8 декабря 2011 г. 11:18
БЕЗОПАСНОСТЬ
Федеральный закон "О персональных данных"
В современном обществе постоянно повышаются требования к обеспечению безопасности персональных данных (ПДн) личности.
ГЩн представляют собой сложный объект для правового регулироважя. С одной, они являются отражением частной жизни, неприкосновенность которой охраняется законом. С другой стороны, ПДн — это необходимый элемент социализации и юридическая основа для реализации правоспособности и дееспособности.
Евгения Заяц
консультант по информационной безопасности ЗАО “ДиалогНаука"
• Система источников правового регулирования персональных данных
• Регулирование персональных данных мводународными договорами РФ
• Законодательство РФ
в области персональных данных
• Понятие персональных данник принципы и условия их обработки
• Понятие и категорії персональных д анных
• Права субъектов персональных данных
• Обязанности оператора
• Меры по обеспечению безопасности персональных данных
• Контроль и надзор за обработкой персональных данных
• Ответственность за нарушение законодательства о персональных данных
Персональные данные — означают любую информацию об определенном или поддающемся определению физическом лице [Субъект данных/.
<оммнцм Соер го Европы "О заи»ггр фгаичкхмх лиц при автомспизфоесммой обработке персональных данных*
Обеспечение безопасности ПДн предусмотрено не только национальным законодательством государств, но и международными актами. Право на защиту личной и семейной жизни закреплено Всеобшей декларацией прав человека 1948 г. и Конвенцией о правах и основных свободах человека 1995 г. СНГ (в состав которого входит РФ).
В 1996 г. право неприкосновенности личной жизни было подтверждено Международным пактом о гражданских и политических правах.
28 января 1981 г. была принята Конвенция Совета Европы о защите физических лиц при автоматизированной обработке ПДн, определяющая принципы сбора, обработки, хранения и использования информации личного характера, а также меры по защите от ее незаконного использования.
В 1990 г. Генеральной ассамблеей ООН принято Руководство относительно компьютерных файлов ПДн. В 1995 г. была принята Директива №46 Европейского парламента и Совета Европейского Союза о защите прав частных лиц применительно к обработке ГЩн и о свободном движении таких данных
Все перечисленные документы развивают один и тот же подход К ПДн и являются основой создания национальных правовых систем в этой области.
Законодательство Российской Федерации в области персональных данных
Основу правового режима ПДн составляет Конституция РФ, определяющая основные права и свободы человека и гражданина.
25 ноября 2005 г. Государственная Дума ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке ПДн. Одновре-
менно с этим были приняты законы — "О ПДн", "О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн", ФЗ "Об информации, информационных технологиях и защите информации". Позже был принят ряд нормативных актов, развивающих положения ФЗ № 152.
ФЗ № 152, определяет основные понятия, принципы и условия обработки ПДн, устанавливает права и обязанности Субъекта и Оператора, компетенцию уполномоченного органа по защите прав Субъектов ПДн, а также поручоет разработку конкретных требований к обеспечению безопасности ГЩн при их обработке в информационных системах Правительству РФ.
В соответствии с п. 1 ст.4 ФЗ №152, законодательство РФ в области ПДн основывается на Конституции РФ, международных договорах РФ, ФЗ №152 и других федеральных законах. Примером могут служить следующие нормативные акты — Федеральные законы "О федеральной службе безопасности", "О связи", "О внешней разведке", "О Государственной автоматизированной системе РФ "Выборы", "Об Оперативно-розыскной деятельности", "Об информации, информационных технологиях и о защите информации"; законы "О государственной тайне"; Постановления Правительства РФ "Об утверждении Положения о Федеральном агентстве по информационным технологиям", "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти".
Нормы о ПДн содержатся в гражданском, семейном законодательстве, занимают значительное место в законодательстве
10
Т-Сотгп, юонь 2010
ДиалОгНаука
об актах гражданского состояния. Без них не обойтись таким институтам права, как трудовой договор, а также любой договор, где стороной выступает физическое лицо. Без норм о ПДн невозможно нормальное правовое регулирование таких вопросов, как наследование имущества, пенсионное обеспечение, многих вопросов государственной службы, взаимоотношений с государством военнослужащих и лиц, имеющих специальные звания, работников с работодателем, представителя с доверителем и тд.
Законодательство РФ в облости ПДн состоит из множества нормативных актов, однако еще очень молодо, а, следовательно, далеко не полно и во многом противоречиво.
Понятие и категории персональных данных
Законом привнесено достаточно большое количество новых для отечественного права правовых понятий.
Ключевым является понятие ПДн, которые Закон неразрывно связывает с их обладателем, определяя ПДн в качестве открытого перечня информации: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация".
Оператор ПДн определен в Законе как субъект, независимо от организационноправовой формы и формы собственности, который осуществляет обработку ПДн, определяет цели и содержание их обработки.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
ФЗ №152 установил различные категории ПДн и правовое положение сведений, относящихся к данным категориям Закон выделил общедоступные, специальные и биометрические категории ПД*.
К общедоступным источникам ПДн относятся, в чостмости, справочники, адресные книги, создаваемые в целях информационного обеспечения. ГЩн могут вноситься
Т-Сотт, июнь 2010
в такие источники только с согласия Субъекта. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников ПДн по его требованию либо по решению суда или иных уполномоченных государственных органов.
Специальные категории ПДн включают в себя данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка таких данных согласно статье не допускается.
К биометрическим ПДн относятся сведения, характеризующие физиологические особенности человека, на основе которых можно установить его личность. Данные этой категории могут обрабатываться только при наличии согласия в письменной форме Субъекта, за исключением случоев, определенных законодательством РФ.
Существуют также категории ПДн, которые не охватываются действием закона. К этой категории относятся ПДн, при условии что они обрабатываются физическими лицами для личных и семейных нужд например в генеалогических целях или обрабатываются для включения в единый реестр физических лиц — предпринимателей в соответствующем порядке, также если обработка ПДн регулируется законодательством об архивном деле и данные относятся к Архивному фонду РФ.
Требования к обработке персональных данных
ФЗ № 152 устанавливает общие требования к обработке ГЩн. Так, обработка ПДн должна осуществляться Оператором на основании согпосия Субъекта ПДн, которое может быть отозвано (ст. 9). При этом в случае недееспособности Субъекта ПДн согласие на обработку его ПДн дает его законный представитель, а в случое смерти — его наследники. Законом определена обязательная письменная форма согласия.
Оператор и третьи лица, получившие доступ к ПХН должны обеспечивать их конфиденциальность, за исключением обезличенных и общедоступных ПДн.
При этом, если Оператор поручает обработку ПДн другому лицу на основании договора, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности и безо-
■ Проведение обследования
Классификация
информационных
систем
Разработка модепи угроз и нарушителя безопасности
Проектирование и внедрение системы защиты
Аттестация по требованиям безопасности информации
http://www.dialognauka.ru е-таН: pdn@dialognauka.ru тел.: +7 (495) 980-67-76
пасности ГЩн при их обработке. Закон, за некоторыми исключениями, запрещает обработку специальных категорий ПДн.
При передаче ПДн Оператором через Государственную границу РФ (трансграничная передача ПДн), за исключениями, перечисленными в ч.З ст. 12, Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ГЩн, обеспечивается адекватная защита прав Субъектов ПДн.
Письмо Минкомсвязи РФ от 13.05.2009 №ДС-П 11 -2502 "Об осуществлении трансграничной передачи ПДн" разъясняет что под адекватной зашитой понимается уровень защищенности прав Субъектов ГЩн не ниже, чем в Российской Федерации, при этом одним из критериев оценки государства в донном аспекте может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке ПДн.
Сегодня в число стран, подписавших и ратифицировавших указанную Конвенцию, входят Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
Права Субъектов персональных данных
Определены права Субъектов ГЩн, обеспечение зашиты прав и свобод при обработке ГЩн которых, является целью ФЗ № 152.
Законом определены права Субъектов ГЩн на доступ к своим ГЩн, на запрет обработки ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации, на защиту от принятия решений на основании исключительно автоматизированной обработки их ПДн, а также право на защиту своих прав.
Основополагающим правом Субьекта ГЩн является право на доступ и ознакомление с собственными ПДн. Для реализации указанного права Субъект ГЩн или его законный представитель должны направить письменный запрос Оператору, который должен предоставить запрошенную информацию в течение десяти рабочих дней с даты получения запроса.
Субъект ГЩн вправе требовать уточнения, блокирования или уничтожения своих ПДн, в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Для реализации этого права, также необходимо направить запрос Оператору.
Субьект ГЩн вправе требовать немедленного прекращения обработки своих ПДн, если таковая осуществляется в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации, без его письменного согласия.
Запрещается принятие, на основании исключительно автоматизированной обработки ГЩн, решений, порождающих юридические последствия в отношении Субъекта ПДн или иным образом затрагивающих его права и законные интересы, в случае отсутствия на то письменного согласия Субъекта.
Если Субъект ПДн считает, что Оператор осуществляет обработку его ГЩн с нарушением требований законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке, в том числе на возмещение убытков и (или) компенсацию морального вреда.
В соответствии с п.1 ст.23 ФЗ №152 и п 1 положения, утвержденного Правительством РФ №419, уполномоченным органом по защите прав Субъектов ПДн, на который возлагается обеспечение контроля и надзора за соответствием обработки ПДн требованиям ФЗ №152, о также рассмотрение обращений Субъектов ГЩн о соответствии содержания ПДн и способов их обработки и принятие соответствующих решений, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Обязанности Оператора
Закон установил следующие обязанности Оператора ПДн, осуществляющего организацию и обработку ПДн, определившего
цели и содержание их обработки:
— разъяснить Субъекту ГЩн юридические последствия отказа предоставить свои ПДн, в случае если обязанность их предоставления установлена федеральным законом;
— до начала обработки ГЩн, полученных не от Субъекта ГЩн, предоставить Субъекту ГЩн информацию о наименовании (фамилия, имя, отчество) и адресе Оператора или его представителя, цель обработки ПДн и ее правовое основание;
— предоставить Субъекту ГЩн по его запросу информацию, касающуюся обработки его ПДн, а также предоставить возможность ознакомления с ними их Субъекту в течение десяти рабочих дней с даты получения запроса. В случае отказа в их предоставлении дать в письменной форме мотивированный отказ в течение семи робочих дней;
— внести изменения, уничтожить или блокировать ПДн, которые являются неполными, устаревшими, недостоверные, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомить Субъекта и третьих лиц, которым ПДн этого Субъекта были переданы о внесенных изменениях;
— сообщить в Роскомнадзор по его запросу информацию, необходимую для осуществления его деятельности, в течение семи рабочих дней с даты получения такого запроса;
— по запросу Субъекта ПД< или Рос-комнадзора обязан блокировать недостоверные ГЩн, а также в случае неправомерных действий с ними в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения;
— прекратить обработку ГЩн и уничтожить соответствующие ГЩн в срок, не превышающий трех рабочих дней с даты достижения цели обработки ГЩн, если иное не предусмотрено федеральными законами, а так же в случае отзыва Субьектом согласия и уведомить об этом Субьекта;
Оператор до начала обработки ПДн обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ГЩн, а в случае изменения сведений, указываемых в уведомлении. Оператор обязан уведомить об изменениях в течение десяти рабочих дней с даты возникновения таких изменений.
Операторы, которые осуществляли обработку ГЩн до дня вступления в силу ФЗ
12
Т-Сопит», юонь 2010
№152 и продолжают осуществлять такую обработку, обязаны направить в Роскомнадзор, уведомление об обработке ПДн не позднее 1 января 2008 г.
Роскомнадзором разработана форма Уведомления об обработке ПДн, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке ПДн.
Заполненные уведомления должны быть направлены в письменной форме и подписаны уполномоченным лицом или направлены в электронной форме и подписаны электронной цифровой подписью в соответствии с законодательством РФ в территориальные управления Роскомнсщзора, на подведомственной территории которых оператор осуществляет обработку ГЩн.
Оператор обязан осуществлять обработку ПДн, включенных в информационные системы в соответствии с Законом. Информационные системы ПДн созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями Закона не позднее 1 января 2011 г.
Меры по обеспеченно безопасности персональных данных при их обработке
Оператор при обработке ГЩн обязан принимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ГЩн, а также от иных неправомерных действий.
При этом требования к обеспечению безопасности ПДн установлены Правительством РФ
— при их обработке в информационных системах ГЩн (Постановлением Правительства РФ от 17.1 1 .2007 №781 *06 утверждении Положения об обеспечении безопасности ГЩн при их обработке в информационных системах ПДн"),‘
— при их неавтоматизированной обработке (Постановлением Правительства РФ от 15.09.2008 г. №687 "Об утверждении Положения об особенностях обработки ГЩн, осуществляемой без использования средств автоматизации’);
— к материальным носителям биометрических ПДн (Постановлением Правительства РФ от 06.07.2008 г. №512 ‘Об утверждении требований к материальным носите-
Т-Сотт, июнь 2010
лям биометрических ПДн и технологиям хранения таких данных вне информационных систем ГЩн").
Контроль и надзор за выполнением требований, установленных Правительством РФ возложен на ФСТЭК и ФСБ России в рамках их полномочий.
Ответственность за нарушение законодательства о персональных данных
Ответственность за нарушение порядка обработки ПДн сформулирована ст. 24 ФЗ № 152 очень лаконично: лица, виновные в нарушении требований ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
Законодательством РФ предусмотрены следующие санкции:
— меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований законодательства;
— направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав Субъектов ПДн;
— приостановка действия или лишение лицензий, без которых деятельность по обработке ПДн становится незаконной;
— конфискация несертифицированных средств защиты информации (в том числе основного оборудования и программного обеспечения информационных систем);
— конфискация используемых средств шифрования;
— привлечение к административной, гражданской и уголовной ответственности.
Ст. 90 ТК РФ предусматривает ответственность за нарушение норм, регулирующих получение, обработку и защиту ПДн работника. Нарушитель может быть привлечен к дис 1*тлинарной и материальной ответственности в порядке, установленном ТК РФ, а также к административной, гражданско-правовой и уголовной ответственности в порядке, установленном федеральными законами.
К дисциплинарной ответственности, в рамках трудовых отношений, могут быть привлечены лишь те работники, которые приняли на себя обязательство соблюдать правила работы с ПДн, т. е. это условие бы-
ДиалОгНаука
ТЕСТ НА ПРОНИКНОВЕНИЕ
- Независимая оценка безопасности посредством моделирования действий реального злоумышленника
- Инструментальный аудит внешнего периметра безопасности
- Оценка безопасности компании с
использованием методов социальной инженерии
- Проведение внешнего аудита в соответствии
с требованиями РС1 ОБЭ
- Подготовка отчетных материалов с описанием выявленных уязвимостей и рекомендаций по их устранению •
http://www.dialognauka.ru е-таН: pentest@dialognauka.ru тел.: +7 (495) 980-67-76
по включено в их трудовой договор, они были ознакомлены с локальными нормативными актами по вопросу защиты данной конфиденциальной информации, а работодатель создал для работы все необходимые условия.
На настоящий момент административная ответственность для Операторов предусмотрена за следующие виды нарушений:
— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (ГШ (ст. 13.11 КоАП РФ);
— нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (ст. 13.12 КоАП РФ);
— использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (ст. 13.12 КоАП РФ);
— грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в облости зашиты информации (ст. 13.12 КоАП РФ);
— за занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с ФЗ обязательно (обязательна) (ст 13.13 КоАП РФ).
Согласно ст. 5.27 КоАП РФ нарушение законодательства о труде и об охране труда влечет наложение административного штрафа на должностных лиц или административное приостановление деятельности на срок до девяноста суток.
Согласно ст. 5.39 КоАП РФ, неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свобода гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации влечет наложение административного штрафа.
Преступлениями, влекущими за собой уголовную ответственность, являются:
— незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публичо демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
— неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свобода гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ);
— неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло за собой уничтожение, блокирование, модификацию, либо копирование информации, нарушение роботы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).
Помимо административной и уголовной на Оператора возлагается и гражданско-правовая ответственность.
Согласно ст. 151 ГК РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права, либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
Согласно ст. 4 ФЗ от 27.04.93 N9 4866-1, гражданин вправе обратиться с жалобой на действия (решения), нарушающие его права и свободы, либо непосредственно в суд либо к вышестоящему в порядке подчиненности государственному органу, органу местного самоуправления, учреждению, предприятию или объединению, общественному объединению, должностному лицу, государственному служащему. Вышестоящие в по-
рядке подчиненности орган, объединение, должностное лицо обязаны рассмотреть жалобу в месячный срок. Если гражданину в удовлетворена жалобы отказано или он не получил ответа в течение месяца со д ня ее подач, он вправе обратиться с жалобой в суд
Статьей 17 ФЗ РФ "Об информации, информационных технологиях и о защите информации" предусмотрено, что лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, могут обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
В числе наиболее критичных последствий несоблюдения требований законодательства в области ПДн для коммерческих структур — потеря доверия клиентов и падение конкурентоспособности. Практика показывает, что подавляющее большинство граждан оказывается от услуг организации, не обеспечений должный уровень защиты конфиденциальной информации. Это приводит не только к потере существуюЦ*1Х клиентов, но и трудностям в привлечении новых.
ФЗ №152 и нормативно-правовые акты, развивающие его положения, обязывают Оператора принять множество мер для построения системы зашиты ПДн, как организационного, так и инженерно-технического характера.
Что, как показывает практика, для большинства Операторов, является весьма проблематичным, так как построение корректной системы защиты ПДн требует значительных финансовых, временных и трудовых затрат.
Поэтому у Операторов часто возникоет проблема: использовать ресурсы собственных сотрудников или привлекать специальные компании, обладающие необходимыми лицензиями, штатом высококвалифицированных специалистов, опытом и знаниями с учетом специфичности требований федерального законодательства в области
ПДн.
14
Т-Comm, юонь 2010