниках, как того требует закон.
Информация, которая не подпадает под остальные категории. Это самая обширная категория, включающая такие сведения, как ФИО, номер телефона, электронная почта, дата рождения и аналогичная информация. Пока эти данные не размещены в общедоступных источниках, они считаются иными персональными данными.
Сведения о человеке, характеризующие его как личность, включая религиозные убеждения, расовую принадлежность, подробности интимной жизни или состояние здоровья. Эти данные требуют особой защиты и строгого соблюдения правил обработки, поскольку их утечка может привести к серьезным последствиям для человека.
Сведения, описывающие биологические и физические особенности человека, используемые для его идентификации. К ним относятся ДНК, отпечатки пальцев, группа крови, характеристики голоса и радужка глаза. Фотографии или видео с человеком также могут быть отнесены к биометрическим данным, если они используются для его идентификации. Биометрические данные особенно чувствительны и требуют высоких мер безопасности при их обработке и хранении.
Любые действия с персональными данными, включая их сбор и хранение, относятся к обработке. В соответствии с пунктом 3 статьи 3 Федерального закона №152-ФЗ:
Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), выполненных с использованием автоматизированных средств или без них в отношении персональных данных.
Под обработкой подразумеваются такие действия, как:
Организация, осуществляющая обработку персональных данных, называется оператором персональных данных. Согласно пункту 2 статьи 3 Федерального закона №152-ФЗ:
Оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав данных, подлежащих обработке, и действия (операции), совершаемые с ними. Оператор несет ответственность за соблюдение всех требований законодательства в процессе обработки данных, включая обеспечение их безопасности и конфиденциальности.
Комплекс, включающий базы данных с персональными данными и технологические средства для их обработки. Этот термин также определяется Федеральным законом №152 (пункт 10, статья 3). В ИСПДн входит программное и аппаратное обеспечение, предназначенное для сбора, хранения, обработки и защиты информации. Комплекс используется частными и коммерческими организациями для управления персональными данными и обеспечения их безопасности в соответствии с требованиями законодательства.
Статья 5 Федерального закона регламентирует следующие 7 принципов, которые операторы обязаны соблюдать при работе с персональными данными:
Соблюдение этих принципов обязательно для всех структур, осуществляющих обработку. При проверках контролирующие органы будут оценивать соответствие деятельности оператора требованиям статей 5 и 6 Федерального закона №152-ФЗ.
Выбор технологических мер защиты основывается на четырех ключевых критериях:
Актуальные угрозы безопасности представляют собой условия и факторы, которые могут привести к несанкционированному доступу к информации, её уничтожению, изменению, блокированию, копированию, распространению и другим неправомерным действиям.
Все типы угроз определены в Постановлении Правительства №1119:
Определение типа угроз проводится оператором с учетом оценки возможного вреда, в соответствии с пунктом 5 части 1 статьи 18.1 и частью 5 статьи 19 Федерального закона №152-ФЗ. Оценка осуществляется на основании "Методики определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн". Четкого разграничения типов угроз для различных операторов нет. Однако угрозы 1-го и 2-го типа не актуальны для операторов, использующих лицензионное системное программное обеспечение и сертифицированные средства защиты информации в защищенной информационной среде.
При выборе средств защиты оператор должен учитывать, планирует ли он проходить аттестацию. Аттестацию проводит лицензиат ФСТЭК, и она обычно необходима для государственных и муниципальных учреждений. Коммерческим компаниям аттестация может потребоваться для сотрудничества с такими организациями, но чаще всего она не требуется. Для большинства негосударственных организаций достаточно акта оценки эффективности, который обязателен для всех операторов согласно части 2 пункта 4 статьи 19 Федерального закона №152-ФЗ.
Если оператор выбирает аттестацию, он должен использовать сертифицированные средства защиты информации (СЗИ), соответствующие уровню защищённости его системы. При выборе акта оценки эффективности оператор может использовать несертифицированные СЗИ, но обязан продемонстрировать их соответствие необходимым нормам.
Особое внимание криптозащите: при её использовании необходимо применять сертифицированные ФСБ средства криптографической защиты информации (СКЗИ), которые соответствуют уровню защищённости системы.
Основной регулятор в области персональных данных — Роскомнадзор. Он проверяет операторов и ведёт их учёт. В некоторых случаях также могут участвовать ФСТЭК и ФСБ. У Роскомнадзора есть несколько способов проверки соблюдения закона:
К плановой проверке рекомендуется готовиться заранее, так как собрать нужное количество документов и привести их в порядок удаётся далеко не за один день. Это особенно актуально для компаний среднего и крупного звена.
Защита персональных данных в облаке также регулируется Федеральным законом №152-ФЗ. Оператор может использовать инфраструктуру провайдера для обработки данных, но остаётся ответственным за их защиту.
Наиболее важные аспекты при этом:
Таким образом, оператор продолжает нести ответственность перед субъектом данных, а провайдер — перед оператором по условиям договора.