Перейти на Sec.Ru
Рейтинг@Mail.ru

05 августа 2014

Персональные данные: что было, что будет, на чем сердце успокоится… Часть 1. Обзор законодательной базы

Ксения Шудрова,
Специалист в области защиты
информации, shudrova.blogspot.ru

 

Не так давно мне пришло письмо от читателя из Крыма, суть его сводилась к следующему вопросу: «С чего начать изучение российского законодательства по защите персональных данных?». Вопрос не такой уж простой и заставляет задуматься не только украинских коллег, в одночасье ставших россиянами, но и многих начинающих специалистов, на плечи которых легла организация защиты личных сведений.

После долгих сомнений, я пришла к выводу, что начать стоит с изучения истории вопроса. Требования к защите персональных данных постоянно менялись (и продолжают меняться), сейчас уже мало кто помнит про «четверокнижие» и «приказ трех». Многие нормативные акты упразднены, однако, упуская их из вида, невозможно понять, почему новые требования выглядят именно так, к тому же не зная прошлого, трудно оценить тенденцию изменений.

Итак, вашему вниманию предлагается выборка наиболее важных, на мой взгляд, документов, отсортированных по годам утверждения.

1995

1. Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» - отменен. Документ утратил силу в связи с изданием федерального закона от 27.07.2006 № 149-ФЗ.

1997

2. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» - действует.

2005

3. Указ Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» - действует.

4. Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» - действует.

2006

5. Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» - действует.

6. Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных» - действует

2007

7. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» - отменен. Документ утратил силу в связи с изданием Постановления Правительства РФ от 01.11.2012 N 1119.

2008

8. Приказ трех: Приказ ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» - отменен. Документ утратил силу - приказ ФСТЭК РФ N 151, ФСБ РФ N 786, Минкомсвязи РФ N 461 от 31.12.2013.

9. Четверокнижие: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных - отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 [1].

10. Четверокнижие: Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных -  - отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58.

11. Четверокнижие: Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Документ опубликован не был. Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России 16 ноября 2009 г.

12. Четверокнижие: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) - Документ опубликован не был.

13. Постановление Правительства Российской Федерации от 15 cентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» - действует.

14. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 – Документ опубликован не был.

15. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 - Документ опубликован не был.

16. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» - действует.

2010

17. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» - отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 18 февраля 2013 г. № 21.

2011

18. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных» - действует.

19. Приказ Роскомнадзора от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» – Документ опубликован не был.

2012

20. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» - действует.

21. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных» - действует.

22. Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. 14 декабря 2012 года - действует.

2013

23. Федеральный закон от 7 мая 2013 г. № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона «О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных» и федерального закона «О персональных данных» - действует.

24. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» - действует.

25. Приказ  Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» - действует.

26. Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» - действует.

27. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» - действует.

28. Разъяснения Роскомнадзора по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным 30 августа 2013 года - действует.

2014

29. Приказ Роскомнадзора от 14 марта 2014 г. № 37 «О внесении изменений в Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706» - документ опубликован не был.

30. Методический документ ФСТЭК России от 11 февраля 2014 «Меры защиты информации в государственных информационных системах» - документ опубликован не был.

Начнем разбираться с этими документами по порядку.

Определение персональных данных впервые появилось в Российском законодательстве в Федеральном законе от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» и звучало следующим образом:

Информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

В этом законодательном акте защите персональных данных была посвящена 11 статья, в которой говорилось о недопустимости сбора, хранения и использования личной информации без согласия на то физического лица. Отдельно упоминалась ответственность за нарушение режима защиты. Несмотря на то, что сейчас закон «Об информации, информатизации и защите информации» не действует в связи с изданием закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», основные принципы работы с персональными данными продолжают быть актуальными.

Закон 149-ФЗ в контексте защиты персональных данных малоинтересен. Самое полезное, что можно из него почерпнуть, это информация о том, что порядок доступа к персональным данным определяется законом «О персональных данных» (статья 9). О самом законе «О персональных данных» поговорим подробнее позже. А пока вернемся к документам-предшественникам.

Персональные данные по своему типу попадают под категорию сведений конфиденциального характера. Это закреплено указом Президента, в котором персональные данные определяются следующим образом:

Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

В копилку определений персональных данных можно добавить еще одно, указанное в постановлении о личных данных гражданского служащего (в контексте государственной службы, естественно):

Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с настоящим Положением.

Многие принципы, указанные в этом постановлении нашли свое отражение в законе «О персональных данных, который был утвержден годом позже:

а) персональные данные гражданского служащего обрабатываются в целях обеспечения соблюдения норм законодательства, содействия гражданскому служащему в прохождении государственной гражданской службы и т.д.;
б) персональные данные должны быть получены лично у гражданского служащего. В ином случае следует заранее известить физическое лицо о целях, предполагаемых источниках и способах получения персональных данных;
в) запрещается обрабатывать персональные данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах. В законе «О персональных данных» такие сведения будут определены как персональные данные специальной категории;
г) при принятии решений запрещается основываться на персональных данных гражданского служащего, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
д) защита персональных данных гражданского служащего обеспечивается в порядке, установленном федеральными законами;
е) передача персональных данных не допускается без письменного согласия, за исключением случаев, установленных федеральным законом.

Все эти принципы легли в основу закона «О персональных данных», однако, первоисточник следует искать даже не в Российском законодательстве. Все основные подходы были изложены еще в 1981 году в Конвенции Совета Европы о защите физических лиц. В России Конвенция была ратифицирована лишь в 2005 году. Официальный перевод был опубликован еще позже – в 2013 году (статья 419 «Собрания законодательства РФ» от 03.02.2014). В законе  «О ратификации…» говорится, что положения конвенции не распространяются на персональные данные, которые обрабатываются физическими лицами для личных и семейных нужд, а также на сведения, отнесенные к государственной тайне. Конвенция вступила в силу для Российской Федерации 1 сентября 2013 года.

Посмотрим, какое определение персональных данных используется в Конвенции:

Понятие «персональные данные» означает любую информацию об определенном или поддающемся определению физическом лице («субъект данных»).

Конвенция является своеобразной Конституцией Персональных данных, в ней определены основные принципы, на которых строятся все остальные нормативные документы. Например, в Конвенции дается определение специальной категории данных:

Персональные данные, касающиеся расовой принадлежности, политических взглядов или религиозных или других убеждений, а также персональные данные, касающиеся здоровья или половой жизни, не могут подвергаться автоматизированной  обработке, если внутреннее законодательство не устанавливает соответствующих  гарантий. Это положение действует также в отношении персональных данных, касающихся судимости.

Стоит упомянуть о том, что в Конвенции не указываются конкретные средства и способы защиты персональных данных, состав и содержания мер по обеспечению безопасности личной информации отражены в других нормативно-законодательных актах. В Конвенции лишь говорится о необходимости принятия надлежащих мер безопасности, направленных на предотвращение их уничтожения, потери, а также на предотвращение несанкционированного доступа, их  изменения или распространения таких данных.

В следующих частях публикации будет рассмотрено, как положения Европейской Конвенции преломились в статьях российского законодательство и, прежде всего, в законе «О персональных данных».

 

_____________________

[1] http://www.lukatsky.blogspot.ru/2010/03/blog-post_11.html

Просмотров: 3686

Мнения экспертов

По названию. По сути у автора название точно соответствует содержанию статьи. Это плюс. Упоминание сердца в статье такого рода-явное женское начало (мужчина так бы не написал!), поэтому … еще один плюс! На мой взгляд, содержание статьи Ксении точно соответствует названию. Имеется короткая «лирическая» часть в виде постановки задачи. Упомянут Крым (а мне лично это небезразлично, поскольку я живу… в Киеве) и проблема изучения российского законодательства действительно актуальна. Т.е. для чего нужна статья – четко показано! А дальше – идет подробной обзор законодательной базы: хронология всех документов и четкое выделение действующих сейчас. В общем, прекрасная шпаргалка по теме! Мне показалось, что автор прекрасно разбирается в тематике и работа выполнена самостоятельно. Может быть немного, ну чуть-чуть, суховато (а может здесь так и надо?), но зато практическая ценность статьи Ксении не вызывает никаких сомнений!

Нормативная база приведена в статье хорошо, можно лишь добавить опыт других стран в данной области.

Для широкого круга читателей представляется бесполезным и даже вредным обзор отмененных и неактуальных законодательных актов. Тем более не стоит советовать специалистам по ИБ из Крыма начинать изучение российского законодательства с устаревших документов. Изучать необходимо действующее законодательство, а если остается время – то планируемые поправки в ФЗ, связанные с обработкой или защитой персональных данных.

В статье дан обзор российского законодательства в области защиты персональных данных. Данный обзор полезен для начинающих специалистов, пытающихся разобраться в этом вопросе.

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Автор

Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2019
Rambler's Top100 �������@Mail.ru