Защита персональных данных: история нерешенных проблем или готовимся к 1 июля 2011 года

Несколько постулатов о защите информации

В соответствии с пунктом 1 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и защите информации" (в ред. от 27.07.2010) защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

"1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации."

Говоря о защите информации в целом, прежде всего следует различать требования, предъявляемые к защите сведений:

• составляющих государственную тайну;
• признаваемые коммерческой тайной;
• персонального характера.

Российское законодательство о защите персональных данных является относительно новым и существует множество нерешенных вопросов, что зачастую препятствует выполнению операторами персональных данных необходимых требований действующего законодательства о персональных данных.

Однако несмотря на значительный комплекс проблем необходимо понимать, что:

1. Все без исключения физические лица являются субъектами ПДн.
2. Все без исключения организации являются операторами персональных данных и должны рассматривать требования Закона о персональных данных с точки зрения обеспечения наших прав и свобод, закрепленных Конституцией РФ.
3. Четкое выполнение требований регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России) - уменьшение рисков манипулирования со стороны персонала и конкурентов.

Основные вехи развития законодательства о защите ПДн и существующие проблемы

История развития законодательства о защите персональных данных в мире насчитывает не одно десятилетие. Основным международным документом является Конвенция "О защите физических лиц при автоматизированной обработке персональных данных" ETS-108 (Страсбург, 28 января 1981 г.), которая была принята государствами-членами Совета Европы с целью обеспечения на территории каждой из сторон договора уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой его персональных данных.

Российской Федерацией данная конвенция была ратифицирована только 19 декабря 2005 года Федеральным законом № 160-ФЗ. Именно с этого момента можно говорить о начале развития законодательства о защите персональных данных в РФ. Несмотря на принятие Федерального закона № 152-ФЗ в 2006 году, данный закон в полную силу вступит с 1 июля 2011 года.

Перенос вступления в силу данного закона обусловлен целым рядом факторов.

Во-первых, проведение комплекса мероприятий по защите персональных данных требует существенных финансовых затрат. Причем в наиболее сложной ситуации оказываются бюджетные учреждения (образования, медицины и т. п.), которым средства бюджета на проведение необходимых мероприятий не выделены.

Во-вторых, действующее законодательство о персональных данных содержит множество "вопросов без ответа". Например, к числу вопросов, "на которые ответит время", можно отнести:

1. Какие сведения можно признать персональными данными?

Обратимся к определению, приведенному в статье 3 Федерального закона № 152-ФЗ. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

От четкого ответа на данный вопрос зависит объем сведений, подлежащих защите и соответственно комплекс проводимых мероприятий. Вряд ли у кого возникнут сомнения, что информация о работниках организации (фамилия, имя, отчество, паспортные данные, номер страхового свидетельства, ИНН, место жительства, сведения об образовании и т. п.) является сведениями персонального характера, и эти данные подлежат защите в соответствии с требованиями законодательства о персональных данных.

Множество вопросов вызывают данные о "контактных лицах" контрагентов. Причем набор таких данных, как правило, ограничен. Например, фамилия, имя, отчество, должность, служебный телефон. На основании определений, приведенного в законе, дать однозначный ответ на вопрос: "Являются ли такие данные персональными?" не представляется возможным.

Как поступать в такой ситуации? В качестве разрешения сложившейся ситуации может быть предложено максимально четкое определение в организационно-распорядительных документах организации перечня сведений, признаваемых персональными данным в положении о персональных данных, утвержденном в организации. Можно воспользоваться рекомендациями по выполнению законодательных требований при обработке персональных данных в организациях банковской системы, совместно подготовленными Банком России, Ассоциацией Российских банков и Ассоциацией "Россия". В приложении № 3 к данным рекомендациям приведен примерный перечень персональных данных. Стоит обратить внимание, что к персональным данным отнесены лишь "номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства (по паспорту)". Номер служебного телефона к сведениям персонального характера не относится. В ряде случае в общении с контрагентами, возможно, будет достаточной информацией - имя, отчество и рабочий телефон. Такие данные к персональным относится уже не будут.

2. Когда необходимо получать согласие работника на обработку данных

Напомним, что получать согласие на обработку данных не требуется, если предоставление таких данных определено федеральным законом. Например, при трудоустройстве предоставление необходимых сведений регламентировано статьей 65 ТК РФ. При этом в рассматриваемой статье определено, что "запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных настоящим Кодексом, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ".

Такое требование как ИНН в этом перечне отсутствует, соответственно, получение сведений об ИНН, возможно только при наличии согласия субъекта персональных данных.

Таким образом, получить согласие на обработку данных в части ИНН и иных сведений, не определенных в ст. 65 ТК РФ, а также при передаче сведений в третьи организации (например, кредитные и страховые учреждения) необходимо.

3. Какие требования должны быть соблюдены и какие мероприятия проведены при присвоении информационной системе того или иного класса?

Напомним, что различают типовые и специальные информационные системы. К специальным относятся информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Практически любая информационная база, в которой обрабатываются персональные данные, требует защиты как минимум от изменения и несанкционированных действий.

Для определения класса специальной ИСПДн необходимо составлять модель угроз и документами ФСТЭК России предусмотрены классы специальных ИСПДн отличные от классов типовой ИСПДн. Вместе с тем приказом ФСТЭК России от 05.02.2010 № 58 определены требования в соответствии с классами, предусмотренными для типовых информационных систем персональных данных. Руководствуясь данным приказом, оператор ПДн имеет возможность определить требования, предъявляемые к типовым ИСПДн, но установить соответствие классов типовой и специальной систем зачастую может только специалист по информационной безопасности. Причем выводы о классе ИСПДн и комплексе необходимых мероприятий будут сделаны на основе знаний и опыта конкретного специалиста. А учитывая отсутствие нормативных правовых актов, выводы, сделанные разными специалистами могут отличаться, что также не упрощает планирование и проведение работ по защите персональных данных.

Помимо рассмотренных выше, также существует множество иных нерешенных вопросов. Например:

1. Какие работы могут быть выполнены самостоятельно сотрудниками организации, а какие исключительно специалистами по информационной безопасности (экспертами)?
2. Кто может быть признан экспертом?
3. Как подтвердить соответствие ИСПДн требованиям закона?
4. Какая обработка может быть признана автоматизированной обработкой данных (направлять или нет уведомление в Роскомнадзор?)
5. Что понимать под состоянием здоровья (инвалидность; беременность)?

Несмотря на наличие спорных вопросов, мероприятия по защите персональных данных должны быть проведены в каждой организации. Ведь каждая без исключения организация является оператором персональных данных. Необходимо учитывать, что положения Федерального закона № 152-ФЗ вступали в силу поэтапно.

Начиная с 26 января 2007 года, обработка персональных данных, включенных в информационные системы персональных данных, должна была осуществляться в соответствии с нормами рассматриваемого закона. Например, получение и обработку персональных данных уже в 2007 году необходимо было осуществлять только при наличии согласий субъектов персональных данных. Также с 2007 года необходимо было задуматься и начать разработку организационно-распорядительной документации.

С 1 января 2008 года операторы, осуществляющие обработку персональных данных, обязаны направлять уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор). Соответственно, уже в 2008 году следовало провести категорирование персональных данных, классификацию информационной системы, направить уведомление в Роскомнадзор.

К 1 июля 2011 года информационные системы персональных данных должны быть приведены в полное соответствие с требованиями Федерального закона № 152-ФЗ. Т. е. к 1 июля 2011 года должны быть проведены все организационно-распорядительные мероприятия по защите персональных данных, а также решены все вопросы, связанные с технической защитой ИСПДн. Также в случае, если не представляется возможным провести полный комплекс технических мероприятий, то может быть рекомендована разработка плана необходимых мероприятий с указанием конкретных сроков исполнения.

Рекомендации по проведению комплекса необходимых мероприятий по защите ПДн

Для соблюдения минимальных требований и недопущения серьезных претензий со стороны регуляторов (в первую очередь Роскомнадзора) может быть рекомендовано проведение следующего комплекса мероприятий:

1. Создать комиссию по проведению комплекса мероприятий по защите ПДн. Учитывая, что проведение данных работ включает широкий круг вопросов, в состав комиссии целесообразно привлечь лиц, обладающих знаниями в сфере защиты информации, в области юриспруденции, работника кадровой службы, бухгалтера, системного администратора.

2. Начать работу по проведению комплекса мер по защите ПДн следует с проведения категорирования обрабатываемых персональных данных. Проще говоря, задачей данного этапа работы является выявление всех данных персонального характера, обрабатываемых в организации. Также на данном этапе необходимо оценить наличие согласий субъектов ПДн на обработку данных, проанализировать требуется ли для нужд организации хранение всех сведений персонального характера, а также определить перечень ответственных лиц.

3. Определить характеристики ИСПДн. На данном этапе необходимо определить конфигурации и топологии ИСПДн, физические, функциональные и технологические связи как внутри системы, так и с другими системами различного уровня и назначения, определить технические и программные средства, используемые в ИСПДн.

4. Определить перечень угроз в части соблюдения безопасности информации, их актуальность (рекомендуется с привлечением экспертов по информационной безопасности), разработать модель угроз и определить класс ИСПДн.

5. Подготовить и направить уведомление в Роскомнадзор с целью включения в реестр операторов.

6. Разработать порядок работы с ПДн. В случае необходимости разработать и провести комплекс дополнительных мероприятий по защите ПДн, в том числе по технической защите ПДн (приобрести и настроить необходимые технические средства и программное обеспечение). Разработанный порядок должен обеспечивать своевременное предоставление информации в случае получения запросов из Роскомнадзора (7 раб. дней) или непосредственно от физических лиц - субъектов ПДн (10 раб. дней).

7. Подготовить и утвердить комплект организационно-распорядительной документации.

В наличии должны быть:
- Приказ о назначении ответственного должностного лица/подразделения;
- Положение о защите ПДн;
- Приказы о допуске, перечень допущенных сотрудников;
- Журналы учета носителей информации.

8. Довести до сотрудников порядок работы со сведениями о персональных данных, в том числе обучение сотрудников.

9. Планирование и проведение контрольных мероприятий по защите ПДн.

В завершение статьи предлагаем воспользоваться схемой определения класса типовой ИСПДн.