С конца 40-х годов ХХ века в практику вошло понятие персональных данных. Это такие сведения о человеке и его личной жизни, которые могут быть однозначно идентифицированы с ним и распространение или нелегитимное использование которых может нести ущерб личности. Национальное законодательство разработало стройную систему защиты персональных данных, возложив эту обязанность на юридические лица, получающие эти сведения в ходе своей деятельности. Требования касаются принятия технических и организационных мер.
Нормативно-правовое регулирование
Основным нормативным актом, в котором можно найти требования, установленные для обеспечения защиты персональных данных, является Федеральный закон «О персональных данных». Закон вводит основные определения, описывает, в каких случаях юридическое лицо будет являться оператором персональных данных, права, обязанности и ответственность операторов.
Закон не устанавливает полный перечень персональных данных. Ими могут быть любые сведения, относящиеся к личности человека и однозначно с ним идентифицирующиеся. Это:
- имя;
- возраст;
- паспортные данные;
- адрес, сведения о принадлежащих человеку объектах недвижимости и личной жизни;
- семейный статус и отдельные аспекты личной жизни;
- история болезни;
- номера банковских счетов и кредитной карты.
Большую часть этих сведений гражданин добровольно предоставляет оператору, устраиваясь на работу, совершая покупку в интернет-магазине, в котором требуется регистрация в личном кабинете, обращаясь в медицинское учреждение или оформляя пропуск в библиотеку. Каждая из компаний, получающая эти сведения, обязана обеспечить их защиту, хранение и сделать все, чтобы избежать их утечки. Перед тем, как получить сведения у физического лица, требуется подписать у него согласие на обработку персональных данных, в котором должны быть указаны:
- объем персональных данных;
- цели их обработки;
- способы их обработки;
- лица, подробно перечисленные, которым персональные данные могут передаваться в каких-либо целях для дополнительной обработки. Так, банк может передавать информацию Центробанку.
Согласие на обработку может быть отозвано гражданином, в этом случае данные в течение месяца уничтожаются. Без оформления согласия обрабатываются только сведения, связанные с выполнением гражданских обязанностей, например, уплатой налогов, или в случаях, предусмотренных отдельными законами, например, антитеррористическим законодательством или законом о предотвращении легализации доходов.
Одной из таких обязанностей становится создание информационной системы защиты персональных данных. Требования к созданию такой системы и определение класса ее защиты устанавливаются постановлением Правительства № 1119. Технические параметры системы, используемое оборудование и программное обеспечение регулируются нормативными актами ФСТЭК России.
Организационные меры
Применяемые для защиты персональных данных организационные меры делятся на две группы. К первой относятся те, которые обязаны принять все операторы, вне зависимости от того, к какому классу относится применяемая ими система защиты. Ко второй группе относятся меры, ранжируемые в зависимости от степени угроз, категории обрабатываемой информации и количества лиц, чьи персональные данные находятся в распоряжении оператора. Следует учитывать, что обязанности оператора не возлагаются на компании, которые обрабатывают только персональные данные сотрудников, переданные им в связи с обычным кадровым документооборотом.
Меры первой группы, направленные на защиту персональных данных, обязательные для всех операторов, представляют собой:
- направление уведомления в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных;
- утверждение пакета внутренних документов, среди которых должно быть положение о защите персональных данных;
- разработку формата согласия на обработку персональных данных;
- организацию процесса подписания и хранения таких согласий, их учет, обеспечение контроля над отзывом согласий;
- организацию ограничения доступа к компьютерам, содержащим охраняемую законом информацию, пропускного режима, систем ограниченного доступа к данным.
Если система безопасности персональных данных должна относиться к более высокому классу, чем четвертый, низший, к этим мерам добавляются следующие:
- издание приказа о назначении лица, ответственного за разработку и поддержание системы защиты безопасности персональных данных;
- создание отдельного департамента, занятого этой деятельностью (для максимального класса защиты у организаций, которые обеспечивают обработку персональных данных более чем 100 тысяч человек);
- внесение в электронные журналы учета всех параметров, связанных с изменением функций и полномочий сотрудников, допущенных к обработке данных.
Все эти меры могут дополняться в зависимости от текущих потребностей оператора.
Технические меры
Технические меры могут носить различный характер, он обусловливается требованиями, предъявляемыми в зависимости от установленного класса опасности. Среди них:
- использование для обработки персональных данных программного обеспечения, сертифицированного ФСТЭК РФ по различным классам защиты;
- применение криптологических средств защиты персональных данных;
- разграничение прав пользователей, установление межсетевых экранов;
- построение конфигурации системы в зависимости от применяемой модели угроз;
- использование программных средств, обеспечивающих полную защиту информационного периметра от утечек информации, в частности, DLP-системы и SIEM-системы.
Контроль над выполнением организационных мер по защите персональных данных возложен на Роскомнадзор, который вправе проводить плановые и внеочередные проверки соблюдения законодательства о защите персональных данных. Соблюдение технических мер проверяется ФСТЭК Российской Федерации. Ведомство также проводит проверки, как документальные, так и выездные. По результатам каждого контрольного мероприятия может быть вынесено предписание об устранении нарушения законодательства, оператору может быть запрещено заниматься деятельностью, связанной с обработкой персональных данных, он может быть привлечен к административной или уголовной ответственности.
Система защиты персональных данных направлена на соблюдение баланса интересов личности и бизнес-процессов оператора, законодательство гибко реагирует на изменения и корректирует все недочеты, связанные с недостаточной защитой персональных данных.