[МУЗЫКА] Ещё одной категорией информации, которую
законодатель требует специальным образом защищать, являются персональные данные.
Давайте поговорим о них.
Закон, регулирующий отношения с ними, называется законом о персональных данных,
это федеральный закон, и, соответственно, в нём содержится
совокупность взглядов законодателя на то, каким образом должны собираться,
храниться, обрабатываться и в дальнейшем перерабатываться персональные данные.
Данный закон регулирует отношения, связанные с различными процессами,
связанными с персональными данными, осуществляемыми федеральными органами
государственной власти, то есть позволяет осуществлять в соответствии с заданным
алгоритмом поиск персональных данных, зафиксированных на материальном носителе и
содержащихся в картотеках или иных систематизированных
собраниях персональных данных, или доступ к таким персональным данным.
Прежде всего, опеределим понятие персональных данных.
В данном законе оно трактуется как любая информация,
относящаяся прямо или косвенно к определённому или определяемому
физическому лицу, субъекту персональных данных.
Здесь сразу два определения даётся как бы вот в этом параграфе.
С одной стороны определение субъекта персональных данных — это любое физическое
лицо, то есть мы с вами, любой гражданин, тот,
кто является как бы носителем персональных данных, кого они определяют.
И сами персональные данные — любая информация, относящаяся к какому-то
конкретному физическому лицу, субъекту персональных данных.
Примерами персональных данных могут являться фамилия, имя, отчество,
персональный номер телефона, различные биометрические параметры,
такие как отпечаток пальца, фотография радужки глаза,
различные идентификационные номера в различных реестрах,
такие как идентификационный номер налогоплательщика, номер медицинского
страхования, номер паспорта, адрес прописки, и прочее.
Также вводится понятие оператора персональных данных или просто оператора
по тексту данного закона.
Это государственный орган либо муниципальный орган либо юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и
осуществляющие обработку персональных данных, а также, обратите внимание,
определяющие цели обработки персональных данных и состав персональных данных,
подлежащих обработке, действия, совершаемые с персональными данными.
То есть именно оператор персональных данных — это любое юридическое лицо,
которое эти персональные данные собирает — принимает решение, зачем оно собирает
персональные данные, какие данные ему понадобятся и что конкретно,
какие операции, он будет с ними совершать.
Обработка персональных данных в рамках данного закона — это любое действие
либо операция или совокупность действий, совершаемых с использованием средств
автоматизации или без использования таких средств, с персональными данными.
Данное понятие включает сбор, запись, систематизацию, накопление, хранение,
уточнение и прочие возможные виды действия с персональными данными,
а также обезличивание и удаление и уничтожения персональных данных,
о которых мы поговорим чуть дальше.
Это действия, связанные с переработкой персональных данных после того,
как цель сбора персональных данных достигнута.
Персональные данные предписывает данный закон обрабатывать на следующих принципах.
Во-первых, обработка должна осуществлять на законной и справедливой основе, то есть
ничьи законные интересы такая обработка персональных данных не должна ущемлять.
Обработка персональных данных должна ограничиваться достижением конкретных,
заранее определённых и законных целей.
Оператор персональных данных обязан эту цель не скрывать.
Не допускается обработка персональный данных,
не совместимая с целями сбора персональных данных.
Простой пример.
Когда вы заполняете анкету для получения скидочной карты в магазине,
от вас иногда просят всю максимально возможную контактную информацию,
по крайней мере часть из них, из этих сведений, является персональными данными.
И вы можете спросить, с какой целью у вас просят, например,
номер мобильного телефона или адрес электронной почты для того,
чтобы оформить на вас даже, может быть, не именную скидочную карту.
В этом случае, скорее всего ответить в большинстве случаев вам не смогут, а вы
можете отказаться предоставлять данные сведения, поскольку обработка персональных
данных, не совместимая с целью сбора персональных данных, не допускается.
Также законодатель не допускает объединение баз данных,
содержащих персональные данные, обработка которых осуществляется в целях,
не совместимых между собой.
Нельзя собирать все персональные данные в единой базе,
они должны быть разделены по целям, для которых они были собраны,
если таковые цели между собой не совместимы.
Обработке подлежат согласно данному закону только персональные данные,
которые отвечают целям их обработки.
Также соответствует тому примеру, который я привёл.
Только те персональные данные, которые нужны для достижения конкретной цели.
Все остальные данные не подлежат обработке в соответствии с законом,
и их сбор, по идее, тоже не вполне законен.
Содержание и объём обрабатываемых персональных данных должны соответствовать
заявленным целям обработки.
Обрабатываемые персональные данные не должны быть избыточными по отношению к
заявленным целях их обработки.
Это как раз раскрытие той мысли, которую я только что сказал.
Следует собирать и обрабатывать только те персональные данные, которые требуются
для достижения заявленных целей их обработки, цель должна заявляться открыто.
При обработке персональных данных должны быть обеспечены точность персональных
данных, их достаточность, а в необходимых случаях и актуальность по отношению
к целям обработки персональных данных.
Оператор должен принимать необходимые меры либо обеспечивать их принятие по
удалению или уточнению неполных или неточных данных.
Данный принцип означает, что субъекты персональных данных не дожны страдать от
неточности персональных данных, от того, что их с кем-то спутали, от того,
что возникли некие ошибки, неполнота, и поэтому цели
обработки персональных данных достигнуты некорректно или вовсе не достигнуты.
Хранение персональных данных в соответствии с данным законом должно
осуществлять в форме, позволяющей определить субъекты персональных данных
не дольше, чем этого требуют цели обработки персональных данных,
если только срок хранения персональных данных не установлен федеральным законом,
договором, стороной которого, выгодоприобретателем или поручителем по
которому является субъект персональных данных.
Иными словами, устанавливается ограничение по времени,
сколько можно хранить персональные данные: не дольше, чем достигнута цель,
или не дольше, чем регламентирует тот или иной договор, в котором участвует субъект
персональных данных, либо не дольше, чем позволяет федеральный закон.
После того, как данная цель достигнута либо срок предельный хранения превышен,
обрабатываемые персональные данные подлежат уничтожению либо обезличиванию,
если иное не предусмотрено федеральным законом.
Под уничтожением персональных данных понимаются такие действия,
в результате которых становится невозможным восстановить содержание
персональных данных в информационной системе персональных данных или в
результате которых уничтожаются материальные носители персональных данных,
то есть это полная ликвидация информации или данных,
записанных на материальный носитель, либо путём удаления такой информации,
либо путём уничтожения самого носителя, бумажного, в первую очередь.
Альтернативой уничтожения является обезличивание персональных данных.
Это, в свою очередь,
действия, в результате которых становится невозможно определить,
какому субъекту персональных данных данные персональные данные принадлежат.
То есть это удаление какой-то значимой части персональных данных,
после которого эти данные могут использоваться обобщённо, без возможности
сопоставить каждую конкретную запись какому-то конкретному субъекту.
Тем не менее, они могут иметь ценность со статистической точки зрения.
Например, для того, чтобы оценить, сколько посетителей было в том или ином объекте,
если охрана на входе для выдачи пропусков записывает персональные
данные посетителей, сколько тех самых скидочных карт выдано,
в какой половозрастной группе распределились эти карточки,
то есть кто является целевой аудиторией той или иной организации, кто обращался,
например, за медицинской помощью в течении какого-то определённого времени,
и прочие статистические показатели могут быть
вычислены на основе обезличенных персональных данных.
В любом случае, судьба персональных данных после того, как цель их сбора и обработки
достигнута, одна их двух: либо быть уничтоженными, либо быть обезличенными.
В рамках данной лекции мы с вами обсудили ряд законов,
в которых выражается взгляд законодателя на информационную
безопасность и на защиту отдельных категорий данных.
Разумеется, когда мы говорим об обеспечение безопасности любого объекта,
важно понимать, кто наш противник, от кого мы защищаемся, какие угрозы мы ожидаем.
На следующей лекции мы с вами поговорим о том,
какие существуют угрозы информационной безопасности и какие существуют
нарушители информационной безопасности, с которыми приходится сталкиваться в
рамках обеспечения мероприятий по защите информации.
[МУЗЫКА]
[МУЗЫКА]
Сорокин Александр ВладимировичСтарший преподаватель
