Персональные данные: нормативно-правовые парадоксы

Сергей Нагорный, начальник центра федерального бюджетного учреждения "Научно-исследовательский институт информационных и производственных технологий Федеральной службы исполнения наказаний!"

Виталий Колемасов, эксперт в области ТЗИ

Противоречия в законах

ФЗ "Об информации, информационных технологиях и о защите информации" (см. ст. 1) регулирует отношения, возникающие при:

• осуществлении права на поиск, получение, передачу, производство и распространение информации;
• применении информационных технологий;
• обеспечении защиты информации.

При этом ФЗ "О персональных данных" регулирует отношения, связанные с обработкой персональных данных (ПД), осуществляемой: федеральными органами государственной власти; органами государственной власти субъектов РФ; иными государственными органами; органами местного самоуправления; не входящими в систему органов местного самоуправления муниципальными органами; юридическими лицами; физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с ПД с использованием средств автоматизации.

Согласно ст. 19 "Меры по обеспечению безопасности персональных данных при их обработке" ФЗ "О персональных данных":

• Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке в информационных системах персональных данных (ИСПДн), требования к материальным носителям биометрических ПД и технологиям хранения таких данных вне ИСПДн;
• контроль и надзор за выполнением требований, установленных Правительством РФ, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с ПД, обрабатываемыми в ИСПДн.

При этом, в соответствии с ФЗ "Об информации, информационных технологиях и о защите информации", "...требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных ИС, используемых в целях защиты информации, методы и способы ее защиты должны соответствовать указанным требованиям".

Таким образом, в сфере защиты персональных данных возникла парадоксальная ситуация.

С одной стороны, "обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека"¹. Соответственно объект информатизации не подлежит технической защите.

С другой стороны, "автоматизированная система как система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций"², подлежит технической защите в соответствии с требованиями ФЗ "Об информации, информационных технологиях и о защите информации" в случае обработки в ней информации ограниченного распространения.

Классификация

Рассмотрим классификацию баз персональных данных в рамках совместного документа "Об утверждении порядка проведения классификации информационных систем персональных данных"³.

При проведении классификации ИС учитываются следующие исходные данные:

• категория обрабатываемых ПД в ИСПДн;
• объем обрабатываемых ПД (количество субъектов ПД, персональные данные которых обрабатываются в ИС).

Классификация категорий обрабатываемой информации выглядит следующим образом:

• категория 1: ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• категория 2: ПД, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1;
• категория 3: ПД, позволяющие идентифицировать субъекта персональных данных;
• категория 4: обезличенные и (или) общедоступные ПД.

Что касается объема обрабатываемых ПД (количество субъектов персональных данных, ПД которых обрабатываются в информационной системе), классификация выглядит так:

1. В ИС одновременно обрабатываются ПД более чем 100 тыс. субъектов персональных данных либо ПД субъектов персональных данных в пределах субъекта РФ или Российской Федерации в целом;
2. В ИС одновременно обрабатываются ПД от тыс. до 100 тыс. субъектов персональных данных или ПД субъектов персональных данных, работающих в отрасли экономики РФ, в органах государственной власти, проживающих в пределах муниципального образования;
3. В ИС одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или ПД субъектов персональных данных в пределах конкретной организации.

По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

• класс 1 (К1): ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
• класс 2 (К2): ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
• класс 3 (К3): ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
• класс 4 (К4): ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

По результатам вышеприведенных данных получаем классификацию типовой информационной системы, определяемую в соответствии с таблицей, которая приведена выше.

Вопросы без ответов

Раскрывая категории обрабатываемой информации, необходимо учитывать следующие требования Конституции РФ:

• каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну;
• сбор и хранение, использование и распространение информации о частной жизни лица без его согласия не допускается;
• каждый вправе определить и указывать свою национальную принадлежность. Никто не может быть принужден к определению и указанию своей национальной принадлежности;
• никто не может быть принужден к выражению своих мнений и убеждений или отказу от них.

При этом действие ФЗ "О персональных данных" не распространяется на отношения, возникающие при "обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну"⁴. Кроме того, в соответствии со статьей 86 Трудового кодекса РФ:

• работодатель не имеет право получать и обрабатывать ПД работников о его политических, религиозных и иных убеждениях и частной жизни;
• при принятии решений, затрагивающих интересы работника, работодатель не имеет право основываться на ПД работника, полученных исключительно в результате автоматизированной обработки или электронным путем.

Не возникает ли в связи с этим путаница понятия "персональные данные" с понятиями "врачебная тайна", "обеспечение тайны усыновления органами записи актов гражданского состояния", "сохранение врачебной тайны при оказании психиатрической помощи", "адвокатская тайна", "тайна завещания", "банковской тайна", "налоговая тайна", "аудиторская тайна" и другими тайнами, установленными федеральными законами?

Кроме того, в предложенной классификации не учитывается следующий фактор, декларированный статьей 150 Гражданского кодекса России "Нематериальные блага": "Жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна, право свободного передвижения, выбора места пребывания и жительства, право на имя, право авторства, иные личные неимущественные права и другие нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом". Таким образом, очевиден вопрос: имеет ли равную "стоимость" информация об интимной жизни ста лиц, "похожих на..." и скромных ста тружеников, не имеющих постоянного места регистрации и занимающихся сбором металлолома?

"Исключения" из ГОСТа

Как определено в ФЗ "О персональных данных", "безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информа ции по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий". Если принять во внимание рассмотренную выше разницу понятийного аппарата в части определения "автоматизированной системы", то из перечня внешних факторов, воздействующих на защищаемую информацию по ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию", будут исключены:

• доступ к защищаемой информации с применением технических средств;
• доступ к защищаемой информации с применением технических средств разведки;
• доступ к защищаемой информации с применением средств радиоэлектронной разведки;
• доступ к защищаемой информации с применением средств оптико-электронной разведки;
• доступ к защищаемой информации с применением средств фотографической разведки;
• доступ к защищаемой информации с применением средств визуально-оптической разведки;
• доступ к защищаемой информации с применением средств акустической разведки;
• несанкционированный доступ к защищаемой информации:
  • подключение к техническим средствам и системам объекта информатизации (ОИ);
  • использование закладочных устройств;
  • использование программного обеспечения и технических средств ОИ;
  • несанкционированный физический доступ на ОИ;
  • хищение носителя с защищаемой информацией.

При этом комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (условно состоящей из трех подсистем: управления доступом, регистрации и учета, обеспечения целостности). Но только в том случае, если в АС обрабатывается информация различного уровня конфиденциальности, а также при различном уровне полномочий субъектов доступа АС на доступ к конфиденциальной информации или в случае, если режим обработки данных в АС - коллективный.

Комментарий эксперта

Анастасия Шилина, ведущий юрист компании "ИнфоТехноПроект"

С 1 июля 2009 г. вместо действующего № 134-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)" вступает в силу № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Как в связи с этим может измениться деятельность Роскомнадзора (уполномоченного органа по защите прав субъектов персональных данных) по проведению проверок в отношении операторов персональных данных?

№ 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" оказывает прямое действие на регулирование вопроса проведения проверок Роскомнадзора в отношении операторов персональных данных, так как № 152-ФЗ "О персональных данных" не устанавливает особенностей организации и проведения проверок в части, касающейся их вида, предмета, оснований и сроков проведения.

По видам проверки новым законом делятся на плановые, внеплановые, документарные, выездные.

Предметом проверок, проводимых в отношении операторов персональных данных, будут являться сведения, содержащиеся в документах оператора персональных данных, устанавливающих его организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности и связанные с исполнением обязательных требований, а также принимаемые меры по исполнению таких требований. Основаниями для проведения проверок будут являться:

1. ежегодный план проверок операторов персональных данных со сведениями, определяемыми ч. 4 ст. 9 ФЗ-294, который должен размещаться на официальном сайте Роскомнадзора;
2. истечение срока исполнения оператором ранее выданного предписания об устранении нарушений;
3. поступление в Роскомнадзор обращений и заявлений о фактах возникновения угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера либо причинения такого вреда, нарушения прав потребителей.

Основанием проведения конкретной проверки в целях ее организации будет являться приказ (распоряжение) руководителя либо заместителя руководителя Роскомнадзора.

Сроки проведения проверок - 20 рабочих дней. Общий срок проведения плановой выездной проверки для малого предприятия не может превышать 50 часов.

№ 294-ФЗ дает перечень грубых нарушений, допущение которых ведет к признанию недействительности результатов проверки, к ним в том числе относятся нарушения, связанные с отсутствием основания проведения проверки, нарушения сроков ее проведения, а также нарушения в части требования документов, не относящихся к предмету проверки, не представления акта проверки.

Для обеспечения доступности проверочных процессов для широкого круга заинтересованных, в первую очередь операторов персональных данных, Роскомнадзор, как и другие органы исполнительной власти, осуществляющие государственный контроль, должен принять административный регламент проведения проверок операторов персональных данных.

¹ Постановление Правительства от 15 сентября 2008 г. № 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации".

² ГОСТ 34.003~90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения".

³ Приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13-02.2008.

⁴ Ст. 2, п. 4 ФЗ "О персональных данных" (Примечание. Ст. 10: "Специальные категории персональных данных" — "обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации").