Персональные данные: что это такое, как обрабатывать и защищать по закону
Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн). Попробовали разобраться, как это сделать правильно и в рамках действующего законодательства. Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это все сбор ПДн. Когда владелец ресурса становится оператором ПДн, то подпадает под […]
Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн). Попробовали разобраться, как это сделать правильно и в рамках действующего законодательства.
Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это все сбор ПДн. Когда владелец ресурса становится оператором ПДн, то подпадает под 152-ФЗ — закон «О персональных данных», в котором много правил, как оператор обязан обращаться с ПДн, чтобы обеспечивать права субъектов ПДн.
Что относится к персональным данным, а что нет
Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:
«Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»
Телефон, email, фотография, ФИО — все это может считаться ПДн.
Категории ПДн в форме на сайте Роскомнадзора.
Также к ПДн можно отнести:
- национальность;
- политические, философские и религиозные взгляды;
- место регистрации;
- информацию о здоровье, отпечатки пальцев и образцы голоса;
- информация о судимостях;
- номер телефона и электронная почта;
- СНИЛС, ИНН и паспортные данные;
- ссылки на личные страницы и cookies.
Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «petrov120999@mail.ru», который принадлежит Петрову Петру Петровичу — это ПДн.
Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.
Фотографии человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на обработку которых требуется письменное согласие. К примеру, фото в скане паспорта в личном деле сотрудника. Такая фотография не будет являться биометрией, поскольку не используется для идентификации.
Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.
Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.
Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.
Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.
Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Общий регламент по защите данных (GDPR). GDPR похож на 152-ФЗ, но есть и некоторые различия. Для начала взглянем на типы ПДн.
Типы персональных данных
152-ФЗ делит ПДн на 4 категории:
- общедоступные;
- специальные;
- биометрические;
- иные.
Скриншот с сайта Роскомнадзора с разными категориями.
Общедоступные
Кажется, что данные, которые известны родным, друзьям или работодателю, однако это в корне неверно. По закону ПДн из общедоступных источников — это только справочники и адресные книги, данные в которые заносятся только с согласия субъекта ПДн. Данные, которые можно найти в интернете общедоступными не являются (за исключением случаев, когда пользователь дал согласие сделать их общедоступными).
Специальные
Определенные ПДн входят в категорию специальных, а именно информация о:
- расе, национальности и религии;
- политических и философских взглядах;
- здоровье;
- подробностях личной жизни;
- судимостях.
Биометрические
Это информация о физиологических и биологических особенностях человека:
- отпечатки пальцев;
- генетическая информация;
- рисунок радужной оболочки глаз;
- образцы голоса;
- фотографии, если они используются для идентификации.
Но есть нюанс. В 2013 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъяснила, что здесь тоже важен контекст:
Если вы сдали кровь для анализов, то это не биометрические данные — информация с результатами не используется, чтобы выяснить личность. Но отпечатки пальцев, которые требуются для входа офис, уже биометрические данные — узоры на пальце используются для опознания личности.
Сюда входят ПДн, что не относятся ко всем предыдущим. Например:
- фамилия, имя, отчество;
- паспортные данные;
- электронная почта или геолокация;
- информация о принадлежности к определенной социальной группе;
- стаж работы.
Субъекты и операторы
В законе есть две сущности: субъект и оператор ПДн.
Субъектом персональных данных считается человек, чьи персональные данные обрабатывает оператор ПДн.
Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя (субъекта ПДн), а магазин таким образом становится оператором.
Оператор — это физическое лицо или организация (государственная или частная), которая организует обработку и обрабатывает ПДн, а также определяет цели обработки, состав данных и совершаемые с ними действия.
Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.
Как оператору работать с персональными данными
Рассмотрим, как оператору обрабатывать и защищать ПДн.
Условия. Если на сайте или в приложении есть возможность зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку — это ресурс уже собирает ПДн. В 9 статье 152-ФЗ сказано, что обрабатывать персональные данные можно только с согласия пользователей (кроме исключений, указанных в статье 6). В интернете согласие получают с помощью конклюдентного действия, а письменную форму согласия заменяют на электронную с помощью усиленной квалифицированной ЭП.
Пример с сайта uchi.ru
Согласие – документ, где указаны конкретные категории ПДн и конкретные цели обработки, для которых осуществляется сбор. Общий подход компании к обработке всех ПДн для всех целей регламентируется документом «Политика конфиденциальности». В электронном виде под каждой формой необходимо добавить чекбокс с текстом: «Даю согласие на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.
Для сбора Cookies в рамках соблюдения GDPR тоже понадобится разрешение.
Пример разрешения.
Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает Cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом.
Исключения. Согласие на обработку ПДн нужно не всегда. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 152-ФЗ, но если кратко, то согласие не обязательно для обработки общедоступных данных, обезличенной статистики и СМИ (при условии соблюдения прав субъекта). При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.
Примечание. Когда оператор передает ПДн в облако, у оператора должно быть согласие субъекта на передачу, а также обязательно нужно удостовериться, что инфраструктура соответствует 152-ФЗ по требуемому уровню защищенности и заключить поручение на обработку. Это гарантия спокойной работы и отсутствия в дальнейшем проблем с Роскомнадзором. Например, облако на базе VMware и Облачные серверы в Selectel соответствуют требованиям по 3 уровню защищенности ПДн.
Обработка
Все, что происходит с ПДн — это обработка:
- передача;
- запись;
- хранение;
- извлечение;
- изменение;
- обезличивание;
- анализ;
- удаление.
Сбор — это тоже обработка.
Обработка бывает трех видов:
- Автоматизированная — с помощью СВТ (средств вычислительной техники). Это компьютеры, телефоны и другие электронные устройства, базы данных, программы, скрипты.
- Смешанная — обработка человеком при участии СВТ. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
- Неавтоматизированная — без автоматизации, на бумажных носителях.
Условия. Обработка ПДн должна проходить с согласия субъектов. Для обработки должны быть четкие цели, например, для рассылки. В соответствии с целями, можно обрабатывать только ограниченный набор данных и не больше. Например, для рассылки не нужны паспортные данные и ИНН.
Хранение
Если информация о субъектах хранится на серверах, жестких дисках, флешках, в облаке или даже в распечатанном виде — это называется хранением персональных данных.
Условия. К обработке ПДн много требований со стороны 152-ФЗ.
- Данных нужно хранить столько, сколько достаточно для выполнения целей обработки.
- Информация должна храниться так, чтобы можно было определить субъекта, не дольше, чем того требуют цели обработки.
- Если данных не хватает или они неточные, то оператор обязан их уточнить или удалить.
- Если есть базы данных с разными ПДн, собранными для разных целей, их нельзя объединять.
- После обработки ПДн должны быть уничтожены или обезличены.
- Если ПДн передаются в другую страну, нужно удостовериться, что там есть подходящая система защиты, а субъект дал на это отдельное согласие (если страна не входит в перечень стран, обеспечивающих адекватную защиту прав субъектов ПДн).
Субъект может в любой момент запросить у оператора (в письменном или электронном виде с помощью усиленной квалифицированной ЭП) какие данные на него есть, цели обработки и состав данных. А если информация неточная или старая — может потребовать ее обновить.
Защита
Согласно 152-ФЗ, оператор отвечает за все, что происходит с ПДн, даже если привлек сторонних лиц для обработки. Например, если банк собрал базу скан-копий паспортов клиентов, а она попала к мошенникам — отвечает банк. Поэтому информационные системы персональных данных (ИСПДн) должны быть хорошо защищены. Критерий «хорошо» означает в соответствии с уровнем защищенности обрабатываемых данных (УЗ). Уровни защищенности определены в постановлении Правительства 1119 и связаны с категорией ПДн.
Каждый оператор обязан самостоятельно определить уровень защищенности ПДн и настроить IT-инфраструктуру, в соответствии с требованиями. Чтобы было проще ориентироваться, используйте таблицу определения УЗ.
Таблица определения УЗ.
Примечание. Если храните данные в ЦОД, то инфраструктура должна соответствовать требованиям приказа ФСТЭК. Соответствие подтверждается оценкой эффективности принимаемых мер по обеспечению безопасности ПДн. Аттестованный сегмент ЦОД Selectel соответствует требованиям по 1 уровню защищенности ПДн и 1 классу защиты государственных информационных систем.
Операторы обязаны (кроме случаев, указанных в части 2 статьи 22 152-ФЗ) подать уведомление в Роскомнадзор, чтобы организацию внесли в реестр операторов ПДн. В заявлении обязательно указать какие меры предприняты для защиты, какие ПДн и где будете хранить.
Документы
Подготовить оборудование, ПО и инженерные системы недостаточно. Для обработки ПДн нужно еще много документов:
- Политика в отношении обработки персональных данных. Общедоступный документ, отражающий политику компании в части обработки ПДн.
- Модель угроз безопасности информации. В документе описываются актуальные для информационной системы персональных данных угрозы.
- Приказ о назначении ответственного за обеспечение безопасности персональных данных — обычно назначают сотрудника службы информационной безопасности. Он будет отвечать за обеспечение безопасности ПДн.
- Приказ о назначении ответственного за организацию обработки персональных данных – обычно назначают сотрудника юридического отдела, который отвечает за правильную организацию процесса обработки ПДн и соблюдение прав субъектов.
- Акт оценки вреда субъектам ПДн. Документ, в котором производится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований 152-ФЗ.
Это неполный список из организационных документов. Список названий займет слишком много места, поэтому оставим ссылку на большой список.
Ответственность
Роскомнадзор проверяет компании — собирают ли они ПДн и зарегистрировались ли как оператор, если это необходимо. За нарушения штрафует, согласно статье 13.11 КоАП РФ.
Например, за незаконную обработку без согласия штраф от 1 до 30 тысяч рублей, в зависимости кто нарушил: физлицо, юрлицо или должностное лицо. Также штрафуют, если оператор не защищает информацию или не обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных в базах данных, находящихся на территории России.
Штрафы можно получить не только за халатное отношение к ПДн, но и если не разработать соответствующую документацию или приказы. Например, если нет «Политики в отношении обработки персональных данных» возможен штраф от 700 рублей до 30 тысяч. А если нет «Модели угроз безопасности» — штраф от 1 тысячи для физлиц до 50 тысяч рублей для юрлиц.
Примечание. Хранение данных в облаке не снимает ответственности с оператора. ЦОД — промежуточное звено, третье лицо. Инфраструктура, соответствующая требованиям, помогает оператору не беспокоиться о требованиях регулятора в зоне ответственности провайдераа. Но вся ответственность перед субъектом лежит на операторе.
Краткий чек-лист для обработки ПДн
Персональные данные — информация, которая относится к конкретному человеку: ФИО, номер телефона, e-mail, группа крови или фотография.
При обработке ПДн, нужно соблюдать требования 152-ФЗ:
- Зарегистрироваться в Роскомнадзоре, как оператор (кроме исключений, перечисленных в части 2 статьи 22)
- Получать согласие у субъекта и не собирать лишние данные.
- Отвечать на обращения субъектов и предоставлять всю информацию.
- Собирать и хранить информацию только для достижения определенных целей в определенный срок.
- Защищать ПДн по закону.
- Уточнять, блокировать или уничтожать ПДн по заявлению субъектов или когда достигли целей.
В законе, постановлениях и других документах, связанных со 152-ФЗ, нет четких указаний или чек-листов, что делать в разных случаях, чтобы работать по закону. Поэтому у нас есть только примерные списки действий при работе с ПДн, которые можете использовать.
Что подразумевается под конфиденциальностью ИСО РЖД при проведении испытаний?
Что такое «Информационная система»?Совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для удовлетворения информационных потребностей пользователейПрограммное обеспечение рабочего места, целью которого является поиск и выдача информации в удобном видеКомплекс аппаратных и программных средств, предназначенный для управления различными процессами в рамках предприятияНайти другие ответы на вопросы
Связанные темы
Темы, в которых встречается данный вопрос:
Что подразумевается под конфиденциальностью персональных данных?Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основанияОбязанность не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данныхОбязанность не раскрывать третьим лицам и не обрабатывать в интересах третьих лиц персональные данные без согласия субъекта персональных данныхНайти другие ответы на вопросы
Предстоящие мероприятия по hrУправлению персоналомНовости по теме
IX Ежегодный форум PA FORUMНа PA Forum помощники руководителей могут получить новые знания от опытных ассистентов и бизнес-тренеров, а также приятно провести время в кругу единомышленников. Ежегодная премия PA-AWARDSУчастие в премии — лучшая возможность усилить свой профессиональный бренд. Успейте подать заявку в одной или нескольких номинациях
Х Форум-конкурс GRADUATE 2022Игры кончились: как добиваться реальной отдачи от graduate-программ? Привлечение молодежи и устойчивая мотивация труда. Эти и многие другие темы 24-25 марта. Подборка значимых событий марта в сфере управления персоналом, HR. Коллеги, представляем вашему вниманию подборку значимых событий марта в сфере управления персоналом, HR. Все мероприятия пройдут в обычном очном формате, что не может не радовать. Живые выступления, дискуссии и переговоры, нетворкинг с лидерами отрасли — успейте получить всю пользу от посещения!
СДО Ответы
СДО 2022 Локомотивные бригадыСДО 2021 Локомотивные бригадыСДО 2021 Все профессииМВПС ЦДМВ Машинистам электропоездов 2022ССПС 2022КурсыБезопасные методы и приёмы работы на высоте 2020 ВСИБ УЦПКВыполнение вспомогательных работ по управлению локомотивом и ведению поезда, техническое обслуживание локомотива для периодического повышения квалификации 1 раз в три года помощников машиниста локомотива Сев-Кав УЦПК 2022Действия в ситуациях угрожающих жизни и здоровьюДействия локомотивной бригады при отказе в работе технических средствДействия при нестандартных ситуациях связанных с неудовлетворительной работой автотормозов грузового поездаДействия при нестандартных ситуациях связанных с неудовлетворительной работой автотормозов пассажирского поездаДействия работников хозяйства перевозок, связанных с движением поездов и маневровой работой, в аварийных и нестандартных ситуацияхДеловая перепискаИтоговое тестирование дистанционного курса по теме «Управление локомотивом (тепловозом) и действия в аварийных и нестандартных ситуациях (тепловоз)»Как организовать рабочее времяКак проанализировать проблемную ситуациюКлассификация негабаритных грузов. Порядок производства маневровой работы с транспортёрами и вагонами, загруженными негабаритными грузами, порядок постановки их в поездаКурс целевого назначения для повышения квалификации локомотивных бригад по теме «Основы менеджмента безопасности движения» Мск УЦПК 2022Курсы целевого назначения. Тема Управление локомотивом и действия в аварийных и нестандартных ситуациях (Тепловоз)Курсы целевого назначения. Тема «Управление локомотивом и действия в аварийных и нестандартных ситуациях» (Электровоз)Личная мотивацияОбязанности работника по соблюдению трудовой дисциплины и требований по охране труда. Правила внутреннего трудового распорядка ЦДОказание помощи при вынужденной остановке поезда на перегонеОМБД-12 (зачет)Организация движения поездов на железнодорожном транспортеОсновы менеджмента безопасности движения
Основы менеджмента безопасности итоговая аттестацияОсновы противодействия и предупреждения коррупцииОсобенности действий машиниста электровоза, помощника машиниста электровоза по обеспечению безопасности движения при управлении тяговым подвижным составомОсобенности конструкции, управления и обслуживания магистральных электровозов серии 2(3)ЭС5КОсобенности конструкции, управления и обслуживания магистральных электровозов серии 2(3)ЭС5К Сев УЦПК 2022Основные типы продольного профиля станционных путей. Порядок расчёта норм закрепления подвижного состава. Порядок действий работников хозяйства перевозок по закреплению подвижного состава в случае усиления ветраПорядок организации маневровой работы на железнодорожных станциях, в том числе при запрещающих показаниях маневровых светофоров 3 квартал 2020 РХДПравила управления тормозами железнодорожного подвижного состава и эксплуатация систем безопасности движения (Сев УЦПК 2022)Предупреждение и противодействие коррупции в ОАО «РЖД». Общий курсПредупреждение и противодействие коррупции в ОАО «РЖД». Специальный курсУправление тормозами железнодорожного подвижного состава, использование устройств и систем безопасности движения и действия локомотивных бригад при возникновении нестандартных ситуацийУправление тормозами железнодорожного подвижного состава, использование устройств и систем безопасности движения и действия локомотивных бригад при возникновении нестандартных ситуаций — Зачет
Тесты по теме — Информационная безопасность (защита информации) с ответами
Правильный вариант ответа отмечен знаком +
1) К правовым методам, обеспечивающим информационную безопасность, относятся:
— Разработка аппаратных средств обеспечения правовых данных
— Разработка и установка во всех компьютерных правовых сетях журналов учета действий
+ Разработка и конкретизация правовых нормативных актов обеспечения безопасности
2) Основными источниками угроз информационной безопасности являются все указанное в списке:
— Хищение жестких дисков, подключение к сети, инсайдерство
+ Перехват данных, хищение данных, изменение архитектуры системы
— Хищение данных, подкуп системных администраторов, нарушение регламента работы
3) Виды информационной безопасности:
+ Персональная, корпоративная, государственная
— Клиентская, серверная, сетевая
— Локальная, глобальная, смешанная
4) Цели информационной безопасности – своевременное обнаружение, предупреждение:
+ несанкционированного доступа, воздействия в сети
— инсайдерства в организации
5) Основные объекты информационной безопасности:
+ Компьютерные сети, базы данных
— Информационные системы, психологическое состояние пользователей
— Бизнес-ориентированные, коммерческие системы
6) Основными рисками информационной безопасности являются:
— Искажение, уменьшение объема, перекодировка информации
— Техническое вмешательство, выведение из строя оборудования сети
+ Потеря, искажение, утечка информации
7) К основным принципам обеспечения информационной безопасности относится:
+ Экономической эффективности системы безопасности
— Многоплатформенной реализации системы
— Усиления защищенности всех звеньев системы
8) Основными субъектами информационной безопасности являются:
— руководители, менеджеры, администраторы компаний
+ органы права, государства, бизнеса
— сетевые базы данных, фаерволлы
9) К основным функциям системы безопасности можно отнести все перечисленное:
+ Установление регламента, аудит системы, выявление рисков
— Установка новых офисных приложений, смена хостинг-компании
— Внедрение аутентификации, проверки контактных данных пользователей
тест 10) Принципом информационной безопасности является принцип недопущения:
+ Неоправданных ограничений при работе в сети (системе)
— Рисков безопасности сети, системы
11) Принципом политики информационной безопасности является принцип:
+ Невозможности миновать защитные средства сети (системы)
— Усиления основного звена сети, системы
— Полного блокирования доступа при риск-ситуациях
12) Принципом политики информационной безопасности является принцип:
+ Усиления защищенности самого незащищенного звена сети (системы)
— Перехода в безопасное состояние работы сети, системы
— Полного доступа пользователей ко всем ресурсам сети, системы
13) Принципом политики информационной безопасности является принцип:
+ Разделения доступа (обязанностей, привилегий) клиентам сети (системы)
— Одноуровневой защиты сети, системы
— Совместимых, однотипных программно-технических средств сети, системы
14) К основным типам средств воздействия на компьютерную сеть относится:
+ Логические закладки («мины»)
— Аварийное отключение питания
15) Когда получен спам по e-mail с приложенным файлом, следует:
— Прочитать приложение, если оно не содержит ничего ценного – удалить
+ Удалить письмо с приложением, не раскрывая (не читая) его
16) Принцип Кирхгофа:
— Секретность ключа определена секретностью открытого сообщения
— Секретность информации определена скоростью передачи данных
+ Секретность закрытого сообщения определяется секретностью ключа
18) Наиболее распространены угрозы информационной безопасности корпоративной системы:
— Покупка нелицензионного ПО
+ Ошибки эксплуатации и неумышленного изменения режима работы системы
— Сознательного внедрения сетевых вирусов
19) Наиболее распространены угрозы информационной безопасности сети:
— Распределенный доступ клиент, отказ оборудования
— Моральный износ сети, инсайдерство
+ Сбой (отказ) оборудования, нелегальное копирование данных
тест_20) Наиболее распространены средства воздействия на сеть офиса:
— Слабый трафик, информационный обман, вирусы в интернет
+ Вирусы в сети, логические мины (закладки), информационный перехват
— Компьютерные сбои, изменение админстрирования, топологии
21) Утечкой информации в системе называется ситуация, характеризуемая:
+ Потерей данных в системе
— Изменением формы информации
— Изменением содержания информации
22) Свойствами информации, наиболее актуальными при обеспечении информационной безопасности являются:
23) Угроза информационной системе (компьютерной сети) – это:
— Детерминированное (всегда определенное) событие
— Событие, происходящее периодически
24) Информация, которую следует защищать (по нормативам, правилам сети, системы) называется:
25) Разновидностями угроз безопасности (сети, системы) являются все перчисленное в списке:
+ Программные, технические, организационные, технологические
— Серверные, клиентские, спутниковые, наземные
— Личные, корпоративные, социальные, национальные
26) Окончательно, ответственность за защищенность данных в компьютерной сети несет:
27) Политика безопасности в системе (сети) – это комплекс:
+ Руководств, требований обеспечения необходимого уровня безопасности
— Инструкций, алгоритмов поведения пользователя в сети
— Нормы информационного права, соблюдаемые в сети
28) Наиболее важным при реализации защитных мер политики безопасности является:
Являются ли персональные данные действительно конфиденциальными, или Как соотносятся категории «персональные данные» и «тайны» (взгляд цивилиста)
Закон.Ру – официально зарегистрированное СМИ. Ссылка на настоящую статью будет выглядеть следующим образом: Рожкова М.А. Являются ли персональные данные действительно конфиденциальными, или Как соотносятся категории «персональные данные» и «тайны» (взгляд цивилиста) [Электронный ресурс] // Закон.ру. 2019. 18 марта. URL: https://zakon.ru/blog/2019/3/18/yavlyayutsya_personalnye_dannye_dejstvitelno_konfidencialnymi_ili_kak_sootnosyatsya_kategorii_person
Достаточно часто в отечественных публикациях и выступлениях звучат утверждения, что персональные данные являются конфиденциальными и вследствие этого охватываются понятием «тайна». Некоторых это приводит к выводу о целесообразности объединения в одном законе норм, регулирующих как тайны, так и персональные данные.
Попробуем разобраться, насколько верна такая позиция.
Понятие конфиденциальности
В русском языке синонимами слова «конфиденциальный» традиционно являются «секретный», «тайный», «доверительный», «не подлежащий огласке»[1]. Поэтому понятия «тайна», «секрет», «конфиденциальность» всегда признавались равнозначными и использовались для обозначения того, что неизвестно другим и не должно быть раскрыто под угрозой применения мер ответственности.
В отечественном законодательстве нашел закрепление подход, согласно которому под тайной понимаются сведения, которые не известны третьим лицам и не могут быть ими свободно получены, обладают определенной ценностью, защищаются от несанкционированного доступа к ним. В частности, выделяются государственная (в том числе военная), профессиональная, служебная, коммерческая тайна, секрет производства – для них установлены соответствующие правовые режимы.
Изучение зарубежного опыта позволяет сделать вывод о том, что за понятием «конфиденциальность» сегодня признается более широкое значение – им охватываются как собственно тайны (секреты), так и иные формы ограничения применительно к конкретным типам информации[2]. Выделяют две основные разновидности конфиденциальности:
– секретность (secrecy), которая понимается как форма сокрытия информации, которая носит недобровольный характер и предусматривает санкции за разглашение. Именно под режим secrecy подпадают упомянутые выше государственные, профессиональные, служебные, коммерческие тайны, тайны частной жизни (личные, интимные, семейные), а также, например, информация для служебного пользования, согласованная контрагентами конфиденциальная информация и т.п.
– приватность (privacy), представляющая собой форму ограничения доступа к личным сведениям, в силу которой всякое использование таких сведений допускается только с согласия субъекта этих сведений. Эта разновидность конфиденциальности распространяется на личную информацию, которая не является тайной (секретом), но использование которой третьими лицами допустимо лишь при условии соблюдения определенных правил. Под режим privacy подпадает любая личная информация, использование которой третьими лицами может привести к нарушению неприкосновенности частной жизни субъекта этой информации.
Надо признать, что обозначенное разграничение проникло и в отечественное право. Именно о privacy (как разновидности конфиденциальности) идет речь в ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), в которой под конфиденциальностью информации предлагается понимать «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».
Эта новация стала результатом начала ратификационного процесса подготовки России к участию в Конвенции 108[3], о которой речь пойдет далее.
Конвенция 108
Эту часть статьи хотелось бы предварить замечанием, уже звучавшим в моей предыдущей работе: общеизвестный термин «personal data» было бы вернее перевести на русский язык не как «персональные данные», а как «личные данные», «личные сведения» или «личная информация» (далее эти выражения будут использоваться как синонимы). На мой взгляд, это значительно облегчило понимание целей и сущности отечественного законодательства о персональных данных.
В преамбуле Конвенции 108 отмечается увеличение трансграничного потока личной информации, которая сегодня подвергается автоматизированной обработке (включающей хранение, аналитику, изменение, уничтожение, поиск, распространение личных сведений). Указывается, что в этих условиях необходимо усиление защиты прав и свобод граждан, в частности права на неприкосновенность частной жизни.
С учетом этого цель Конвенции 108 состоит в обеспечении для каждого частного лица уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в том что касается автоматизированной обработки его личной информации (ст. 1). Для краткости эта цель обозначена как «защита данных». Иными словами, использованное в Конвенции 108 выражение «защита данных» должно пониматься в контексте защиты не самих по себе личных данных, а прав и основных свобод частных лиц, которые могут быть нарушены при автоматизированной обработке (использовании) этой информации.
В ст. 7 Конвенции 108 закреплено положение, касающееся обеспечения безопасности личных данных: в ней предусмотрено, что для целей безопасности личной информации, хранящейся в автоматизированных базах данных, принимаются надлежащие меры, направленные на предотвращение (1) случайного или несанкционированного уничтожения / (2) случайной потери сведений / (3) несанкционированного доступа, изменения или распространения таких сведений.
Помимо упомянутых мер безопасности Конвенция 108 в ст. 8 закрепляет дополнительные гарантии для субъектов личных сведений, предоставляя им возможность: (1) знать об автоматизированных базах личных данных и их целях; (2) получать подтверждение того, что их личная информация хранится в такой базе; (3) добиваться исправления или уничтожения данных, если они подверглись обработке в нарушение национального законодательства; (4) при невыполнении указанных просьб использовать соответствующие средства правовой защиты.
В силу ст. 10 Конвенции 108 каждое государство, присоединившееся к Конвенции 108, должно закрепить надлежащие санкции и определить средства правовой защиты на случай нарушения норм национального законодательства, в котором воплощены принципы защиты данных, изложенных в Конвенции.
Отечественное законодательство о персональных данных
В 2006 году в рамках упомянутого ратификационного процесса был принят Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), который, как следует из его ст. 1, призван урегулировать отношения, связанные с обработкой персональных данных, осуществляемой как с использованием средств автоматизации, так и без таковых в установленных законом случаях[4]. В качестве цели Закона о персональных данных (подобно Конвенции 108) указывается на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».
В п. 1 ст. 19 Закона о персональных данных предусмотрена обязанность оператора при обработке данных принимать меры по обеспечению их безопасности – необходимые правовые, организационные и технические меры, направленные на предотвращение: (1) неправомерного или случайного доступа к ним; (2) уничтожения данных; (3) их изменения; (4) блокирования; (5) копирования данных; (6) предоставления; (7) распространения персональных данных, а также от иных неправомерных действий.
Помимо этого в Законе о персональных данных содержится ст. 7, носящая наименование «Конфиденциальность персональных данных», которая закрепляет следующее положение: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом». По всей видимости, именно ст. 7 и подводит многих юристов к мысли о том, что персональные данные – это сведения, которые следует рассматривать как разновидность тайны.
Однако подобные выводы неверны.
Во-первых, под категорию «персональные данные» на сегодняшний подпадают разные по своей природе разновидности личной информации, в том числе сведения, однозначно не являющиеся секретными и ни в коей мере не относящиеся к тайне (на это указывалось в моей предыдущей статье о персональных данных).
Во-вторых, ст. 7 Закона о персональных данных, по сути, лишь устанавливает общий запрет на использование личных сведений граждан без их согласия операторами и другими лицами, получившими доступ к этим сведениями. Иными словами, в данной статье Закона о персональных данных, как и ст. 2 Закона об информации, под конфиденциальностью понимается privacy.
Исходя из вышеизложенного, можно заключить, что понятие «персональные данные» отнюдь не тождественно понятию «тайна». Это заключение основано в том числе и на том, что конфиденциальность персональных данных предполагает иную форму ограничения (privacy), отличающуюся от режима секретности (secrecy).
P.S. лента новостей IP CLUB в сфере права интеллектуальной собственности и цифрового права (IP & Digital Law) в:
[1] См., например: Ожегов С.И. Словарь русского языка: 70000 слов / Под ред. Н.Ю. Шведовой. М.: Рус.яз., 1991. С. 293; Словарь иностранных слов. М.:
[2] См. например, Shils, Edward A. The Torment of Secrecy: The Background and Consequences of American Security Policies. Chicago: Ivan R. Dee. 1956, reissued 1996.
[3] Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
[4] «…без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным».
Конфиденциальность персональных данных
Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Словарь-справочник терминов нормативно-технической документации . academic.ru . 2015 .
Смотреть что такое «Конфиденциальность персональных данных» в других словарях:
КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ — согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта… … Делопроизводство и архивное дело в терминах и определениях
Оператор персональных данных — (согласно закону РФ «О персональных данных») государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки… … Википедия
Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) — Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… … Словарь-справочник терминов нормативно-технической документации
Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных … Официальная терминология
Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных … Словарь-справочник терминов нормативно-технической документации
конфиденциальность информации — Обязательное требование для лица, получившего доступ к определенной информации, не передавать данную информацию третьим лицам без согласия ее обладателя. [ГОСТ Р 52653 2006] конфиденциальность информации Запрет передачи определенной информации… … Справочник технического переводчика
Конфиденциальность информации — ( Confidentiality information) — запрет передачи определенной информации посторонним лицам без согласия ее обладателя. Например, конфиденциальность персональных данных (Confidentiality of personal data) — обязательное для соблюдения… … Экономико-математический словарь
конфиденциальность — 2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. [ИСО/МЭК 7498 2] Источник … Словарь-справочник терминов нормативно-технической документации
Конфиденциальность — Проверить информацию. Необходимо проверить точность фактов и достоверность сведений, изложенных в этой статье. На странице обсуждения должны быть пояснения. Конфиденциальность. (англ. confidence … Википедия
Перепись населения Белоруссии 2009 года — Перепись населения в Белоруссии 2009 года вторая после обретения суверенитета перепись населения Республики Беларусь, сбор персональных данных в ходе которой проводился с 14 по 24 октября. Официально целью проведения переписи было объявлено … Википедия