В целях защиты персональных данных субъектов создаются. Защита персональных данных
С 2006 года в России ведется усиленная работа над защитой персональных данных.
В течение этого времени был принят закон «О персональных данных», внесены поправки в Трудовой кодекс РФ, подписан приказ «О методах и способах защиты информации», которым должен следовать каждый, кто участвует в процессе получения, обработки и хранения персональных данных.
Теперь на работодателя ложится большая ответственность за защиту данных о сотруднике. Пострадать за небрежное отношение к персональным данным может и вся организация, и отдельный сотрудник отдела кадров, например. Но и рядовые сотрудники должны держать ухо востро, знать, как положено защищать информацию о них, и что вообще считать «личным».
Что относится к персональным данным?
На самом деле, почти все, что позволяет вас идентифицировать, - это персональные данные: ФИО, дата и место рождения, место жительства, семейное положение, образование, профессия, зарплата и др. Список законодатель оставил открытым.
Какие законы защищают персональные данные?
Основной документ в этом вопросе – Федеральный закон «О персональных данных» (№ 152-ФЗ). Согласно нему, любой государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, обязаны защитить их.
С 1 июля 2011 года все отношения, связанные с обработкой и хранением персональных данных, должны быть приведены в соответствие с требованиями настоящего Федерального закона.
В Трудовом кодексе РФ защите персональных данных сотрудника со стороны работодателя посвящена глава 14.
Мнение эксперта
«Защита персональных данных в трудовых отношениях представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных. Работодателем должны быть приняты следующие меры:
- пропускной режим,
- особый порядок приема, учета и контроля деятельности посетителей,
- использование технические средств охраны,
- лицензированное ПО, которое, как предполагается, защищает от его кражи злоумышленниками. Однако, с другой стороны, использование лицензированного ПО (а это, как правило, Windows), теоретически позволяет трансграничный съем любых данных с компьютеров. Поэтому, подписывая согласие на обработку персональных данных, важно указывать цели такой обработки, получить информацию о держателе базы (куда можно отправить отзыв согласия на обработку), и запрет на трансграничную передачу данных.
C июля 2009 года в закон были внесены поправки, отменившие обязанность операторов шифровать данные при их передаче или обработке. То есть, если отдельным законом эта обязанность не налагается, то работодателя не могут обязать обеспечить активную защиту. Но пассивную защиту ваших данных путем удаленного доступа к ним работодатель обеспечить обязан».
Что нужно защищать работодателю?
- Личную информацию о сотрудниках.
- Внутреннюю документацию организации.
- Информацию о контрагентах.
От кого защищать? Есть три источника угрозы: третьи лица; сотрудники, имеющие доступ к персональным данным; сам сотрудник.
Как защищать?
Согласно главе 14 ТК РФ, внутри организации должен действовать локальный нормативный акт, регулирующий порядок использования и хранения персональных данных. С этим актом должны быть ознакомлены все сотрудники. Кроме того, каждый принимаемый на работу кандидат должен знать об условиях обработки его персональных данных еще до заключения трудового договора (статья 68 ТК РФ).
Работодатель по закону берет на себя обеспечение технической защиты. Должны быть сейфы с кодами доступа или шкафы, запирающиеся на замок, для персональных данных, обрабатываемых без автоматизации. Доступ к ним должен быть только у сотрудников, допущенных к работе с персональными данными.
Важно, чтобы прием сторонних посетителей и прием сотрудников осуществлялся в отделе кадров в разное время. На столе работника, ведущего прием, не должно быть никаких документов, кроме тех, которые касаются конкретного посетителя.
Персональные данные, которые обрабатываются в информационных системах, также должны быть защищены. Методы защиты перечислены в приказе ФСТЭК РФ от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». Среди них:
- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
- резервирование технических средств, дублирование массивов и носителей информации;
- использование защищенных каналов связи;
- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
Мнение эксперта
«Понять сотруднику, что меры безопасности по сохранности персональных данных предпринимаются в компании, можно по наличию (и ознакомлению под подпись) положения о защите персональных данных, приказа о доступе к персональным данным, наличию сейфа для кадровой документации, паролей на компьютерах.
Опасность для сотрудника заключается в том, что с лицензионного ПО можно получить персональные данные на конкретного сотрудника, сформировать любое досье на него, зарплатах, связях, родственниках, переписке. И в дальнейшем, так как все-таки идея тотальной электронизации овладела миром, при получении виз, оформлении загранпаспортов, в случае определенного интереса органов опеки к вашей семье, можно получить информацию о вас, ваших обязанностях, доходе, т.е. тех сведениях, которые можно использовать против вас».
Наказания
За несоблюдение положений закона 152-ФЗ «О персональных данных» предусмотрены гражданская, уголовная, административная, дисциплинарная и другие виды ответственности. В некоторых случаях может быть приостановлена деятельность организации или отзыв лицензии.
Трудовой кодекс предусматривает в качестве одного из оснований увольнения разглашение персональных данных другого работника (статья 81).
Но уволить за разглашение персональных данных можно только того работника, которому такие сведения стали известны в связи с исполнением трудовых обязанностей. Среди этих сотрудников: работники отдела кадров, бухгалтерии, руководители организаций и их заместители. Важный момент: для увольнения работника за разглашение персональных данных не важно, был ли проступок совершен умышленно или по неосторожности.
Если работник узнал персональные данные случайно и в его должностные обязанности не входит работа с личными сведениями, увольнять по статье 81-й – незаконно.
Наша справка:
16 мая Минэкономразвития России обнародовал законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» , в котором предлагается существенно увеличить штрафы за нарушения, предусмотренные ст. 13.11 КоАП. Так, штраф за нарушение установленного законодательством РФ процесса обработки персональных данных увеличится для граждан с 300 – 500 руб. до 3 000 – 5 000 руб., для должностных лиц - с 500 – 1 000 руб. до 30 000 – 50 000 руб., для юридических лиц - с 5 000 – 10 000 руб. до 200 000 – 500 000 руб. Вводится штраф и для индивидуальных предпринимателей - в размере 30 000 – 50 000 руб.
Какое отношение к закону «О персональных данных»?
Большинство признает, что закон нужный, но, кажется, работодатели пока не готовы к его соблюдению. Система документооборота, отделов управления персоналом и т. д. должны пересматриваться. Только формальное соблюдение закона не даст эффекта в плане защиты данных и несет лишние финансовые затраты. Пока работодатель воспринимает соблюдение этого закона как еще одну головную боль.
«Продвинутые» сотрудники вовсю обсуждают закон в Интернете. И также большинство сходится во мнении, что закон сырой, а то, что написано на бумаге, не всегда работает в жизни. Рядовые же сотрудники даже не в курсе, что и кому можно предоставлять. Мы проходим опросы, оставляем свои контактные данные, не интересуясь, как их сохранят. Не читая подписываем договоры. Предъявляем паспорт везде, где его спрашивают. Не следим за тем, что оставляем на рабочем компьютере.
Чтобы закон начал работать, его должны соблюдать на всех уровнях.
«Год назад я работал в небольшой IT-компании. Система безопасности там была в зачаточном состоянии. Пользовательские пароли на компьютерах были «12345» что у главного , что у . Пароли на админки не менялись – «qwerty». Я предложил начальству заменить пароли. С большим трудом это сделали. Со стороны менеджеров были препятствия – «Зачем? Моим компьютером никто больше не пользуется». Со стороны других сисадминов – «Не сейчас. Полно другой работы». Они даже не понимали, насколько это важно для безопасности компании и каждого из них».
1.1. Персональные данные
Необходимость обеспечения безопасности персональных данных в наше время - объективная реальность.
Современный человек не может самостоятельно противодействовать посягательству на его частную жизнь.
Возросшие технические возможности по сбору и обработке персональной информации, развитие средств
Рассмотрим несколько примеров из повседневной жизни, когда нарушаются права человека на
конфиденциальность персональных данных. Бывает так, что при оформлении дисконтной карты в магазине
покупатель указывает следующие сведения: фамилию, номер телефона, электронный адрес, а затем
получает сообщения и письма совершенно из других магазинов, в которых даже никогда не бывал. То есть
магазин без согласия покупателя передал его данные третьим лицам. Если газета печатает ФИО и суммы
выигрыша победителей лотереи без их ведома, или ТСЖ вывешивает на подъезде списки должников и
сумму их долга - это примеры "безобидных " утечек. Кража персональных данных может нанести
правообладателю ощутимый материальный ущерб, если речь идет о кредитных картах или информации о
сбережениях в банке. Злоумышленники, обладающие достаточными техническими знаниями, похищают
реквизиты банковских карт (скиминг) или имитируют сайты финансовых учреждений, чтобы заставить
пользователя показать свою личную информацию (фишинг). На самом деле зачастую даже трудно
установить источник утечки персональных данных вследствие высокой информатизации современного
общества.
Государство на законодательном уровне требует от организаций и физических лиц, обрабатывающих
персональные данные, обеспечить их защиту. Законодательство Российской Федерации в области защиты
персональных данных основывается на Конституции РФ, международных договорах Российской
Федерации, Федеральном законе РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Федеральном
законе от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и
других определяющих случаи и особенности обработки персональных данных федеральных законов.
Целью российского законодательства в области защиты персональных данных является обеспечение
защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на
неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются
отношения, связанные с обработкой персональных данных, осуществляемой государственными органами
власти, органами местного самоуправления, юридическими лицами и физическими лицами.
Основополагающим законом в области защиты персональных данных является Федеральный закон "О
персональных данных" №152, который был принят Государственной думой 8 июля 2006 года и вступил в
1. основные понятия, связанные с обработкой персональных данных;
2. принципы и условия обработки персональных данных;
3. обязанности оператора персональных данных;
4. права субъекта персональных данных;
5. виды ответственности за нарушение требований ФЗ-№152;
6. государственные органы, осуществляющие контроль за соблюдением требований ФЗ-№152.
В соответствии с Законом персональные данные - любая информация, с помощью которой можно
однозначно идентифицировать физическое лицо (субъект ПД).
К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место
рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
другая информация, принадлежащая субъекту ПД.
Операторами персональных данных являются государственный орган, муниципальный орган,
юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных
данных, а также определяющие цели и содержание обработки персональных данных.Обработка персональных данных – действия (операции) с персональными данными, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление, изменение), использование,
распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных
Информационная система персональных данных (далее ИСПД) – информационная система,
представляющая собой совокупность персональных данных, содержащихся в базе данных, а также
информационных технологий и технических средств, позволяющих осуществлять обработку таких
персональных данных с использованием средств автоматизации или без использования таких средств.
Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия
по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных
данных" установлены три регулятора:
Роскомнадзор (защита прав субъектов персональных данных)
ФСБ (требования в области криптографии)
ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по
техническим каналам).
Так как ФЗ "О персональных данных" является лишь основой правового обеспечения защиты ПД, его
требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи,
нормативно-методических документах регуляторов.
ФЗ "О персональных данных" выделяет следующие категории персональных данных.
Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия
субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования
соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях
информационного обеспечения (например, справочники и адресные книги). В общедоступные источники
персональных данных с письменного согласия субъекта персональных данных могут включаться его
фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные
персональные данные, предоставленные субъектом персональных данных.
Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных
источников по требованию субъекта либо по решению суда или уполномоченных государственных
принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья,
интимной жизни. Их обработка допускается только в следующих случаях:
субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
персональные данные являются общедоступными;
персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия
невозможно, либо обработка персональных данных осуществляется лицом, профессионально
занимающимся медицинской деятельностью и обязанным в соответствии с законодательством
Российской Федерации сохранять врачебную тайну;
обработка персональных данных членов (участников) общественного объединения или религиозной
организации при условии, что персональные данные не будут распространяться без согласия в
письменной форме субъектов ПД;
обработка персональных данных осуществляется в соответствии с законодательством Российской
Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с
уголовно-исполнительным законодательством Российской Федерации или необходима в связи с
осуществлением правосудия.Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля
2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем
персональных данных" определяет следующие категории персональных данных, которые
обрабатываются в ИСПД:
взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
Биометрические персональные данные – это сведения, которые характеризуют физиологические
особенности человека и на основе которых можно установить его личность. Они могут обрабатываться
только при наличии согласия в письменной форме субъекта ПД. Обработка биометрических персональных
данных без согласия субъекта ПД может осуществляться в связи с осуществлением правосудия, а также в
случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно -
розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую
Федерацию, уголовно - исполнительным
Законодательством.
Определение биометрических данных в российском законодательстве предоставляет оператору
персональных данных возможность принятия самостоятельного решения об отнесении тех или иных
данных к биометрическим. Это породило немало споров. Рассмотрим пример с фотографией. С одной
стороны, она характеризует физиологические особенности человека. Но человек с течением времени может
сильно измениться или злоумышленник может подделать внешние признаки под законного субъекта. Так
ли однозначно в данном случае установление личности? В настоящее время представители регуляторов
подтверждают, что фотография и видеоизображения относятся к биометрическим данным.
1.3. Права субъекта персональных данных
Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано
на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим
основные права субъекта ПД, установленные ФЗ-№152.
1. Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает
право субъекта на получение сведений об операторе персональных данных и о том, какие ПД,
относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД.
Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они
устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к
своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании
запроса. Полученная информация может содержать следующие сведения:
o цель обработки ПД
o способы обработки ПД
o сроки обработки ПД
o перечень допущенных к обработке ПД лиц
o перечень обрабатываемых ПД и источник их получения
o сведения о возможных юридических последствиях обработки ПД для субъекта ПД.
Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь
идет о безопасности страны, нарушении конституционных прав и свобод других лиц или
оперативно-розыскной деятельности.2. Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ,
услуг на рынке, а также в целях политической агитации. В данном случае обработка
осуществляется только при условии предварительного согласия субъекта. При этом важно
отметить, что обработка признается осуществленной без согласия субъекта, если оператор не
доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.
3. Права субъектов персональных данных при принятии решений на основании исключительно
автоматизированной обработки их персональных данных. Закон запрещает принятие решений в
отношении субъекта ПД исключительно на основании автоматизированной обработки, если не
получено его согласия в письменной форме или в случаях, предусмотренных федеральными
законами.
4. Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор
обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в
уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Необходимо отметить, что субъект ПД имеет право на возмещение убытков и компенсацию материального
вреда в судебном порядке.
1.4. Обязанности оператора персональных данных
Ранее мы рассмотрели понятие оператора персональных данных и действия, являющиеся обработкой
персональных данных. Исходя из определения, можно сделать вывод о том, что все без исключения
организации являются операторами ПД, так как они накапливают, собирают и обрабатывают информацию
о своих сотрудниках в рамках Трудового кодекса РФ. Помимо этого многие организации собирают
сведения о своих клиентах, подрядчиках, поставщиках и партнерах в рамках своей основной деятельности.
Главными обязанностями оператора ПД является уведомление Роскомнадзора об обработке ПД и
Собственно, защита ПД.
Законом предусмотрены случаи, когда оператор не обязан уведомлять Роскомнадзор об обработке ПД:
1. если его связывают с субъектом трудовые отношения;
2. если между оператором и субъектом существует договор и данные необходимы для исполнения
обязательств по нему;
3. если данные относятся к членам религиозных объединений и общественных организаций и
обрабатываются в соответствии с учредительными документами и с законом.
4. если данные являются общедоступными;
5. если включают в себя только ФИО;
6. данные необходимы для однократного пропуска на территорию оператора или аналогичных целей;
7. если данные включены в федеральные автоматизированные информационные системы и
государственные информационные системы персональных данных;
8. если данные обрабатываются без использования средств автоматизации в соответствии с законами
Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим
При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять
уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на
операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение
требований законодательства и караются мерами, предусмотренными Законом.
Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-№152:
1. Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать
необходимые организационные и технические меры для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, распространения персональных данных, а также от иных неправомерных действий".
2. Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-№152
оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку
персональных данных. Роскомнадзор вносит сведения об операторе в реестр операторов.
Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения
безопасности персональных данных при их обработке, является общедоступной.
3. При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала
обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за
исключением случаев, если персональные данные были предоставлены оператору на основании
федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет
право отозвать данное разрешение.
4. Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и
условиях обработки, способах защиты его персональных данных.
Оператор также должен уничтожить или блокировать соответствующие персональные данные,
внести в них необходимые изменения по предоставлении субъектом ПД или его законным
представителем сведений, подтверждающих, что персональные данные, которые относятся к
соответствующему субъекту и обработку которых осуществляет оператор, являются неполными,
устаревшими, недостоверными, незаконно полученными или не являются необходимыми для
заявленной цели обработки.
Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на
обработку его персональных данных, а в случае обработки общедоступных персональных данных
на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.
5. Подконтрольность и поднадзорность деятельности операторов персональных данных
государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган
по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления
деятельности указанного органа. Функциями контроля и надзора государство наделило
Роскомнадзор, ФСТЭК и ФСБ.
Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о
1. обработка персональных данных осуществляется на основании других федеральных законов,
например, некоторыми Федеральными законами предусматриваются случаи обязательного
предоставления субъектом ПД своих персональных данных в целях защиты основ
конституционного строя, нравственности, здоровья, прав и законных интересов других лиц,
обеспечения обороны страны и безопасности государства;
2. оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки
персональных данных этого субъекта, например, договор, по которому туристическая фирма
(оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
3. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно
важных интересов субъекта ПД, если получение его согласия невозможно, например,
госпитализация человека при несчастном случае;
4. обработка персональных данных необходима для доставки почтовых отправлений организациями
почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг
связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами
5. обработка персональных данных осуществляется в целях профессиональной деятельности
журналиста либо в целях научной, литературной или иной творческой деятельности при условии,
что при этом не нарушаются права и свободы субъекта ПД;
6. осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с
федеральными законами, в том числе ПД лиц, замещающих государственные должности,
должности государственной гражданской службы, персональных данных кандидатов на выборные
государственные или муниципальные должности.
Во всех других случаях оператор должен соблюдать требования российского законодательства по
обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная,
дисциплинарная и иная ответственность за нарушение его требований.Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000
рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс
предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении
деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).
В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1_го года, аресте
до 6_ти месяцев и лишении права занимать должность на срок до 5_ти лет в случае осуществления защиты
персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст.
При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве
лицензий на основной вид деятельности.2.1. Автоматизированная и неавтоматизированная обработка персональных данных
Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.
Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением
Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. "Об утверждении Положения об
особенностях обработки персональных данных, осуществляемой без использования средств
автоматизации".
Обработка персональных данных является неавтоматизированной, если осуществляется при
непосредственном участии человека.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации,
должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных
носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном
материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для
носитель.
Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются
автоматизированными, а какие нет. Процитируем их:
1. Обработка персональных данных, содержащихся в информационной системе персональных данных
либо извлеченных из такой Системы считается осуществленной без использования средств
автоматизации (неавтоматизированной), если такие действия с персональными данными, как
использование, уточнение, распространение, уничтожение персональных данных в отношении
каждого из субъектов персональных данных, осуществляются при непосредственном участии
человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием
средств автоматизации только на том основании, что персональные данные содержатся в
информационной системе персональных данных либо были извлечены из нее.
При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что
почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка
обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать
выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.
Для более детального определения автоматизированной системы обработки ПД обратимся к Конвенции "О
защите физических лиц при автоматизированной обработке ПД" от 28 января 1981 года. Данный документ
вводит понятие "автоматизированный файл" – любой комплекс данных, подвергающихся
автоматизированной обработке. И, соответственно, "автоматизированная обработка " включает
следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств:
хранение данных, осуществление логических и/или арифметических операций с этими данными, их
изменение, уничтожение, поиск или распространение.
2.2.Особенности обеспечения безопасности персональных данных в автоматизированных системах
Автоматизированные системы обработки информации (АС) в общем случае классифицируются по
следующим признакам:
1. наличие в АС информации различного уровня конфиденциальности;
2. уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
3. режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается 9 классов защищенности АС от несанкционированного доступа. Каждый класс
характеризуется установленным набором требований по защите. Классы подразделяются на три группы,
отличающиеся особенностями обработки информации в АС.В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности
(конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС,
размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко
всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня
конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или)
хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко
всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
Деление АС на классы производится в целях выбора оптимальных и достаточных мер защиты для
достижения требуемого уровня защищенности.
АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к
классам 3Б, 2Б и не ниже 1Д.
В зависимости от структуры АС и способа обработки информации руководящими документами
обеспечение безопасности в автоматизированных рабочих местах (АРМ) на базе автономных ПЭВМ
при использовании съемных накопителей большой емкости. Такие рабочие места обладают всеми
признаками автоматизированной системы, соответственно, должны удовлетворять определенным
требованиям по защите информации. Основной особенностью является исключение хранения на ПЭВМ
информации, подлежащей защите.
Обмен информацией между АРМ должен осуществляться только на учтенных носителях информации с
учетом допуска исполнителей. На рабочих местах исполнителей не должно быть неучтенных носителей
информации. В случае формирования конфиденциальных документов с использованием, как текстовой, так
и графической информации, представленной на неконфиденциальных накопителях информации,
неконфиденциальные накопители информации должны быть "закрыты на запись".
При использовании в данном случае Flash-Bios (FB), необходимо обеспечить целостность записанной в FB
информации. Для обеспечения целостности, как перед началом работ, с конфиденциальной информацией
при загрузке ПЭВМ, так и по их окончании, необходимо выполнить процедуру проверки целостности FB.
При несовпадении необходимо восстановить (записать первоначальную версию) FB, поставить об этом в
известность руководителя подразделения и службу безопасности, а также выяснить причины изменения
Должна быть согласована и утверждена технология обработки защищаемой информации,
предусматривающая такие вопросы, как защита информации, учет носителей, размещения, эксплуатации
АРМ и т.п.
обеспечение безопасности в локальных вычислительных сетях. Основными особенностями ЛВС
[ документ ]2 лекция.docx
2. Лекция: Персональные данные. Законодательство в области защиты персональных данныхЛекция позволяет изучить основные термины и базовые законы Российской Федерации в области защиты персональных данных.
Необходимость обеспечения безопасности персональных данных в наше время - объективная реальность. Современный человек не может самостоятельно противодействовать посягательству на его частную жизнь. Возросшие технические возможности по сбору и обработке персональной информации, развитие средств электронной коммерции и социальных сетей делают необходимым принятие мер по защите персональных данных.
Рассмотрим несколько примеров из повседневной жизни, когда нарушаются права человека на конфиденциальность персональных данных. Бывает так, что при оформлении дисконтной карты в магазине покупатель указывает следующие сведения: фамилию, номер телефона, электронный адрес, а затем получает сообщения и письма совершенно из других магазинов, в которых даже никогда не бывал. То есть магазин без согласия покупателя передал его данные третьим лицам. Если газета печатает ФИО и суммы выигрыша победителей лотереи без их ведома, или ТСЖ вывешивает на подъезде списки должников и сумму их долга. Это примеры "безобидных " утечек. Кража персональных данных может нанести правообладателю ощутимый материальный ущерб, если речь идет о кредитных картах или информации о сбережениях в банке. Злоумышленники, обладающие достаточными техническими знаниями, похищают реквизиты банковских карт (скиминг) или имитируют сайты финансовых учреждений, чтобы заставить пользователя показать свою личную информацию (фишинг). На самом деле зачастую даже трудно установить источник утечки персональных данных вследствие высокой информатизации современного общества.
Государство на законодательном уровне требует от организаций и физических лиц, обрабатывающих персональные данные, обеспечить их защиту. Законодательство Российской Федерации в области защиты персональных данных основывается на Конституции РФ, международных договорах Российской Федерации, Федеральном законе РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Федеральном законе от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Целью российского законодательства в области защиты персональных данных является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
Основополагающим законом в области защиты персональных данных является Федеральный закон "О персональных данных" №152, который был принят Государственной думой 8 июля 2006 года и вступил в силу с 26 января 2007 года. Закон определяет:
основные понятия, связанные с обработкой персональных данных;
принципы и условия обработки персональных данных;
обязанности оператора персональных данных;
права субъекта персональных данных;
виды ответственности за нарушение требований ФЗ-№152;
государственные органы, осуществляющие контроль за соблюдением требований ФЗ-№152.
^ Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
^ Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
^ Информационная система персональных данных (далее ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств [7 ].
Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных данных" установлены три регулятора:
Роскомнадзор (защита прав субъектов персональных данных)
ФСБ (требования в области криптографии)
ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).
^ 2.2. Категории персональных данных
ФЗ "О персональных данных" выделяет следующие категории персональных данных.
Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о
профессии и иные персональные данные, предоставленные субъектом персональных данных.
Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
^ Специальные категории ПД - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
персональные данные являются общедоступными;
персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия [7 ].
^ Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПД. Обработка биометрических персональных данных без согласия субъекта ПД может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно - розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно - исполнительным
Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим. Это породило немало споров. Рассмотрим пример с фотографией. С одной стороны, она характеризует физиологические особенности человека. Но человек с течением времени может сильно измениться или злоумышленник может подделать внешние признаки под законного субъекта. Так ли однозначно в данном случае установление личности? В настоящее время представители регуляторов подтверждают, что фотография и видеоизображения относятся к биометрическим данным.
^ 2.3. Права субъекта персональных данных
Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-№152.
Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:
цель обработки ПД
способы обработки ПД
сроки обработки ПД
перечень допущенных к обработке ПД лиц
перечень обрабатываемых ПД и источник их получения
сведения о возможных юридических последствиях обработки ПД для субъекта ПД.
Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.
Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.
Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
^ 2.4. Обязанности оператора персональных данных
Ранее мы рассмотрели понятие оператора персональных данных и действия, являющиеся обработкой персональных данных . Исходя из определения, можно сделать вывод о том, что все без исключения организации являются операторами ПД, так как они накапливают, собирают и обрабатывают информацию о своих сотрудниках в рамках Трудового кодекса РФ. Помимо этого многие организации собирают сведения о своих клиентах, подрядчиках, поставщиках и партерах в рамках своей основной деятельности. Главными обязанностями оператора ПД является уведомление Роскомнадзора об обработке ПД и,собственно, защита ПД.
Законом предусмотрены случаи, когда оператор не обязан уведомлять Роскомнадзор об обработке ПД:
если его связывают с субъектом трудовые отношения;
если между оператором и субъектом существует договор и данные необходимы для исполнения обязательств по нему;
если данные относятся к членам религиозных объединений и общественных организаций и обрабатываются в соответствии с учредительными документами и с законом.
если данные являются общедоступными;
если включают в себя только ФИО;
данные необходимы для однократного пропуска на территорию оператора или аналогичных целей;
если данные включены в федеральные автоматизированные информационные системы и государственные информационные системы персональных данных;
если данные обрабатываются без использования средств автоматизации в соответствии с законами РФ.
При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение требований законодательства и караются мерами, предусмотренными Законом.
Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-№152:
Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-№152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или
если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.
Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.
Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.
Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ[9 ].
обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности[7 ].
гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.
Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).
В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1_го года, аресте до 6_ти месяцев и лишении права занимать должность на срок до 5_ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).
При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.
