книги / Правовое обеспечение информационной безопасности
..pdf1.Директива Организации по экономическому сотрудничеству
иразвитию о защите неприкосновенности частной жизни и международных обменов персональными данными;
2.Международная конвенция «Об охране личности в отноше-
нии автоматизированной обработки персональных данных»
1981 года;
3.Европейская конвенция о защите физических лиц при автоматизированной обработке персональных данных;
4.Конвенция Совета Европы № 108 о защите личности всвязи
савтоматической обработкой персональных данных;
5.Директива 95/46/ЕС и № 2002/58/ЕС от 24 октября 1995 Европейского парламента и Совета Европейского Союза о защите прав
частных лиц применительно к обработке персональных данных
ио свободном движении таких данных;
6.Директива 97/66/ЕС от 15 декабря 1997 года по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе.
Опыт международного права реализуется в отечественных законах обширным перечнем нормативно-правовых актов, реализующих данную область информационного права. К ним относятся:
1.Конституция Российской Федерации;
2.Трудовой кодекс Российской Федерации. Глава 14 «Защита персональных данных работника»;
3.Административный кодекс Российской Федерации;
4.Уголовный кодекс Российской Федерации;
5.Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
6.Федеральный закон от 8 августа 2001 г. № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
151
7.Федеральный закон от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
8.Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
9.Федеральный закон от 29 декабря 2006 г. № 256-ФЗ «О дополнительных мерах государственной поддержки семей, имеющих детей»;
10.Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»;
11.Основы законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 г. № 5487-1
Кроме того, порядок реализации защиты персональных данных регламентируется постановлениями Правительства РФ, приказами
ираспоряжениями соответствующих министерств и федеральных служб.
Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены международными договорами, применяются правиламеждународного договора.
8.2. Порядок обработки персональных данных
Обработка персональных данных исполняется оператором с согласия субъекта персональных данных. Этот процесс должен осуществляться на основе принципов:
1)законности целей и способов обработки персональных данных и добросовестности;
2)соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3)соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
152
4)достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5)недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Обработка персональных данных может осуществляться опе-
ратором с согласия субъектов персональных данных, за исключением случаев, когда:
1)обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2)обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3)обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4)обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5)обработка персональных данных необходима для доставки
почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг
153
связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6)обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7)осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Вслучае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев:
– обезличивания персональных данных;
– в отношении общедоступных персональных данных.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных
списьменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
154
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Обязанность представить доказательство получения согласия субъекта персональных данных на обработку его данных возлагается на оператора.
Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку по собственному желанию. В исключительных случаях: в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства обязательного согласия на предоставление субъектом своихперсональных данныхнетребуется.
Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1)фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2)наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3)цель обработки персональных данных;
4)перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5)перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
155
6) срок, в течение которого действует согласие, а также порядок его отзыва.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением следующих случаев:
1)субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2)персональные данные являются общедоступными;
3)персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов, или получение согласия субъекта персональных данных невозможно;
4)обработка персональных данных осуществляется в медикопрофилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5)обработка персональных данных членов общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6)обработка персональных данных необходима в связи с осу-
ществлением правосудия; 7) обработка персональных данных осуществляется в соответст-
вии с законодательством Российской Федерации о безопасности, об
156
оперативно-розыскной деятельности, а также в соответствии с уго- ловно-исполнительным законодательством Российской Федерации.
Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах их полномочий.
Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность –
биометрические персональные данные, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об опера- тивно-розыскной деятельности, о государственной службе, уголовноисполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации ивъездавРоссийскую Федерацию.
8.3. Учет персональных данных
Государственные органы, муниципальные органы власти создают в пределах своих полномочий государственные или муниципальные информационные системы персональных данных.
Информационные системы персональных данных (ИС ПДн)
[9] представляет собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Федеральными законами могут быть установлены особенности учета персональных данных в государственных имуниципальных ИС ПДн, втом числе использование различных способов обозначения принадлежностиперсональныхданных.
157
Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных ИС ПДн, конкретному субъекту персональных данных. При этом не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
Для упорядочения персональных данных оператором проводится классификация ИС ПДн (рис. 4), в которых они обрабатываются. Классификация информационных
Информационные системы персональных данных
по заданным характери- |
|
|
|
|
|
|
|
по структуре: |
|
стикам безопасности: |
|
|
|
−автономные АРМ |
−типовые |
|
|
|
|
|
|
|
−локальные АС |
|
−специальные |
|
|
|
|
|
|
|
−распределенные АС |
|
|
|
|
|
|
|
|
|
|
|
по наличию подключе- |
|
|
|
|
по режиму обработки: |
ний к сетям связи: |
|
|
|
|
−однопользовательские |
−имеющие подключения |
|
|
|
|
−многопользовательские |
−неимеющиеподключений |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
по разграничению прав |
|
|
|
|
по местонахождению |
доступа: |
|
|
|
|
технических средств: |
−без разграничения прав |
|
|
|
|
−в пределах РФ |
|
|
|
|
||
−с разграничением прав |
|
|
|
|
−за пределами РФ |
Рис. 4. Классификация информационных систем персональных данных
158
систем проводится на этапе создания информационных систем или
входе их эксплуатации с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
Проведение классификации информационных систем включает
всебя следующие этапы:
–сбор и анализ исходных данных по информационной системе:
–присвоение информационной системе соответствующего класса и его документальное оформление.
По заданным оператором характеристикам безопасности
персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы – информационные сис-
темы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности.
К специальным информационным системам должны быть отнесены:
–информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
–информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
159
По структуре информационные системы подразделяются:
–на автономные, т.е. не подключенные к иным информационным системам комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
–на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
–на комплексы автоматизированных рабочих мест и локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования
исетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
По режиму обработки персональных данных в информацион-
ной системе информационные системы подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информацион-
ные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
Информационные системы в зависимости от местонахожде-
ния их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
160