Информ право. Особенности информационных отношений в области конфиденциальных персональных данных
 Скачать 19.55 Kb.
|
|
Особенности информационных отношений в области конфиденциальных персональных данных. Под информационным правоотношением следует по¬нимать урегулированное информационно-правовой нормой инфор¬мационное общественное отношение, стороны которого выступают в качестве носителей взаимных прав и обязанностей, установленных и гарантированных информационно-правовой нормой. Основополагающим документом, который регламентирует порядок работы с различной информацией в РФ, в т.ч. и с персональными данными является Федеральный Закон №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает обязательные нормы и правила её обработки. Можно выделить некоторые из видов тайн: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д. Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также классификатор видов информации, доступ к которой, напротив, не может быть ограничен — например, нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д. С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году. Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. В этом же документе дано и само определение персональных данных, которое отражено в Федеральном законе №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году. Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа. Итак, в 2006 году был принят 152-ФЗ «О персональных данных», который не только во многом повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных. В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить установленные Постановлением Правительства №1119 от 01.11.2012 уровни защищенности ПДн, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности. В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее — ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»). В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня зависит от категории обрабатываемых ПДн (т.е. типа ИСПДн), категории и количества субъектов ПДн и типа актуальных угроз. Категории ПДн могут быть специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения), биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности), общедоступными (ПДн получены из общедоступных источников), иными. Защита информации Положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в ФЗ № 149. В соответствии с законодательством, под защитой информации понимается: обеспечение защиты сведений ограниченного доступа от неправомерного посягательства; соблюдение режима ограниченного доступа к ограниченным данным; принятие мер по реализации права на доступ к ограниченной информации. Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации: предотвращение утечки информации; своевременное обнаружение попытки незаконно получить доступ к информации; предупреждение последствий, которые возникают при несанкционированном доступе к сведениям; постоянный мониторинг уровня защиты информации; возможность восстановить данные, которые были уничтожены; размещение информации ограниченного доступа в базах данных на территории РФ. Для защиты критичных данных существуют следующие виды защиты: Физическая. Физическая защита заключается в хранении информации в специальных сейфах или хранилищах, доступ к которым разрешен узкому кругу лиц. Аппаратная. Аппаратный способ защиты предполагает хранение информации на специальных компьютерах или серверах, которые постоянно контролируются с целью предотвращения несанкционированного доступа к данным. Программная. Защита информации осуществляется с помощью программного обеспечения, которое своевременно блокирует неразрешенные действия пользователей и предотвращает утечку сведений. Математическая (криптографическая). Математическая защита позволяет шифровать данные, делая их прочтение недоступным для третьих лиц. Ответственность за правонарушения в сфере информации Согласно ст. 17 Федерального закона № 149, за нарушение требований, установленных для конфиденциальных сведений, наступает юридическая ответственность. Правовые нормы закрепляют следующие виды ответственности: Дисциплинарная. Данный вид ответственности применяется, когда работник совершил дисциплинарный проступок. Например, разгласил персональные данные коллеги третьим лицам. Гражданско-правовая. Указанный вид ответственности предполагает взыскание морального или материального вреда за разглашение сведений ограниченного доступа. Административная. К административной ответственности привлекается лицо, совершившее преступление, предусмотренное Кодексом об административной ответственности. Например, разглашение и распространение информации с ограниченным доступом. Уголовная. Уголовная ответственность за преступление в сфере информации может наступить вследствие незаконного способа получения информации, например, за взлом программного обеспечения. Правовое регулирование конфиденциальной информации помогает обеспечивать ее сохранность и защиту. |