Справочник по информационной безопасности.
Вопросы и ответы по DLP-системам
Персональные данные (ПДн)
Персональные данные (ПДн), согласно №152-ФЗ «О персональных данных», это — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Кроме отечественного регулирования некоторые персональные данные у нас в стране подпадают под действие экстерриториальных регламентов по защите персданных, например, европейского GDPR (General Data Protection Regulation).
В большинстве случаев персональные данные включают в себя фамилию, имя, отчество субъекта, дату его рождения, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта, адрес и т.п. Однако, существуют особенности и ограничения, определенные в законодательстве.
Персональные данные: какими они бывают?
Документы ФСТЭК, Роскомназдора и положения №152-ФЗ разделяют персональные данные на несколько групп: общие, специальные, биометрические, обезличенные и общедоступные. персональные данные Особо выделяются персональные данные несовершеннолетних.
- Общие персональные данные включают в себя ФИО, место регистрации, информацию о месте работы, номер телефона, email. Эта группа информации о человеке описывает его базовые данные, которые могут быть частично известны другим людям, например, родственникам;
- Специальные персональные данные перечисляются в п.1 статьи 10 №152-ФЗ: расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, а также информация о состоянии здоровья и интимной жизни;
- Биометрические персональные данные, согласно п.1 статьи 11 №152-ФЗ, представляют собой сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
- Обезличенные персональные данные — это данные, из которых невозможно установить конкретное лицо. Методические рекомендации по применению приказа Роскомнадзора №996 «Об утверждении требований и методов по обезличиванию персональных данных» предлагают несколько методик этого процесса. Обезличенные персданные сейчас активно используются для обучения искусственного интеллекта.
- Общедоступные персональные данные согласно статье 8 №152-ФЗ могут использоваться, например, для создания справочников или адресных книг. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и т.д. Сюда же относятся данные, которые субъект сам распространил на неопределённый круг лиц. Однако Московский Арбитражный суд в определении по делу №А40-5250/17 в 2017 году указал, что персональные данные, публикуемые в социальных сетях не являются общедоступными, а социальные сети не являются источником общедоступных сведений.
Права же несовершеннолетних детей согласно ч. 1 ст. 64 Семейного кодекса защищают родители и законные представители. Эти лица, давая свое согласие, подтверждают, что обработка персональных данных несовершеннолетнего является законной и не нарушает права ребенка.
Родители и законные представители имеют право на получение исчерпывающей информацию о том, каков точный объем собираемых данных и будут ли они передаваться в другие организации. Однако, если родитель лишен родительских прав, то он не имеет возможности доступа к персональным данным несовершеннолетних детей.
Персональные данные: Права субъекта персональных данных
Третья глава №152-ФЗ «Права субъекта персональных данных» устанавливает набор прав, благодаря которым физическое лицо имеет возможность оперировать своими данными. Например, субъект вправе запросить у оператора, осуществляющего обработку персональных данных, сведения, касающиеся его данных, и оператор обязан в срок до 30 дней предоставить такую информацию.
Есть и исключения. Например, если в сети Интернет обнаружены персданные, не соответствующие действительности, администрация ресурса, в чьи обязанности входит обработка персональных данных данного субъекта, по его запросу должна либо их отредактировать, либо удалить. Это должно произойти, как указано в статье 20 №152-ФЗ, в срок не более 7 дней с даты получения запроса.
Кроме этого, субъект вправе запросить у оператора ПДн сведения, подтверждающие факт обработки персданных оператором, а также правовые основания и цели обработки персональных данных. Они должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, ради которой такая обработка осуществляется. Цели оператор определяет заранее, при подаче заявления на разрешение в Роскомнадзор.
Оператор, осуществляющий на законных основаниях обработку персональных данных, может отказать субъекту в ответ на его запрос. Эти случаи детально прописаны законодателем, и как правило, связаны с требованиями силовых ведомств при проведении ими оперативно-розыскной, разведывательной или контрразведывательной деятельности.
Доступ к ПДн может быть ограничен, если в отношении субъекта возбуждено уголовное дело или если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем. Ограничение доступа к персданным может возникнуть, если нарушаются права и законные интересы третьих лиц.
Персональные данные и их Обработка и защита
Обработка персональных данных может быть автоматизированной, т.е. с применением средств вычислительной техники и неавтоматизированной или смешанной. Причем цели для разных способов обработки персональных данных одного и того же человека могут быть разными.
После обработки персональных данных, они хранятся в архиве. Документы в бумажной форме помещаются в отдельное специализированное помещение, а цифровые документы — в электронное хранилище. В обоих случаях необходимо предусмотреть возможность оперативно найти ПДн, уничтожить их по требованию субъекта или передать третьим лицам.
Обработка персональных данных может включать в себя:
- сбор;
- передачу;
- запись;
- хранение;
- извлечение;
- изменение;
- обезличивание;
- анализ;
- удаление.
Оператор при обработке персональных данных обязан принимать все необходимые меры для защиты ПДн. В их число входят: правовые, организационные и технические меры. Их комплексное использование должно обеспечить защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и утечек вследствие деятельности инсайдеров. Обязанность по установлению требований по защите персданных возложена на ФСТЭК РФ, а в финансовой сфере на Банк России.
Постановлением Правительства №1119 от 1 ноября 2012 года описаны критерии отнесения ПДн к одному из четырех уровней защищенности (перечислены выше), различающихся перечнем требований по защите информационных систем по обработке персональных данных (ИСПДн). Кроме того, в документе приведены меры по профилактике несанкционированного доступа к конфиденциальным сведениям.
По форме отношений между организацией и субъектами обработка ПДн подразделяется на два вида: обработка персональных данных работников организации и не являющихся её работниками.
Типы актуальных угроз определены следующим образом:
- Угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
- Угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
- Угрозы 3-го типа не связаны с наличием недекларированных возможностей в ПО, используемом в ИСПДн.
Конкретный набор действий по внедрению средств ИБ для нейтрализации данных угроз для защиты персональных данных базируется на требованиях Постановления Правительства №1119 и Приказа ФСТЭК №21 от 18 февраля 2013 года.
Персональные данные Перспективы развития регулирования
Жизнь не стоит на месте. Одним из драйверов перемен стала пандемия COVID-19. В ряде стран во благо людей, подвергшихся опасности заражения, власти пренебрегали нормами местных законов, защищающих персональные данные.
Кроме того, самоизоляция и массовый переход в онлайн привычных процессов, вызвали всплеск интереса общества к проблеме массовой утраты персональными данными своей конфиденциальности на волне бума кибермошенничества, включая социальную инженерию. Несовершенство законодательства обсуждается всё чаще.
Кроме того, в №152-ФЗ имеются изъятия, позволяющих передавать ПДн значительному списку получателей, и ничто не гарантирует того, что они будут эти данные использовать не в ущерб субъектам. Часть проблем исходит из-за недостаточной проработанности в Законе понятий «конфиденциальность» и «персональные данные». Эксперты говорят и том, что в Законе не предусмотрена ответственность за разглашение персданных, а также за преднамеренные хищения и утечки данных. Очевидно, что по этим по пунктам следует ожидать активизации деятельности юристов.
Часть методологических проблем №152-ФЗ, связанных с процессом обработки персональных данных, также, возможно, требует доработок, связанных с уточнением состава данных, целей обработки и сроков. Причем в конкретной IT-системе этот этот стандартный набор должен определять свой собственный набор данных, что позволит однозначно обозначить, в какой системе какие ПДн должны защищаться. Не бывает персональных данных вообще, а только в контексте конкретной области их применения.
Министерство цифрового развития, связи и массовых коммуникаций РФ ожидает изменений в №152-ФЗ, которые будут направлены на введение регулирования оборота обезличенных персональных данных, необходимых для работы сервисов с использованием ИИ.
Что касается финансовой сферы, то здесь можно ожидать более радикальных изменений в связи с ростом мошенничества и массовыми случаями социальной инженерии. В частности, обсуждается инициатива Ассоциации банков России (АБР), заключающаяся в том, что персональные данные банковских мошенников могут начать передавать их жертвам, чтобы клиенты банков могли вернуть свои деньги. Однако требуются изменения в регулирование банковской тайны.
Кроме того, развитие открытого банкинга в России и связанных с ним технологий Open API и соответствующие положения GDPR, уже привели к тому, что в России на портале «Госуслуги» появился сервис по просмотру согласий субъектов на дачу и обработку своих персональных данных. Существующий курс Банка России на активное развитие Open API позволяет предполагать некоторого сближения положений №152-ФЗ и GDPR в будущем.
Узнайте больше о продуктах InfoWatch