Безпека персональних даних згідно із законом, Комерція, Різне, статті

В кінці липня Президент РФ В.В. Путін підписав закон «Про персональні дані». В результаті з лютого 2007 року торгівля приватними базами даних стає злочином, всі види організацій зобов’язані забезпечити безпека особистої інформації своїх співробітників і клієнтів, а за витік персональних даних компанія може бути залучена до відповідальності. Про те, які вимоги новий федеральний закон пред’являє до захисту конфіденційності приватних відомостей, розповість ця стаття.

З повним текстом N152 ФЗ «Про персональні дані» можна ознайомитися в «Российской газете» N4131 від 29 липня 2006. Далі будуть проаналізовані тільки основні визначення та положення нового нормативного акта, що мають безпосереднє відношення до інформаційної безпеки (ІБ). Після прочитання цієї статті і ознайомлення з особливостями нового закону шановний читач запрошується до участі в дослідженні «Захист персональних даних згідно із законом»

Головні визначення


Перш ніж перейти до докладного аналізу закону «Про персональні дані», розглянемо основні поняття цього нормативного акта.






































Основні поняття закону «Про персональні дані»

Термін

Визначення

Приклади

Персональні дані

 

Будь-яка інформація, що відноситься до певного або визначається на підставі такої інформації фізичній особі (суб’єкту персональних даних). ПІБ, дата і місце народження, адреса, майновий стан, освіта, професія і доходи.

Оператор

Державний орган, муніципальний орган, юридична або фізична особа, що організують і (або) здійснюють обробку персональних даних, а також визначають цілі і зміст обробки персональних даних. Будь-яка комерційна, некомерційна, державна, приватна організація, так як під опікою будь-якої організації знаходяться персональні дані, як мінімум, її службовців.

Обробка персональних даних

Практично будь-які дії (операції) з персональними даними. Збір, систематизація, накопичення, зберігання, уточнення (оновлення, зміну). Крім того, використання, поширення, передача, знеособлення, блокування, знищення.

Поширення персональних даних

Дії, спрямовані на передачу персональних даних певному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб. Оприлюднення персональних даних в ЗМІ, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних будь-яким іншим способом.

Знеособлення персональних даних

дії, в результаті яких неможливо визначити приналежність персональних даних конкретного суб’єкта персональних даних; Результати статистичних опитувань – знеособлені дані.

Інформаційна система персональних даних

інформаційна система, що представляє собою сукупність персональних даних, що містяться в базі даних, а також інформаційних технологій і технічних засобів, що дозволяють здійснювати обробку таких персональних даних з використанням засобів автоматизації або без використання таких засобів; База даних, наприклад, оператора стільникового зв’язку, яка містить персональні дані клієнтів компанії. Крім того, кошти для аналізу записів у БД, імпорту / експорту інформації, передачі даних і т.д. (Див. визначення «обробки персональних даних»).

Конфіденційність персональних даних

обов’язкове для дотримання оператором або іншим отримав доступ до персональних даних особою вимога не допускати їх поширення без згоди суб’єкта персональних даних або наявності іншого законного підстави Вимога забезпечити захист від витоків.

Аналіз головних визначень федерального закону дозволяє зробити ряд важливих висновків. По-перше, під дію нормативного акта підпадають абсолютно всі організації, так як під опікою кожної організації знаходяться персональні дані, як мінімум, її службовців, а часто ще й приватні відома клієнтів, партнерів, підрядників або замовників. По-друге, конфіденційність інформації є обов’язковим вимогою, причому під нею розуміє захист від розповсюдження (синонім слову «витік»). Перейдемо тепер до конкретних положень закону, що вимагає модифікації ІТ-інфраструктури та системи ІБ.

Вимоги закону до ІБ


Слід зазначити, що федеральний закон «Про персональні дані» висуває цілий ряд вимог до всіх сфер діяльності організації, в яких вона стикається з приватними відомостями клієнтів. Далі будуть розглянуті положення закону, що мають відношення лише до ІТ та ІБ. Між тим, кожній компанії бажано провести аналіз всіх вимог нормативного акта стосовно бізнес-процесів організації. Більш того, в експертну групу повинен входити, як мінімум, один представник вищої ланки, який добре собі уявляє весь бізнес компанії в цілому.


Отже, перш за все, слід звернути увагу на ст.5 ч.2.: «Зберігання [приватних відомостей] має здійснюватися … не довше, ніж цього вимагають цілі їх обробки», а «по досягненні цілей обробки або втрати необхідності в їх досягненні »персональна інформація« підлягає знищенню ». Термін, протягом якого вже стали непотрібними персональні дані повинні бути знищені, встановлюється ст.21 ч.4 довжиною в три робочих дні. Це означає, що, наприклад, електронний магазин зобов’язаний знищувати персональні відомості своїх покупців, які були зібрані для здійснення оплати за покупку. Якщо ж транзакція вже здійснена, гроші магазином отримані, а дані покупця (наприклад, номер кредитної карти, адресу і т.д.) все ще залишаються в базі даних компанії, то це є порушенням закону. Хоча, звичайно, ніхто не забороняє створювати облікові записи та зберігати на сервері компанії персональні відомості, але при цьому електронний магазин повинен ясно заявити, що ці дані збираються не для здійснення продажу товару (однієї конкретної транзакції), а для тривалого зберігання. Однак експерти InfoWatch вказують, що мова тут йде саме про персоніфікованої інформації. Якщо ж відомості знеособлені, тобто за ними не можна визначити, якому громадянину вони належать, то знищувати ці дані не обов’язково. Іншими словами, ніхто не забороняє накопичувати знеособлені вибірки для проведення статистичних досліджень.


Згідно ст.7, «операторами і третіми особами, які отримують доступ до персональних даних, повинна забезпечуватися конфіденційність таких даних». Винятків із цього вимоги всього два: якщо відомості є знеособленими або загальнодоступними, то захищати їх не обов’язково. Правда, особливу увагу представники бізнесу повинні приділити вимогам ст.19 – «Заходи щодо забезпечення безпеки персональних даних при їх обробці ». Згідно ст.19 ч.1, оператор «зобов’язаний приймати необхідні організаційні та технічні заходи, у тому числі використовувати шифрувальні (криптографічні) кошти, для захисту персональних даних »цілого ряду загроз. Серед них закон виділяє «неправомірний або випадковий доступ, знищення, зміна, блокування, копіювання, розповсюдження, а також інші неправомірні дії». Більш того, згідно ст.19 ч.2, Уряд РФ має встановити вимоги «до забезпечення безпеки [приватних відомостей] при їх обробці в інформаційних системах персональних даних, вимоги до матеріальних носіям біометричних персональних даних і технологій зберігання таких даних поза інформаційних систем персональних даних ». Контроль над виконанням цих вимог, згідно ст.19 ч.3, буде покладено на «федеральний орган виконавчий влади, уповноважений в області протидії технічним розвідкам і технічного захисту інформації». Нарешті, ст.19 ч.4 дозволяє «використовувати та зберігати біометричні персональні дані поза інформаційних систем персональних даних … тільки на таких матеріальних носіях інформації та із застосуванням такої технології зберігання, які забезпечують захист цих даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, розповсюдження ».


На думку аналітичного центру InfoWatch, деякі труднощі у організацій, що здійснюють обробку персональних даних своїх клієнтів, можуть викликати вимоги ч.3 ст.22, згідно з якими компанія має направити до уповноваженого органу повідомлення про цей факт. Нагадаємо, що закон вступає в силу з лютого 2007 року, але повідомлення організація повинна направити до 1 січня 2008 року. У цьому повідомленні крім усього іншого слід вказати заходи, які беруться для забезпечення безпеки приватних даних. Ряд винятків передбачений ч.2 ст.22 (наприклад, якщо компанія має тільки приватні дані своїх співробітників, то повідомлення направляти не буде).

До питання про відповідальність


При порушенні вимог закону «Про персональні дані» винні особи (згідно ст. 24) несуть цивільну, кримінальну, адміністративну, дисциплінарну та іншу передбачену законодавством РФ відповідальність. Більше того, ст.17 дозволяє громадянам подавати до суду на операторів персональних даних і вимагати відшкодування збитків та / або компенсацію моральної шкоди у випадках, коли оператор порушує вимоги ФЗ.


Крім того, зупинимося на нових положення ТК РФ. У жовтні 2006 року вступає в силу федеральний закон від 30.06.2006 N 90-ФЗ «Про внесення змін до Трудового кодексу РФ …». Цей нормативний акт вносить до ТК самі численні зміни за весь період дії Кодексу. Розглянемо дві зміни в ТК, що стосуються приватних відомостей.


Перш за все, новий ФЗ прирівняв розголошення персональних даних іншого працівника, що стали відомими у зв’язку з виконанням службових обов’язків, до розголошення охоронюваної законом таємниці. В результаті таку провину може спричинити звільнення. Відповідний пункт прописаний в розділі «Припинення трудового договору» ТК. До того ж, встановлений ст.391 перелік індивідуальних трудових спорів, що підлягають розгляду безпосередньо у судах, доповнений спорами за заявами працівників про неправомірні дії (бездіяльності) роботодавця при обробці і захисту персональних даних працівника. Відповідне положення закріплено в розділі «Розгляд і вирішення індивідуальних трудових спорів». Таким чином, роботодавець отримує право звільнити службовця, який допустив витік персональних даних інших співробітників компанії. Однак сам працівник може подати в суд на своє підприємство, якщо воно не дбає про приватних відомостях персоналу, як того вимагає закон.

Висновок


Положення закону, що мають відношення до ІБ, підсумовані в таблиці нижче. Проте відзначимо, що Уряд РФ встановлює вимоги до забезпечення безпеки персональних даних, а контроль над виконанням цих вимог буде покладено на федеральний орган виконавчої влади (див. ст.19 ч.3). Сьогодні незрозуміло, чи буде створено новий уповноважений урядовий орган або відповідні повноваження будуть делеговані вже існуючої держструктурі. Тим не менш, цей орган зможе встановити додаткові вимоги до ІБ і оформити їх у вигляді стандарту. Таким чином, фахівцям з ІБ слід не втрачати пильності і крім усього іншого відслідковувати нормативні ініціативи держави.


















Вимоги закону «Про персональні дані» до ІБ

Номер статті та пункту

Розшифровка

Ст.5 ч.2, Ст.21 ч.4

Зберігання приватних відомостей має здійснюватися не довше, ніж цього вимагають цілі їх обробки, а по досягненні цілей обробки або втрати необхідності в їх досягненні персональна інформація повинна бути знищена. Термін, протягом якого вже стали непотрібними персональні дані повинні бути знищені, встановлюється в три робочих дні.

Ст.19 ч.1

Оператор при обробці персональних даних зобов’язаний приймати необхідні організаційні та технічні заходи, у тому числі використовувати шифрувальні (криптографічні) кошти, для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, поширення персональних даних, а також від інших неправомірних дій

Ст.19 ч.4

Використання та зберігання біометричних персональних даних поза інформаційних систем персональних даних можуть здійснюватися тільки на таких матеріальних носіях інформації та із застосуванням такої технології її зберігання, які забезпечують захист цих даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, поширення.

Аналіз представлених в таблиці вимог показує, що нічого неможливого закон не вимагає від бізнесу і держорганів. Звичайно, організаціям доведеться інвестувати ресурси у безпеку персональних даних, а саме: в системи запобігання витоків та засоби шифрування. Проте інших перешкод, окрім бюджетних обмежень, на цьому шляху не передбачається, оскільки всі необхідні рішення технічні рішення вже представлені на ринку і підтримуються цілою низкою системних інтеграторів і великих постачальників.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*