25.10.2006

Безопасность персональных данных по закону

image

О том, какие требования новый федеральный закон предъявляет к защите конфиденциальности приватных сведений, расскажет эта статья.

Безопасность персональных данных по закону

В конце июля Президент РФ В.В. Путин подписал закон «О персональных данных». В результате с февраля 2007 года торговля приватными базами данных становится преступлением, все виды организаций обязаны обеспечить безопасность личной информации своих сотрудников и клиентов, а за утечку персональных данных компания может быть привлечена к ответственности. О том, какие требования новый федеральный закон предъявляет к защите конфиденциальности приватных сведений, расскажет эта статья.

С полным текстом N152 ФЗ «О персональных данных» можно ознакомиться в «Российской газете» N4131 от 29 июля 2006 года. Далее будут проанализированы только основные определения и положения нового нормативного акта, имеющие непосредственное отношение к информационной безопасности (ИБ). После прочтения данной статьи и ознакомления с особенностями нового закона уважаемый читатель приглашается к участию в исследовании «Защита персональных данных по закону»

Главные определения

Прежде чем перейти к подробному анализу закона «О персональных данных», рассмотрим основные понятия этого нормативного акта.

Основные понятия закона «О персональных данных»

Термин

Определение

Примеры

Персональные данные

 

Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

ФИО, дата и место рождения, адрес, имущественное положение, образование, профессия и доходы.

Оператор

Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Любая коммерческая, некоммерческая, государственная, частная организация, так как на попечении любой организации находятся персональные данные, как минимум, ее служащих.

Обработка персональных данных

Практически любые действия (операции) с персональными данными.

Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение). Кроме того, использование, распространение, передача, обезличивание, блокирование, уничтожение.

Распространение персональных данных

Действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц.

Обнародование персональных данных в СМИ, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Обезличивание персональных данных

действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

Результаты статистических опросов – обезличенные данные.

Информационная система персональных данных

информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

База данных, например, оператора сотовой связи, содержащая персональные данные клиентов компании. Кроме того, средства для анализа записей в БД, импорта/экспорта информации, передачи данных и т.д. (см. определение «обработки персональных данных»).

Конфиденциальность персональных данных

обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания

Требование обеспечить защиту от утечек.

Анализ главных определений федерального закона позволяет сделать ряд важных выводов. Во-первых, под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков. Во-вторых, конфиденциальность информации является обязательным требованием, причем под ней понимает защита от распространения (синоним слову «утечка»). Перейдем теперь к конкретным положениям закона, требующим модификации ИТ-инфраструктуры и системы ИБ.

Требования закона к ИБ

Следует отметить, что федеральный закон «О персональных данных» выдвигает целый ряд требований ко всем сферам деятельности организации, в которых она соприкасается с приватными сведениями клиентов. Далее будут рассмотрены положения закона, имеющие отношения лишь к ИТ и ИБ. Между тем, каждой компании желательно провести анализ всех требований нормативного акта применительно к бизнес-процессам организации. Более того, в экспертную группу должен входить, как минимум, один представитель высшего звена, который хорошо себе представляет весь бизнес компании в целом.

Итак, прежде всего, следует обратить внимание на ст.5 ч.2.: «хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» персональная информация «подлежит уничтожению». Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ст.21 ч.4 длиной в три рабочих дня. Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Хотя, конечно, никто не запрещает создавать учетные записи и сохранять на сервере компании персональные сведения, но при этом электронный магазин должен ясно заявить, что эти данные собираются не для осуществления продажи товара (одной конкретной транзакции), а для длительного хранения. Однако эксперты InfoWatch указывают, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, никто не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Согласно ст.7, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно. Правда, особое внимание представители бизнеса должны уделить требованиям ст.19 – «Меры по обеспечению безопасности персональных данных при их обработке». Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Более того, согласно ст.19 ч.2, Правительство РФ должно установить требования «к обеспечению безопасности [приватных сведений] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».

По мнению аналитического центра InfoWatch, некоторые трудности у организаций, осуществляющих обработку персональных данных своих клиентов, могут вызвать требования ч.3 ст.22, согласно которым компания должна направить в уполномоченный орган уведомление об этом факте. Напомним, что закон вступает в силу с февраля 2007 года, но уведомление организация должна направить до 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания имеет только приватные данные своих сотрудников, то уведомление направлять не следует).

К вопросу об ответственности

При нарушении требований закона «О персональных данных» виновные лица (согласно ст. 24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.

Кроме того, остановимся на новых положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.

Прежде всего, новый ФЗ приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.

Заключение

Положения закона, имеющие отношение к ИБ, просуммированы в таблице ниже. Однако отметим, что Правительство РФ устанавливает требования к обеспечению безопасности персональных данных, а контроль над выполнением этих требований будет возложен на федеральный орган исполнительной власти (см. ст.19 ч.3). Сегодня неясно, будет ли создан новый уполномоченный правительственный орган или соответствующие полномочия будут делегированы уже существующей госструктуре. Тем не менее, этот орган сможет установить дополнительные требования к ИБ и оформить их в виде стандарта. Таким образом, специалистам по ИБ следует не терять бдительности и помимо всего прочего отслеживать нормативные инициативы государства.

Требования закона «О персональных данных» к ИБ

Номер статьи и пункта

Расшифровка

Ст.5 ч.2, Ст.21 ч.4

Хранение приватных сведений должно осуществляться не дольше, чем этого требуют цели их обработки, а по достижении целей обработки или утраты необходимости в их достижении персональная информация должна быть уничтожена. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается в три рабочих дня.

Ст.19 ч.1

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий

Ст.19 ч.4

Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Анализ представленных в таблице требований показывает, что ничего невозможного закон не требует от бизнеса и госорганов. Конечно, организациям придется инвестировать ресурсы в безопасность персональных данных, а именно: в системы предотвращения утечек и средства шифрования. Однако других препятствий, кроме бюджетных ограничений, на этом пути не предвидится, так как все необходимые решения технические решения уже представлены на рынке и поддерживаются целым рядом системных интеграторов и крупных поставщиков.

Приглашаем Вас принять участие в исследовании «Защита персональных данных по закону»

или введите имя

CAPTCHA