Защита конфиденциальной информации - персональных данных

Некоторые вопросы практического применения
Закона Украины «О защите персональных данных».


  1. Правовые принципы защиты персональных данных.
  1.1. В 2005 году Украина ратифицировала Конвенцию 1981 года Совета Европы № 108 «О защите лиц в связи с автоматизированной обработкой персональных данных». Среди основных обязательств государства по данной Конвенции есть также принятие нормативно-правовых актов, которые должны способствовать защите персональных данных. В связи с этим Верховной Радой Украины 01.06.2010 года был принят Закон Украины «О защите персональных данных», который определил:
  понятие персональных данных – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано (например: информация о наёмном работнике является базой персональных данных, поскольку личное дело, трудовые книжки, копии паспорта, документов об образовании хранятся и обрабатываются работодателем);
  понятие владелец базы персональных данных – физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных дано право на обработку этих данных, которое  утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуру их обработки, если другое не определено законом;
  понятие распорядитель базы персональных данных – физическое или юридическое лицо, которое является владельцем базы персональных данных, или по закону имеет право обрабатывать эти данные;
  - необходимость регистрации базы персональных данных в Государственном реестре баз персональных данных;
  - требования к обработке персональных данных владельцами и распорядителями баз персональных данных, как общие требования к организационным и техническим мероприятиям по защите персональных данных во время их обработки в базе персональных данных (согласие субъекта персональных данных, порядок использования и распространения персональных данных и порядок доступа к персональным данным третьих лиц и др.);
  - необходимость контроля за соблюдением законодательства о защите персональных данных,
  - ответственность за нарушение законодательства о защите персональных данных.
  1.2.З. Целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями, организациями, независимо от форм их собственности, требований Закона Украины «О защите персональных данных» Верховной Радой Украины:
  - принят Закон Украины «О внесении изменений в некоторые законодательные акты в Украине об усилении ответственности за нарушения законодательства о защите персональных данных» № 3454-VI от 2 июня 2011 года;
  - внесены изменения в Кодекс Украины об административных правонарушениях.
 
   2. Регистрация баз персональных данных.
  2.1. База персональных данных подлежит государственной регистрации путём внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.
  2.2. Регистрация  баз  персональных  данных осуществляется по заявочному принципу путём уведомления.
  2.3. Заявка о регистрации базы персональных данных подаётся владельцем базы персональных данных в уполномоченный государственный орган по вопросам защиты персональных данных.
Заявка должна содержать:
  - обращение о внесении базы персональных данных в Государственный реестр баз персональных данных;
  - информацию о владельце базы персональных данных;
  - информацию о наименовании и местонахождении базы персональных данных;
  - информацию о цели обработки персональных данных в  базе персональных данных;
  - информацию о других распорядителях базы персональных данных;
  - подтверждение обязательств относительно исполнения требований защиты персональных  данных,  установленных законодательством про защиту персональных данных.
  2.4. Уполномоченный государственный орган по вопросам защиты персональных данных в порядке, утвержденном Кабинетом Министров Украины:
  - сообщает заявителю не позднее следующего рабочего дня с дня поступления заявки о её получении;
  - принимает решение  о  регистрации базы персональных данных на протяжении десяти рабочих дней с дня поступления заявки.
  Владельцу базы персональных  данных  выдаётся  документ установленного образца о регистрации базы персональных данных в Государственном реестре баз персональных данных.
  2.5. Уполномоченный Государственный орган по вопросам защиты персональных данных отказывает в регистрации базы персональных данных, если заявка о регистрации не отвечает установленным требованиям.
  2.6. Владелец базы персональных данных обязан оповещать уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем на протяжении десяти рабочих дней со дня наступления таких изменений.
  2.7. Уполномоченный Государственный орган по вопросам защиты персональных данных на протяжении десяти рабочих дней со дня поступления сообщения об изменении сведений, необходимых для регистрации соответствующей базы, должен принять решение относительно указанных изменений и сообщить об этом владельцу базы персональных данных.
 
  3. Порядок обработки персональных данных в базах персональных данных.
  3.1. Порядок обработки персональных данных устанавливает общие требования к организационным и техническим мероприятиям защиты персональных данных во время их обработки в базах персональных данных владельцами и распорядителями баз персональных данных. Обработка персональных данных может совершаться полностью или частично в информационной (автоматизированной) системе и/или в форме картотеки персональных данных.
  3.2. Защита персональных данных возлагается на владельца базы персональных данных. Распорядитель базы персональных данных осуществляет обработку персональных данных согласно закону или на основании заключённого с владельцем базы персональных данных договора в письменной форме с целью и в объёме, определёнными договором. На действия владельца и/или распорядителя базы персональных данных  распространяются все требования относительно защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним.
  3.3. Владелец или распорядитель базы персональных данных даёт субъекту персональных данных информацию о цели обработки персональных данных до момента получения согласия от субъекта персональных данных.
  3.4. Владелец базы персональных данных сохраняет персональные данные в срок не более, чем это необходимо согласно цели их обработки, если другое не предусмотрено законодательством.
  3.5. Владелец базы персональных данных определяет:
  - цель обработки, состав персональных данных в базе персональных данных и её местонахождение;
  - порядок внесения изменений, обновлений, использование, распространение, обезличение, уничтожение персональных данных в базе персональных данных;
  - ответственное лицо или структурное подразделение;
  - порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним.
  3.6. Ответственное лицо или структурное подразделение согласно возложенным заданиям:
  - обеспечивает ознакомление работников владельца и распорядителя базы персональных данных с требованиями законодательства о защите персональных данных, в частности относительно их обязанности не допускать разглашения любым способом персональных данных, которые им были доверены, или которые стали им известны в связи с выполнением служебных,  профессиональных или трудовых обязанностей;
  - обеспечивает организацию обработки персональных данных работниками владельца и распорядителя базы персональных данных соответственно их профессиональным, служебным или трудовым обязательствам в объёме, необходимом для исполнения таких обязанностей;
  - организовывает работу по обработке запросов относительно доступа к персональным данным субъектов отношений, связанных с обработкой персональных данных;
  - обеспечивает доступ субъектов персональных данных к собственным персональным данным;
  - информирует руководителя владельца и распорядителя базы персональных данных о мероприятиях, необходимых для приведения состава персональных данных и процедуры их обработки в соответствие закону;
 - информирует руководителя владельца и распорядителя базы персональных данных о нарушениях установленных процедур по обработке персональных данных.
  3.7. Владелец базы персональных данных ведет учёт:
  - фактов предоставления и лишения работников права доступа к персональным данным и их обработке;
  - попыток и фактов несанкционированных и/или незаконных действий по обработке персональных данных.
  3.8. Владелец базы персональных данных может размежевать режимы доступа работников к обработке персональных данных в базе персональных данных в соответствии с их профессиональными, трудовыми или служебными обязанностями.
  3.9. Уничтожение персональных данных осуществляется способом, исключающим последующую возможность восстановления таких персональных данных.
  3.10. Владелец базы персональных данных обрабатывает персональные данные в составе информационной (автоматизированной) системы, в которой обеспечивается защита персональных данных от незаконной обработки, а также от незаконного доступа к ним в соответствии с требованиями закона Украины «О защите персональных данных» и согласно требованиям нормативно-законодательных актов по вопросам технической защиты информации.

  4. Обеспечение защиты персональных данных в информационной (автоматизированной) системе.
  4.1. Владелец базы персональных данных должен создать условия для защиты в информационной (автоматизированной) системе персональных данных и обеспечить защиту этих персональных данных от незаконной обработки, а также от незаконного доступа к ним.
  4.2. Условия для защиты персональных данных зависят от конкретных реальных угроз, природы персональных данных, которые обрабатываются, технологии обработки информации и типа информационной системы, в рамках которой обрабатываются персональные данные.
  4.3. Обеспечение условий для защиты в информационной (автоматизированной) системе персональных данных не решается реализацией определённой совокупности мероприятий, а является постоянным процессом, который включает:
  - разработку политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним, исходя из характеристик деятельности организации, целей, процессов и процедур, существенных для управления риском нежелательных событий относительно обработки персональных данных с учётом серьёзности последствий таких нежелательных событий. Политика защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним должна быть согласована с общей политикой информационной безопасности организации и с контекстом стратегического управления рисками организации;
  - внедрение политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним и обеспечения функционирования мероприятий, процессов и процедур защиты персональных данных;
  - оценивание и, по возможности, измерение производительности процессов защиты персональных данных согласно принятой политике, целям и практическому опыту, подготовка предложений относительно корректирующих мероприятий;
  - употребление корректирующих и предохранительных действий относительно защиты персональных данных на основании результатов внутренних проверок, периодический пересмотр политики защиты персональных данных, постоянное усовершенствование мероприятий;
  4.4. В случае, когда обработка персональных данных осуществляется в информационной (автоматизированной) системе, создаётся комплексная система защиты информации в соответствии с Правилами обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах, утвержденными Постановлением Кабинета Министров Украины от 29 марта в 2006 г. N 373.
  4.5. Комплексная система защиты информации обеспечивает защиту персональных данных от незаконной обработки, а также от незаконного доступа к ним в соответствии с планом защиты информации в системе, который содержит:
  - задание защиты персональной информации, классификации персональной информации, описание особенностей технологии обработки информации;
  - модель угроз для персональных данных в системе;
  - требования относительно защиты персональных данных и правила доступа к ним;
  - перечень документов, согласно которым осуществляется защита информации в информационной системе.
  4.6. Для защиты персональных данных важно, чтобы организационные мероприятия и используемые средства защиты, которые определяют уровень защиты, отвечали реальным конкретным угрозам, данным, которые обрабатываются, и процессам, обработки данных, которые выполняются. Должны браться во внимание вероятные риски нежелательных событий и серьезность последствий таких нежелательных событий. Чем выше риски, тем более строгие мероприятия защиты должны быть реализованы.
  4.7. Если обработка персональных данных осуществляется в информационной (автоматизированной) системе, в которой создаётся комплексная система защиты информации, оценка рисков нежелательных событий для персональных данных, которые обрабатываются в автоматизированной системе, является составной частью оценки рисков в соответствии с рекомендациями согласно нормативному документу НД ТЗИ 1.1-002-99 "Общие положения относительно защиты информации в компьютерных системах от несанкционированного доступа". Утверждено приказом ДСТСЗИ СБ Украины от 28.04.1999 № 22.
  4.8. К основным факторам, которые влияют на уровень требуемой защиты, относятся:
  - внимание, уделяемое обществом к обрабатываемым данным;
  - уровень осведомленности персонала владельца и/или распорядителя базы персональных данных относительно информационной безопасности, защиты персональных данных, уважения к авторским правам, и тому подобное;
  - тип информационно-телекоммуникационной системы, в рамках которой обрабатываются персональные данные.

  5. Обработка персональных данных в форме картотек.
  5.1. Владелец базы персональных данных осуществляет обработку персональных данных в картотеках в порядке, описанном в разделе 4, с учётом таких требований:
  - документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
  - дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных;
  - картотеки хранятся в помещениях (шкафах, сейфах), защищённых от несанкционированного доступа.
  5.2. Двери в помещениях (шкафах, сейфах) должны быть оборудованы замком или контролем доступа.

  6. Ответственность за нарушение законодательства о защите персональных данных.
  6.1.  С целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями, организациями независимо от форм собственности требований Закона Украины «О защите персональных данных», Верховной Радой Украины 2 июня 2011 года принят Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» № 3454-VI, которым внесены изменения в Кодекс Украины об административных нарушениях.
  6.2. 1 июля 2012 года за нарушения в сфере защиты персональных данных на граждан, должностных лиц, граждан – субъектов предпринимательской деятельности возлагается административная ответственность.
  6.3. Административная ответственность граждан, должностных лиц, граждан – субъектов предпринимательской деятельности может наступать за следующие виды деяний:
  - несообщение или несвоевременное сообщение субъекту персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цель сбора этих данных и лиц, которым эти данные передаются, тянет за собой наложение штрафа от 3400 до 6800 грн.,
  - несообщение или несвоевременное сообщение специально уполномоченному центральному органу исполнительной власти по вопросам защиты персональных данных об изменении сведений, которые подаются для государственной регистрации базы персональных данных влечет за собой наложение штрафа от 1700 до 6800 грн.,
  - уклонение от государственной регистрации базы персональных данных влечет за собой наложение штрафа от 5100 до 17000 грн.,
  - несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, приведшее к незаконному доступу к ним, влечет за собой наложение штрафа от 5100 до 17000 грн.
  6.4. Незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации, караются:
  - штрафом от 8500 до 17000 грн. или
  - исправительными работами сроком до двух лет, или
  - арестом сроком до шести месяцев, или ограничением свободы сроком до трех лет.
  Те же действия, совершенные повторно, или если они нанесли существенный вред охраняемым законом правам, свободам и интересам лица, - караются:
  - арестом на срок от трех до шести месяцев или
  - ограничением свободы на срок от трех до  пяти  лет,
  - лишением свободы на тот же срок.

  7. Создание условий работы с персональными данными на предприятии.
  7.1. С момента принятия Закона Украины «О внесении изменений в некоторые законодательные акты  Украины  усиления  ответственности  за  нарушение законодательства  о  защите  персональных  данных» № 3454-VI от 2 июня 2011 года нормы Закона Украины «О защите персональных данных» перестают быть сугубо декларативными, а превращаются в действенный правовой инструмент в руках государства, так как нарушение законодательства в сфере защиты персональных данных ведёт к административной или уголовной ответственности.
  7.2. Во исполнение требований Закона Украины «О защите персональных данных» и с целью недопущения правонарушений в сфере защиты персональных данных на предприятии необходимо создать систему управления персональными данными, которая соединит организационные и технические мероприятия по созданию условий работы с персональными данными.
  7.3. На этапе создания системы управления персональными данными на предприятии необходимо осуществить такие организационные мероприятия:
  - определить цель обработки и состав персональных данных в базе персональных данных. Как правило, на предприятии может быть три базы персональных данных – база работников, база контрагентов (клиентов),  база основателей;
  - разработать и утвердить Порядок обработки персональных данных в базах персональных данных предприятия;
  - назначить отдельного исполнителя или структурное подразделение, ответственное за сведения, содержащие персональные данные, которые обеспечат создание и функционирование на предприятии комплексной системы защиты информации в информационной (автоматизированной) системе от незаконной обработки и незаконного доступа, а также контроль за выполнением требований законодательства относительно защиты персональных данных;
  - провести регистрацию баз персональных данных, функционирующих на предприятии, в Государственном реестре баз персональных данных;
  - обеспечить оформление письменного согласия субъектов персональных данных на обработку их персональных данных в базах персональных данных предприятия в случае создания условий относительно защиты информации;
  - обеспечить оформление письменного обязательства работников предприятия не допускать разглашения персональных данных, которые им доверены или которые стали им известны в связи с выполнением профессиональных и трудовых отношений;
  - создать комплексную система защиты информации, обеспечивающую защиту персональных данных в информационной (автоматизированной) системе;
  - разработать и утвердить необходимые положения, инструкции и другие предписывающие документы, в соответствии с которыми будет обеспечиваться защита персональных данных в базах персональных данных предприятия.
  7.4. Создание комплексной система защиты информации, которая обеспечит защиту персональных данных в информационной (автоматизированной) системе от незаконной обработки, а также от незаконного доступа к ним осуществляется в соответствии с Правилами обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах, утверждённых Постановлением Кабинета Министров Украины от 29 марта 2006 г. № 373 и другими нормативно-законодательными документами в сфере технической защиты информации.