Безопасность личности в век цифровых технологий: основы законодательства о защите персональных данных

В современном мире цифровых технологий мы все чаще сталкиваемся с понятием «персональные данные». Простые фразы вроде «внесите свои персональные данные» или «подпишите согласие на обработку персональных данных» стали не просто частью нашего повседневного общения, но и условием, без которого невозможно получить услуги и воспользоваться различными сервисами. Но что же на самом деле кроется за этим часто встречающимся термином?

Под определением «персональные данные» мы в основном понимаем такие сведения о человеке, как фамилия, имя, отчество, дата рождения, однако в России еще в 2006 году данное понятие было «узаконено» и определено Федеральным законом № 152-ФЗ «О персональных данных». Согласно указанному закону персональные данные — это любая информация, относящаяся к физическому лицу. 

Указ Президента РФ № 188 «Об утверждении перечня сведений конфиденциального характера», определяющий состав этих сведений, дает следующее определение - сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Выделяют несколько категорий персональных данных:

— общие персональные данные: фамилия, имя, отчество, дата и место рождения; адрес; семейное положение, данные об имуществе, информация о месте работы, величина дохода, номер телефона, а также другие сведения о человеке;

— специальные категории персональных данных: расовая и национальная принадлежность, религия, философские взгляды, сведения о личной жизни, данные о состоянии здоровья;

— биометрические персональные данные: отпечатки пальцев; данные ДНК; радужная оболочка глаз; фотографии, голос, а также другие биологические или физиологические характеристики, которые идентифицируют человека;

— иные: членство в организациях, настоящее местонахождение.

Законом установлены принципы и условия обработки персональных данных, определены права субъектов персональных данных (физическое лицо, которому принадлежат персональные данные) и обязанности оператора персональных данных (лицо, осуществляющее обработку персональных данных). Отдельная статья посвящена конфиденциальности персональных данных и согласию на обработку персональных данных.

Оператором персональных данных, в соответствии с Законом, выступает лицо, которое осуществляет любое действие, направленное на обработку данных третьих лиц. Для понимания масштаба применения закона о персональных данных возьмем один пример — сотрудники и данные о них есть в любой организации, следовательно, к операторам персональных данных относятся все юридические лица.

Законодательство предусматривает жесткие меры ответственности за нарушение требований по защите персональных данных. В первую очередь, это административная ответственность — штраф для физического лица достигает трехсот тысяч рублей, для юридических лиц — одного миллиона рублей.

Уголовная ответственность установлена за нарушение неприкосновенности частной жизни. Самое суровое наказание — лишение свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет.

К принципам и условиям обработки персональных данных относятся назначение оператором ответственного за организацию обработки персональных данных; издание оператором специально разработанных документов, которые определяют политику в отношении обработки персональных данных, а также локальных актов по различным вопросам, установленным законодательством в области защиты персональных данных, правовые, организационные и технические меры по обеспечению безопасности персональных данных, осуществление  внутреннего контроля и (или) аудита.

Для большинства людей вопросы организации защиты персональных данных, равно как и защиты информации, в целом представляется как набор наиболее известных мер и способов:

• Шифрование данных, которое предполагает преобразование исходной информации в закодированный вид, который невозможно прочитать без специального «ключа». 
• Многофакторная аутентификация, предполагающая использование нескольких методов подтверждения личности пользователя, например, сочетание пароля и одноразового кода, высылаемого на мобильный телефон. 
• Управление доступом к информации — обеспечение прав доступа только для тех сотрудников, кому эти права необходимы для выполнения служебных обязанностей.

Компании-операторы вправе на свой страх и риск обеспечивать защиту обрабатываемых персональных данных самостоятельно. Но к вопросам персональных данных, обрабатываемых в государственных информационных системах, подход более системный и, на наш взгляд, правильный. Данные системы аттестуются специально уполномоченными организациями, действующими на основании лицензии ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Аттестат является документом, подтверждающим реализацию всех необходимых мер защиты информации, необходимых в соответствии с классификацией самой системы.

В направлении «Инферит Безопасность» (ГК Softline) есть компании, обладающие необходимыми лицензиями, а также опытом по защите конфиденциальной информации в государственных информационных системах (ГИС), информационных систем персональных данных (ИСПДн) и не только. Данная квалификация позволяет нам создавать защищенные центры обработки данных, в которых могут размещаться информационные системы наших заказчиков. 

Автор: Фанис Фаляхиев, Исполнительный директор “Инферит безопасность”.

Оригинал статьи на РБК