Практическая защита персональных данных

Практическая защита персональных данных


  |  Слушать на Spotify  |  Слушать на Яндекс Музыке  |   Слушать на Anchor.fm  |   Слушать на Breaker  |   Слушать на Google Podcast  |   Слушать на Pocket cast  |  

Руслан Рахметов, Security Vision

В этом году исполняется 15 лет Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных». За столь уже продолжительный срок закон и подзаконные акты к нему претерпели существенные изменения, пройдя путь от жестких требований до того, что мы имеем сейчас. Я занимаюсь защитой персональных данных с самого начала и видел все происходящие изменения в требованиях по обработке и защите, наблюдал, как изменялись взгляды регуляторов (ФСТЭК России, ФСБ России и Роскомнадзора). В данной статье я постараюсь рассмотреть динамику и изменения 152-ФЗ, сопутствующих требований и подходов регуляторов.

Итак, в 2006 году в один день, 27 июля, выходят два закона: 149-ФЗ «Об информации, информационных технологиях и о защите информации» и 152-ФЗ «О персональных данных». Закон 149-ФЗ отменил своим выходом Федеральный закон от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации». С выходом этих двух законов и изданных впоследствии различных подзаконных актов у компаний, работающих с персональными данными, появился ряд ключевых вопросов:

  1. Что такое персональные данные?

  2. Где компания обрабатывает персональные данные?

  3. Как компания должна обрабатывать и защищать персональные данные?

  4. Что компании будет за нарушения в области обработки персональных данных?

Последний, четвертый вопрос, я не планирую рассматривать в настоящей статье, т.к. не преследую цели запугать читателя.

Итак, первый вопрос: что такое персональные данные?

С уходом 24-ФЗ ушла и некоторая неопределенность, которая была связана с вопросом обработки и защиты персональных данных. С одной стороны, ст. 11 24-ФЗ требовала обеспечить безопасность персональных данных, относя ее к конфиденциальной информации, с другой стороны, в категорию персональных данных попадала информация, которая мало где в компаниях обрабатывалась. Кроме этого, до 2008 года вопрос, как защищать персональные данные, порождал неопределенность.

До 2008 года информация, которая подпадала под определение персональных данных, сильно отличается от того, что существует сейчас. Согласно ст. 11 24-ФЗ персональные данные определялись как «информация, относимая к личной тайне, семейной тайне, тайне переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица».

Кроме этого, существовало и до сих пор существует иное определение персональных данных, а именно, согласно п. 1 Указа Президента Российской Федерации от 23.05.1996 № 763 «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти» - «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях».

Из определений до 2008 года мы видим, что фактически к персональным данным, которые могли появиться у компании (тогда еще отсутствовало понятие «оператор»), при определенных обстоятельствах могла быть отнесена личная информация работника, которая содержалась в сообщениях/переговорах работников компаний. Учитывая существовавшие определения персональных данных, позицию компаний, что рабочее оборудование должно использоваться работниками только для исполнения служебных нужд, а также отсутствие общедоступных требований по защите персональных данных, компании зачастую не проводили работ по защите персональных данных.

Определение персональных данных, которое появилось в 152-ФЗ, существенно отличалось от того, что было до этого. Определение гласило: персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Как видим, новое определение задавало более широкую область того, что подпадает под понятие персональных данных: в область действия закона (требований по обработке и защите персональных данных) попадали все компании и зачастую индивидуальные предприниматели, действовавшие на территории Российской Федерации.

Таким образом, с выходом 152-ФЗ у компании (оператора) появилась первая «головная боль» – что относить к персональным данным и где в компании они обрабатываются/появляются.

В самом начале становления процесса контроля персональных данных Роскомнадзор в лице Россвязьохранкультуры, а в последствии Россвязькомнадзора рассматривал и пытался применить практику, которая была сформирована по аналогичному вопросу в Евросоюзе:

  1. Дополнительный протокол к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации» ETS № 181 (Страсбург, 08.11.2001)

  2. Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных

  3. Директива Европейского Парламента и Совета Европейского Союза 2002/22/ЕС от 7.03.2002 об универсальных услугах и правах пользователей в отношении сетей электронных коммуникаций и услуг»

  4. Директива Европейского Парламента и Совета Европейского Союза 2002/58/ЕС от 12.07.2002 в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи).

Компании же в целях минимизации издержек, связанных с процессом обработки и защиты персональных данных, прибегали к различным ухищрениям – от попыток подвести все персональные данные (кроме специальных и биометрических) под категорию общедоступных до попыток скрытия (кроме кадров и бухгалтерии) процессов, в ходе которых происходит обработка персональных данных.

Опустив вопросы, как развивалась мысль, что следует относить к персональным данным в 2008 году, перенесемся в июль 2011 года, когда Федеральный закон от 25.07.2011 N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» изменил понятие персональных данных. Внесенное определение продолжает действовать до сегодняшнего дня. На апрель 2021 года согласно ч. 1 ст.3 152-ФЗ персональные данные – «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Как мы видим, определение, которое существует сегодня, имеет очень широкое толкование, и под него при большом желании можно подвести много чего. Позиция юристов в данном вопросе зачастую опирается на комментарии к 152-ФЗ, которые сформулированы следующим образом: «если данные позволяют выделить некоего индивида из множества лиц, использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация - его персональными данными» (Научно-практический постатейный комментарий к Федеральному Закону «О персональных данных», автор Савельев А. Г.). С таким подходом мне пришлось столкнуться в ряде крупных организаций, относящихся к различным сферам деятельности. Каждый волен принять его или искать свой уникальный подход. Однако, как показала практика, с такой позицией на сегодняшний день согласны проверяющие в лице представителей Роскомнадзора.

Один из вопросов, который зачастую упускается многими компаниями из виду, -  использование интернет-сервисов для сбора аналитических данных на сайтах и/или в мобильных приложениях (например, Яндекс.Метрика, Google Analytics, AppFlyer и т.д.). Данный подход позволяет отнести указанные сведения к персональным данным. Без указания имен компаний можно сказать, что указанная практика преследуется  Роскомнадзором на протяжении нескольких лет. Проработка подобного вопроса позволит компании избежать/принять риск, связанный с еще одним требованием 152-ФЗ, а именно с трансграничной передачей персональных данных и требованием о записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ).

После того как мы определили, по какому критерию/методике следует относить те или иные данные к группе персональных, необходимо учесть еще один важные аспект, а именно, какие группы/категории персональных данных бывают. Забегая вперед, скажу, что чем корректнее компания определит, какие группы/категории персональных данных в ней обрабатываются и каков их набор, тем правильнее и законнее потом выстроится система их защиты.

Согласно положениям 152-ФЗ все персональные данные подразделяются на следующие группы/категории:

1) Специальная категория персональных данных (ч. 1ст. 10 152-ФЗ) – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

Необходимо добавить, что определение Специальной категории персональных данных п.1 ст.10 152-ФЗ не содержит исчерпывающий набор персональных данных, относимых к ней, так как в ч.3 ст.10 152-ФЗ добавляется еще один вид - персональные данные о судимости. Обращаю на это внимание, т.к. в дальнейшем указанный вид персональных данных пропадает из другого, но не менее важного нормативно-правового акта, регулирующего обработку персональных данных. Я говорю про постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Данное упущение впоследствии может существенно повлиять на требования к создаваемой системе защиты персональных данных.

2) Биометрические персональные данные (ч. 1 ст. 11 152-ФЗ) – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его и которые используются оператором для установления личности субъекта персональных данных;

Так сложилось, что Роскомнадзор за время своего существования несколько раз существенно менял свое мнение относительно того, что относить к биометрическим персональным данным. Так, в начале действия 152-ФЗ были попытки представителей контролирующего органа отнести данные кадрового учета, а именно фотографии с данными работников, указанными в форме Т-2, к биометрическим. Различное толкование того, что является биометрическими персональными данными, привело к тому, что в 2013 году Роскомнадзор совместно с группой экспертов разработал и опубликовал документ в котором разъяснял свою позицию в данном вопросе - Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки». Однако по состоянию на 2021 год регулятор давно не придерживается указанной позиции и все более апеллирует к стандартам в области биометрии и качественным характеристикам материалов, которые характеризуют особенности человека и используются для установления личности субъекта. К стандартам, которые упоминает Роскомнадзор, в частности, относятся ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии (ИТ). Словарь. Часть 37. Биометрия», ГОСТ ISO/IEC 19794-1-2015 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура», ГОСТ Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица», ГОСТ Р ИСО/МЭК 29794-1-2012 «Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура». Как долго продержится указанная позиция и будет ли ее придерживаться другой контролирующий орган в лице Прокуратуры Российской Федерации, неизвестно.

На мой взгляд, наиболее правильная позиция - придерживаться определения, данного в 152-ФЗ, в котором ни о каких стандартах или допущениях не говорится.

3) Общедоступные персональные данные (ч.1 ст. 8 152-ФЗ) - персональные данные с письменного согласия субъекта персональных данных, включенные в общедоступные источники персональных данных. В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

4) Иные (п. 5 ПП 1119) – персональные данные, не отнесенные к категориям: биометрические персональные данные, специальная категория персональных данных и общедоступные персональные данные.

После того как мы поняли, что такое персональные данные и на какие категории/группы они подразделяются, добавим два дополнительных критерия из постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которые также должны быть учтены при последующих работах:

1) Чьи персональные данные рассматриваются:

  • Субъекта, являющегося работником (в положениях ПП 1119 – сотрудником) компании;

  • Субъекта, не являющегося работником компании.

Важный момент, который часть компаний упускает из виду. Сейчас распространена практика, когда компания выводит часть процессов (обслуживание ИТ инфраструктуры или отдельных средств/систем, охрану, обслуживание инженерных систем и т.д.) на обслуживание/поддержку в сторонние компании, в частности, в дочерние зависимые общества. При этом зачастую игнорируя/забывая тот факт, что дочернее зависимое общество данной компании является другим юридическим лицом. А значит, по закону персональные данные работников дочернего общества, обрабатываемые в компании, подпадут под категорию «Персональные данные субъектов, не являющихся работниками компании».

2) Объем обрабатываемых персональных данных (записей):

  • До 100 000;

  • Свыше 100 000.

Формально в ПП 1119 есть еще один критерий объема – без указания количества объема. Однако эта категория относится к очень узкой группе и в рамках проводимых работ по второму вопросу (где компания обрабатывает персональные данные) введение данного критерия скорее усложнит работы.

Интересные публикации