Персональные данные

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Персона́льные да́нные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)[1].

Хотя концепция персональных данных довольно стара, развитие компьютерных сетей и автоматизированного анализа данных позволили красть, централизованно собирать и массово продавать данные о человеке. Эти данные помогают выследить человека, спланировать преступление против него или постороннему выдать себя за человека. Более мирное применение персональным данным — реклама.

Хотя современные технологии анализа данных позволяют отличить одного человека от другого по очень косвенным признакам, персональные данные — это юридическое, а не техническое понятие.

Нормативная база[править | править вики-текст]

Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. Согласно ст. 12 этого документа «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию». Положения Декларации получили своё дальнейшее развитие в других международно-правовых документах и документах Европейского союза, в частности в принятой 4 декабря 1950 г. Европейской конвенции о защите прав человека и основных свобод.

28 января 1981 г. Совет Европы принял Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (далее — Конвенция о защите физических лиц) и Дополнительный протокол к Конвенции, касающийся наблюдательных органов и трансграничной передачи данных. Были приняты также две директивы Европарламента и Совета Европейского союза (Директива 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных и Директива 97/66/ЕС от 15 декабря 1997 г., касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций); а также Рекомендации Комитета министров государствам — членам Совета Европы по защите неприкосновенности частной жизни в Интернете (19 февраля 1999 г.)

Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных. Данный закон принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.

Одним из главных требований Конвенции и 152-ФЗ является взятие с субъекта персональных данных согласия на обработку персональных данных.

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяет уровни защищенности и новые типы информационных систем.

Документ предписывает Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением.

В 2008 году были приняты следующие документы (согласно Постановлению Правительства РФ № 781 — в настоящее время действие данного постановления отменено, однако методические материалы используются).

В 2012 году было принято новое Постановление Правительства № 1119[2][3], а в 2013 году введён в действие новый Приказ ФСТЭК № 21, а также очередные правки в Федеральном законе № 152 от 27.07.2011. Данные документы предъявляют новые требования к оператору персональных данных[4][5].

Федеральный закон РФ[править | править вики-текст]

«О персональных данных» от 27.07.2006 № 152-ФЗ.

Указ Президента РФ[править | править вики-текст]

«Об утверждении перечня сведений конфиденциального характера» указ Президента РФ от 6 марта 1997 г. № 188.

Постановления Правительства Российской Федерации[править | править вики-текст]

  • «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512;
  • «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687;
  • «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119.

Методические материалы Роскомнадзора[править | править вики-текст]

  • «Об утверждении требований и методов по обезличиванию персональных данных» приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 N 29935);
  • "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» утв. Роскомнадзором 13.12.2013;

Методические материалы ФСТЭК России[править | править вики-текст]

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года[6];
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утв. ФСТЭК РФ 14 февраля 2008 года[6];
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» приказ ФСТЭК России от 18.02.2013 № 21 (Зарегистрировано в Минюсте России 14.05.2013 № 28375).

Документы, которые не применяются:

  • с 15 марта 2010 года[7]:
    • «Основные мероприятия по организации технического обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 года).
    • «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 года).

позже:

    • «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» приказ ФСТЭК России от 5.02.2010 № 58 (зарегистрирован в Минюсте России 19.02.2010 № 16456).

Приказ ФСТЭК России о составе и содержании мер по обеспечению безопасности персональных данных в ИСПДн[править | править вики-текст]

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Документ зарегистрирован в Минюсте РФ 14 мая 2013 года, опубликован 22 мая 2013 года в «Российской газете» (№ 6083), вступил в действие с 1 июня 2013 года.

Признает утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. N 58 «Об утверждении о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456).

Методические материалы ФСБ России[править | править вики-текст]

  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 года № 149/54-144;
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 года № 149/6/6-622.[8]
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» приказ ФСБ России от 10.07.2014 № 378.

В соответствии с положениями федерального закона от 27 декабря 2009 года № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона „О персональных данных“», вступившего в силу 29 декабря 2009 года, в законе № 152-ФЗ в части 1 статьи 19 было исключено требование использования оператором при обработке ПДн шифровальных (криптографических) средств. Таким образом, требования методических материалов, разработанных ФСБ России и направленных на разъяснение требований по обеспечению безопасности ПД путём организации криптографической защиты данных, перестали носить обязательный характер.

Приказ трех ведомств[править | править вики-текст]

13 февраля 2008 г. был подписан так называемый «приказ трех»:

Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Документ представляет собой методическую рекомендацию по классификации информационных систем.

Проводить классификацию информационных систем персональных данных должны все операторы персональных данных, осуществляющие обработку с использованием средств автоматизации.

Отменен совместным приказом ФСТЭК России, ФСБ России и Минкомсвязи России от 31 декабря 2013 г. № 151/786/461 "О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»[9].

Обнародование персональной информации судами[править | править вики-текст]

В силу ст. 13 Федерального закона от 22.12.2008 N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации" Обнародование информации о деятельности судов в средствах массовой информации осуществляется в соответствии с законодательством Российской Федерации о средствах массовой информации, к которым относится Закон РФ от 27.12.1991 N 2124-1 "О средствах массовой информации», а также издаваемые в соответствии с ним иные нормативные правовые акты Российской Федерации. На основании п. В ч. 2 ст. 14 Федерального закона от 22.12.2008 N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации," в сети "Интернет" размещаются сведения о находящихся в суде делах: регистрационные номера дел, их наименования или предмет спора, информация об участниках судебного процесса, информация о прохождении дел в суде, а также сведения о вынесении судебных актов по результатам рассмотрения дел.

Информация об участниках судебного процесса размещается в сети "Интернет" с учетом требований, предусмотренных статьей 15 Федерального закона от 22.12.2008 N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".В силу абз. 1 ч. 4 ст. 15[10], персональными данными являются фамилии, имена и отчества участников судебного процесса, дата и место рождения, место жительства или пребывания, номера телефонов, реквизиты паспорта или иного документа, удостоверяющего личность, идентификационный номер налогоплательщика - физического лица, основной государственный регистрационный номер индивидуального предпринимателя, страховой номер индивидуального лицевого счета; При размещении в сети "Интернет" текстов судебных актов, принятых судами общей юрисдикции, Верховным Судом Российской Федерации, за исключением текстов судебных актов, принятых Верховным Судом Российской Федерации в соответствии с арбитражным процессуальным законодательством, в целях обеспечения безопасности участников судебного процесса и защиты государственной и иной охраняемой законом тайны из этих актов исключаются персональные данные, указанные в части 4 статьи 4 ФЗ N 262-ФЗ.

Вместо исключенных персональных данных используются инициалы, псевдонимы и другие обозначения, не позволяющие идентифицировать участников судебного процесса.

Не подлежат исключению идентификационный номер налогоплательщика - индивидуального предпринимателя, основной государственный регистрационный номер индивидуального предпринимателя, фамилии, имена и отчества истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, административного истца, административного ответчика, заинтересованного лица, лица, в отношении которого ведется производство по делу об административном правонарушении, фамилии, имена и отчества осужденного, оправданного, секретаря судебного заседания, судьи (судей), рассматривавшего дело, а также прокурора, адвоката и представителя.

Федеральный закон «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях (часть 1 статьи 1). Согласно части 2 статьи 8 Закона о персональных данных сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. В силу пункта 5 части 2 указанный Федеральный закон не распространяется на отношения, возникающие при предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22.12.2008 N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации", который является специальным законом, подлежащим применению к спорным правоотношениям.

Защита персональных данных и ответственность[править | править вики-текст]

Ответственность за разглашение персональных сведений наступает, в соответствии с частью 1, 2, ст. 13 Федерального закона (№ 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации") по отношению к сведениям, которые составляют, например, врачебную тайну, разглашение которых не допускается, в том числе после смерти гражданина. К ним относятся[11]:

  • сведения о факте обращения гражданина за оказанием медицинской помощи;
  • сведения о состоянии здоровья и диагнозе гражданина;
  • иные сведения, полученные при медицинском обследовании и лечении гражданина.

Также в примечании к статье ст. 137 УК РФ говорится, что она предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или СМИ, а также за те же деяния, совершенные лицом с использованием своего служебного положения. Из приведенных статей ясно, что к ответственности может быть привлечено любое лицо, нарушающее ФЗ. Выходит, что пока мобильные приложения (соцсети и др.), а также интернет вещей (IoT) не выполняют никаких действий без их подтверждения, то есть требования закона соблюдаются, но стоит отметить, что необходима особенная внимательность пользователя при подтверждении тех или иных прав на доступ к конфиденциальной информации. Это касается и стандартов защиты корпоративных данных[11].

Защита персональных данных в соцсетях[править | править вики-текст]

Хотя имеется возможность настройки пользовательского доступа в соцсетях, это не решает проблему защиты персональных данных. Существуют и другие пути утечки данных, а именно: общедоступные данные, добровольно размещаемые пользователями в социальных сетях, могут быть обработаны сторонними сервисами, но у физического лица всегда есть право на исключение этих данных путем направления соответствующего требования оператору персональных данных (например, оператор связи или хостеру), по которому последний обязан немедленно прекратить обработку персональных данных этого лица[12].

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. Федеральный закон «О персональных данных»
  2. Российская Газета. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. Москва
  3. Постановление Правительства № 1119. Схема требований
  4. Сравнительный анализ старой и новой нормативно-правовой базы (от 02.2013).
  5. Порядок действия оператора персональных данных в соответствии с новым законодательством (от 02.2013)
  6. 1 2 ФСТЭК России — Информационно-справочная система по документам в области технической защиты информации
  7. ФСТЭК России — Решение ФСТЭК
  8. ФСБ РФ — Методические материалы открытого характера, предназначенные для определения методов и способов защиты с использованием криптосредств персональных данных.
  9. ФСТЭК, ФСБ, Минкомсвязь России. О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных". Российская Газета (31 декабря 2013 г.).
  10. Федеральный закон от 22.12.2008 N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации
  11. 1 2 Манык П. В. Правовые основы безопасности виртуальной среды // Information Security. Информационная безопасность. — 2016. — № 2(35). — С. 33.
  12. Манык П. В. Защита персональных данных в социальных сетях // Information Security. Информационная безопасность. — 2016. — № 5. — С. 8-9.

Ссылки[править | править вики-текст]