26 января 2007 года вступил в силу Федеральный закон РФ № 152-ФЗ «О персональных данных». Что это за документ, кому нужен и зачем его приняли? Рассказываем.
Почему ФЗ-152 — нужный закон
Закон 152-ФЗ — базовый документ, который определяет требования по работе с персональными данными (ПДн) граждан ко всем организациям, которые так или иначе взаимодействуют с этими данными. Необходимость такого закона назревала давно: слишком много нарушений было в области неэтичного и злонамеренного использования личных данных людей. Также документ был необходим для нормализации международной торговли с Евросоюзом, который строго регламентирует сделки: их можно осуществлять только между странами, способными гарантировать защиту передаваемой и получаемой информации.
Заметим, что в некоторых странах подобные законы действуют чуть ли не пару столетий. Например, в Норвегии и Франции подобные законы были введены в конце 19-го века. В США озаботились этим вопросом в 1974 году, в Китае — в 2012 (но более-менее чёткий законопроект «О кибербезопасности КНР» появился 1 июня 2017 года).
Благодаря действию нового закона сократилось количество преступлений, связанных с использованием чужих ПДн. Сливать информацию стало противозаконно, и мошенникам здорово усложнили жизнь. Так что цель ФЗ-152 о персональных данных благая, закон действительно нужен.
Какие данные относятся к персональным
В законе указаны четыре категории персональных данных:
- Общедоступные — информация, опубликованная самим человеком или с его разрешения. Например, организатор соревнований может опубликовать список участников и их возраст на своём сайте и в социальных сетях.
- Биометрические — информация о биологических и физиологических особенностях человека. Голосовой слепок, скан радужной оболочки глаза, фотографии, отпечатки пальцев относятся к биометрии.
- Специальные — информация о расовой принадлежности, национальности, политических и религиозных взглядах, судимостях, состоянии здоровья.
- Иные — вся остальная информация, которая не включена в первые три категории. Данные электронной почты, стаж работы, даты отпуска, местонахождение и т.д.
Кого касается ФЗ 152
Закон распространяется на так называемых «операторов» ПДн. Под это понятие подходят госучреждения любые компании, так или иначе обрабатывающие личные данные граждан. То есть хранящие, передающие, извлекающие, уничтожающие и т.д.
Отдельно надо заметить, что обработка персональных данных может быть не только автоматическая, с помощью компьютерных программ. Картотеки, бумажные журналы и другие физические носители тоже подпадают под действие законодательства.
Кто и как контролирует исполнение закона
Заботу о соблюдении законодательства возложили на Роскомнадзор. Организационно-документальную отрасль этого вопроса курирует специально созданное подразделение — Управление по защите прав субъектов персональных данных.
За технической составляющей ФЗ-152 следит Федеральная служба по техническому и экспортному контролю (ФСТЭК), а в случае с использованием криптографии и шифрования подключается и ФСБ. Эти организации выполняют аудит ИТ-инфраструктуры, программных и физических решений, после чего выдают соответствующе лицензии или отказывают в их выдаче. Кстати, если нет возможность организовать локальное хранение ПДн, компания может доверить это облачному провайдеру. Есть облачные решения, разработанные именно для этих задач.
Как обрабатываются данные
В ст. 3 закона «О персональных данных» указано, что обрабатываться ПДн могут с использованием средств автоматизации и без них.
Говоря про автоматизацию, законодатели предполагают использование информационных систем, хотя конкретно это нигде не прописано. При обработке ПДн средствами автоматизации в силу вступает важное условие: решение, на основании которого могут быть изменены права или обязанности человека, не может выноситься автоматически, исходя из результатов компьютерной обработки персональных данных.
Ручной способ — это внесение ПДн на материальные носители и дальнейшая работа с ними вручную. Регламентирует такую работу ФСТЭК, обозначивший общие принципы и организационные меры, затрудняющие физический доступ к данным через ограничение прав доступа сотрудников. Дополнительно прописаны требования по физической защите помещений.
Также встречается смешанная обработка, когда человек вводит данные из бумажного документа в программу.
Законодательно определены и принципы обработки ПДн. Их должен придерживаться каждый оператор:
- Законность и справедливость. Цель сбора данных должна быть законной, а все участники — находиться в равных условиях
- Конкретность. Обработка ПДН выполняется для достижения конкретных целей. Нельзя брать данные под одну задачу, а использовать для другой
- Запрет на избыточность. Собирать нужно те данные, которые действительно нужны. Сбор избыточных сведений запрещён
- Точность, достаточность и актуальность. Некорректные данные должны удаляться оператором самостоятельно или по заявлению человека. Устаревшие — актуализироваться
- Минимальная идентификация. Хранимых сведений должно быть достаточно для решения конкретных задач.
Согласно законодательству каждой информационной системе, в которой хранятся или обрабатываются персональные данные, должен быть присвоен свой класс. От класса зависит требуемый уровень защиты (УЗ) данных. Можно выделить четыре уровня:
- УЗ-1. Высший уровень защиты для безопасного хранения специальных данных, несанкционированное использование которых может повлечь большие проблемы. Требуется специальное ПО, шифрование и другие системы защиты.
- УЗ-2. Используются чуть менее жёсткие требования для защиты биометрии. Обязательно наличие систем резервного копирования и защиты от проникновения.
- УЗ-3. Этот уровень подходит для хранения иных данных. Обязательное условие — ограничение на доступ к месту хранения чувствительной информации.
- УЗ-4. Базовый уровень защиты для хранения общедоступных персональных данных. Требования по защите предполагают, что достаточно простого антивирусного ПО.
Безопасность и сертификация персональных данных
Оператор должен уметь определять угрозы безопасности, применять организационные и технические меры защиты, вести учёт съёмных носителей, контролировать и регистрировать все факты доступа к данным. Полный перечень приведён в постановлении Правительства РФ от 1 ноября 2012 г. N 1119, но закон допускает, что оператор будет использовать и другие меры защиты. Тем самым поощряется работа компаний-операторов по совершенствованию программно-технических решений, используемых для охраны чувствительных сведений.
Непосредственно для обработки ПДн специальные лицензии не требуются. А для их защиты бывают нужны сертифицированные технические средства. Этими вопросами занимаются контролирующие органы: ФСБ и ФСТЭК.
ФСБ отвечает за аттестацию и лицензирование систем, использующих криптографические системы шифрования. Но если юрлицо или ИП использует криптошифрование для собственных нужд, лицензия ему не нужна.
Cloud4Y разработал решение для безопасного хранения персональных данных частными компаниями и госучреждениями — это услуга Облако ФЗ-152. Вы можете оценить преимущества защищённой облачной платформы, отправив заявку на бесплатный тестовый доступ или позвонив менеджерам компании +7 (499) 877-12-07.