Безпека персональних даних згідно із законом

В кінці липня Президент РФ В.В. Путін підписав закон «Про персональних даних». У результаті з лютого 2007 року торгівля приватними базами даних стає злочином, всі види організацій зобов'язані забезпечити безпеку особистої інформації своїх співробітників і клієнтів, а за витік персональних даних компанія може бути залучена до відповідальності. Про те, які вимоги новий федеральний закон пред'являє до захисту конфіденційності приватних відомостей, розповість ця стаття.

З повним текстом N152 ФЗ «Про персональних даних» можна ознайомитися в «Російській газеті» N4131 від 29 липня 2006 року. Далі будуть проаналізовані тільки основні визначення та положення нового нормативного акта, що мають безпосереднє відношення до інформаційної безпеки (ІБ). Після прочитання цієї статті і ознайомлення з особливостями нового закону шановний читач запрошується до участі у дослідженні «Захист персональних даних згідно із законом»

Головні визначення


Перш ніж перейти до докладного аналізу закону «Про персональних даних», розглянемо основні поняття цього нормативного акту.






































Основні поняття закону «Про персональних даних»

Термін

Визначення

Приклади

Персональні дані

 

Будь-яка інформація, що відноситься до певного або визначається на підставі такої інформації фізичній особі (суб'єкту персональних даних). ПІБ, дата і місце народження, адресу, майновий стан, освіта, професія і доходи.

Оператор

Державний орган, муніципальний орган, юридична або фізична особа, що організують і (або) здійснюють обробку персональних даних, а також визначають цілі і зміст обробки персональних даних. Будь-яка комерційна, некомерційна, державна, приватна організація, так як під опікою будь-якої організації знаходяться персональні дані, як мінімум, її службовців.

Обробка персональних даних

Практично будь-які дії (операції) з персональними даними. Збір, систематизація, накопичення, зберігання, уточнення (оновлення, зміну). Крім того, використання, поширення, передача, знеособлення, блокування, знищення.

Поширення персональних даних

Дії, спрямовані на передачу персональних даних певному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб. Оприлюднення персональних даних в ЗМІ, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних будь-яким іншим способом.

Знеособлювання персональних даних

дії, в результаті яких неможливо визначити приналежність персональних даних конкретного суб'єкта персональних даних; Результати статистичних опитувань – знеособлені дані.

Інформаційна система персональних даних

інформаційна система, що представляє собою сукупність персональних даних, що містяться в базі даних, а також інформаційних технологій і технічних засобів, що дозволяють здійснювати обробку таких персональних даних з використанням засобів автоматизації або без використання таких засобів; База даних, наприклад, оператора стільникового зв'язку, що містить персональні дані клієнтів компанії. Крім того, кошти для аналізу записів у БД, імпорту / експорту інформації, передачі даних і т.д. (Див. визначення «обробки персональних даних»).

Конфіденційність персональних даних

обов'язкове для дотримання оператором або іншим отримала доступ до персональних даних особою вимога не допускати їх поширення без згоди суб'єкта персональних даних або наявності іншого законного підстави Вимога забезпечити захист від витоків.

Аналіз головних визначень федерального закону дозволяє зробити ряд важливих висновків. По-перше, під дію нормативного акту підпадають абсолютно всі організації, так як під опікою кожної організації знаходяться персональні дані, як мінімум, її службовців, а часто ще й приватні відома клієнтів, партнерів, підрядників або замовників. По-друге, конфіденційність інформації є обов'язковим вимогою, причому під нею розуміє захист від розповсюдження (синонім слову «витік»). Перейдемо тепер до конкретних положень закону, які вимагають модифікації ІТ-інфраструктури та системи ІБ.

Вимоги закону до ІБ


Слід зазначити, що федеральний закон «Про персональних даних» висуває цілий ряд вимог до всіх сфер діяльності організації, в яких вона стикається з приватними відомостями клієнтів. Далі будуть розглянуті положення закону, що мають відношення лише до ІТ та ІБ. Між тим, кожній компанії бажано провести аналіз всіх вимог нормативного акту стосовно до бізнес-процесів організації. Більш того, в експертну групу повинен входити, як мінімум, один представник вищої ланки, який добре себе представляє весь бізнес компанії в цілому.


Отже, перш за все, слід звернути увагу на ст.5 ч.2.: «Зберігання [приватних відомостей] повинно здійснюватися … не довше, ніж цього вимагають цілі їх обробки», а «по досягненні цілей обробки або втрати необхідності в їх досягненні »персональна інформація« підлягає знищенню ». Термін, протягом якого вже стали непотрібними персональні дані повинні бути знищені, встановлюється ст.21 ч.4 довжиною в три робочих дні. Це означає, що, наприклад, електронний магазин зобов'язаний знищувати персональні відомості своїх покупців, які були зібрані для здійснення оплати за покупку. Якщо ж транзакція вже здійснена, гроші магазином отримані, а дані покупця (наприклад, номер кредитної картки, адресу і т.д.) все ще залишаються в базі даних компанії, то це є порушенням закону. Хоча, звичайно, ніхто не забороняє створювати облікові записи і зберігати на сервері компанії персональні відомості, але при цьому електронний магазин повинен ясно заявити, що ці дані збираються не для здійснення продажу товару (однієї конкретної транзакції), а для тривалого зберігання. Однак експерти InfoWatch вказують, що мова тут йде саме про персоніфікованої інформації. Якщо ж відомості знеособлені, тобто за ними не можна визначити, якому громадянинові вони належать, то знищувати ці дані не обов'язково. Іншими словами, ніхто не забороняє накопичувати знеособлені вибірки для проведення статистичних досліджень.


Згідно ст.7, «операторами і третіми особами, які отримують доступ до персональних даних, повинна забезпечуватися конфіденційність таких даних». Винятків із цього вимоги всього два: якщо відомості є знеособленими або загальнодоступними, то захищати їх не обов'язково. Правда, особлива увага представники бізнесу повинні приділити вимогам ст.19 – «Заходи щодо забезпечення безпеки персональних даних при їх обробці ». Згідно зі ст.19 ч.1, оператор «зобов'язаний приймати необхідні організаційні та технічні заходи, в тому числі використовувати шифрувальні (криптографічні) кошти, для захисту персональних даних »цілого ряду загроз. Серед них закон виділяє «неправомірний або випадковий доступ, знищення, зміна, блокування, копіювання, поширення, а також інші неправомірні дії». Більше того, відповідно до ст.19 ч.2, Уряд РФ має встановити вимоги «до забезпечення безпеки [приватних відомостей] при їх обробці в інформаційних системах персональних даних, вимоги до матеріальних носіям біометричних персональних даних і технологій зберігання таких даних поза інформаційних систем персональних даних ». Контроль над виконанням цих вимог, відповідно до ст.19 ч.3, буде покладено на «федеральний орган виконавчий влади, уповноважений у сфері протидії технічним розвідкам та технічного захисту інформації». Нарешті, ст.19 ч.4 дозволяє «використовувати і зберігати біометричні персональні дані поза інформаційних систем персональних даних … тільки на таких матеріальних носіях інформації і з застосуванням такої технології зберігання, які забезпечують захист цих даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, розповсюдження ».


На думку аналітичного центру InfoWatch, деякі труднощі у організацій, що здійснюють обробку персональних даних своїх клієнтів, можуть викликати вимоги ч.3 ст.22, згідно з якими компанія має направити до уповноваженого органу повідомлення про цей факт. Нагадаємо, що закон набуває чинності з лютого 2007 року, але повідомлення організація повинна надіслати до 1 січня 2008 року. У цьому повідомленні крім усього іншого слід вказати заходи, які беруться для забезпечення безпеки приватних даних. Ряд винятків передбачений ч.2 ст.22 (наприклад, якщо компанія має тільки приватні дані своїх співробітників, то повідомлення направляти не буде).

До питання про відповідальність


При порушенні вимог закону «Про персональних даних» винні особи (згідно зі ст. 24) несуть цивільну, кримінальну, адміністративну, дисциплінарну та іншу передбачену законодавством РФ відповідальність. Більш того, ст.17 дозволяє громадянам подавати до суду на операторів персональних даних і вимагати відшкодування збитків та / або компенсацію моральної шкоди у випадках, коли оператор порушує вимоги ФЗ.


Крім того, зупинимося на нових положення ТК РФ. У жовтні 2006 року набирає чинності федеральний закон від 30.06.2006 N 90-ФЗ «Про внесення змін до Трудового кодексу РФ …». Цей нормативний акт вносить до ТК найчисленніші зміни за весь період дії Кодексу. Розглянемо дві зміни у ТК, що стосуються приватних відомостей.


Перш за все, новий ФЗ прирівняв розголошення персональних даних іншого працівника, що стали відомими у зв'язку з виконанням службових обов'язків, до розголошення охоронюваної законом таємниці. У результаті таку провину може спричинити звільнення. Відповідний пункт прописаний в розділі «Припинення трудового договору» ТК. До того ж, встановлений ст.391 перелік індивідуальних трудових спорів, що підлягають розгляду безпосередньо у судах, доповнений суперечками за заявами працівників про неправомірні дії (бездіяльність) роботодавця при обробці та захисту персональних даних працівника. Відповідне положення закріплено в розділі «Розгляд і вирішення індивідуальних трудових спорів». Таким чином, роботодавець отримує право звільнити службовця, який допустив витік персональних даних інших співробітників компанії. Однак сам працівник може подати до суду на своє підприємство, якщо воно не дбає про приватних відомостях персоналу, як того вимагає закон.

Висновок


Положення закону, що мають відношення до ІБ, підсумовано в таблиці нижче. Проте відзначимо, що Уряд РФ встановлює вимоги до забезпечення безпеки персональних даних, а контроль над виконанням цих вимог буде покладено на федеральний орган виконавчої влади (див. ст.19 ч.3). Сьогодні невідомо, чи буде створено новий уповноважений урядовий орган або відповідні повноваження будуть делеговані вже існуючої держструктурі. Тим не менш, цей орган зможе встановити додаткові вимоги до ІБ і оформити їх у вигляді стандарту. Таким чином, фахівцям з ІБ слід не втрачати пильності і крім усього іншого відслідковувати нормативні ініціативи держави.


















Вимоги закону «Про персональних даних» до ІБ

Номер статті та пункту

Розшифровка

Ст.5 ч.2, Ст.21 ч.4

Зберігання приватних відомостей має здійснюватися не довше, ніж цього вимагають цілі їх обробки, а по досягненні цілей обробки або втрати необхідності в їх досягненні персональна інформація повинна бути знищена. Термін, протягом якого вже стали непотрібними персональні дані повинні бути знищені, встановлюється в три робочих дні.

Ст.19 ч.1

Оператор при обробці персональних даних зобов'язаний приймати необхідні організаційні та технічні заходи, в тому числі використовувати шифрувальні (криптографічні) кошти, для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, поширення персональних даних, а також інших неправомірних дій

Ст.19 ч.4

Використання та зберігання біометричних персональних даних поза інформаційних систем персональних даних можуть здійснюватися тільки на таких матеріальних носіях інформації і з застосуванням такої технології її зберігання, які забезпечують захист цих даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, поширення.

Аналіз представлених у таблиці вимог показує, що нічого неможливого закон не вимагає від бізнесу і держорганів. Звичайно, організаціям доведеться інвестувати ресурси у безпеку персональних даних, а саме: у системи запобігання витоків і засоби шифрування. Проте інших перешкод, окрім бюджетних обмежень, на цьому шляху не передбачається, тому що всі необхідні рішення технічні рішення вже представлені на ринку і підтримуються цілою низкою системних інтеграторів та великих постачальників.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*