Защита финансовой информации: как избежать утечек
Узнать большеПерсональные данные человека – нематериальный объект, представляющий высокую ценность для широкого круга желающих его получить: от злоумышленников до коммерческих организаций. Чтобы обеспечить защитные меры для личной информации законодателями России принят 152-ФЗ «О персональных данных». Там представлены базовые положения, принципы безопасности личных данных, сформулированы основополагающие термины, очерчен круг объектов, субъектов, подпадающие под действие этого закона.
Что такое персональные данные, какова их классификация, кто вправе их обрабатывать, как они защищаются? Давайте разбираться.
Подробнее о формулировке
Под ответом на вопрос «что такое персональные данные человека» согласно документу № 153-ФЗ имеются ввиду любые сведения, которые относятся к конкретным физ. лицам. Этим общим понятием очерчена большая группа сведений – от фамилий, имен и отчеств до номеров ИНН.
Информацию излагают в любом виде – текстовом, звуковом или визуальном (аудиозаписи, фотографии, видеоролики, фото негативы, снимки или графики, изготовленные на специальном медицинском оборудовании).
Исходя из формулировки, персональными можно считать только такие сведения, которые прямо указывают на конкретного человека. Например, адрес электронной почты, номер телефона без идентификации регистрации, можно назвать персональной информацией лишь с оговорками. С другой стороны, точно такие же сведения для сотрудника, специалиста, имеющего доступ к базе данных, дадут возможность для идентификации владельца.
Классификация
В зависимости от доступности персональные данные делят на:
- общедоступные;
- конфиденциальные.
Закон № 153-ФЗ четко указывает, какие сведения относятся к первой категории: содержащиеся в справочниках, сборниках, каталогах, где такая информация находится с ведома человека и его разрешения. В общем доступе могут находиться ФИО, № телефона, домашний адрес – то, что человек сам считает возможным сообщить о себе.
К конфиденциальным относят данные, подлежащие защите от несанкционированного доступа, т.е. те, которые их владелец не желает выставлять на всеобщее обозрение. В эту группу может входить информация, которая с согласия собственника может быть включена в общедоступные источники – контактные сведения, привязанные к конкретному лицу. Например, к конфиденциальной информации относят также данные о банковских операциях, судимостях и т.п.
По характеру содержащихся сведений данные бывают:
- общими;
- специальными;
- биометрическими;
- иными.
Общие
В общую категорию включают данные, которые по согласованию с лицом становятся общедоступными: ФИО, адрес, место работы, семейное положение, № телефона, идентификатор популярных мессенджеров, электронная почта. Общедоступные сведения могут быть дополнены фотографией.
От других категорий общая отличается тем, что сведения из нее станут известными неопределенному кругу лиц из общедоступных источников: из соц. сетей, от друзей, знакомых, из визиток или резюме.
Специальные
Какие бывают персональные данные в этой категории? Информация, раскрывающая подробности личной жизни человека: отношение к религии, расовая принадлежность, наличие наследственных заболеваний, интимная жизнь, привлечение к административной, уголовной ответственности и т.д. Такие данные большинство людей старается сохранять конфиденциальными и не раскрывать посторонним. Например, информация о судимости, ставшая известной определенному человеку или неограниченному кругу людей, может причинить моральный вред ее владельцу. Сведения об имеющихся банковских вкладах, кредитах могут поменять отношение или повлиять на решение заинтересованных лиц, организаций.
Биометрические
Отпечатки пальцев, рисунок радужной оболочки глаза, генотип, группа крови – информация, входящая в биометрическую группу. К ней же относятся общие сведения, характеризующие другие физические особенности человека: рост, вес, цвет глаз, кожи.
Часть такой информации хранится, в том числе, в биометрических паспортах и используется для идентификации личности.
Иные
Что входит в персональные данные человека, не подпадающие под другие категории? Любая информация, которая также характеризует конкретную личность: членство в клубах, добровольных сообществах и т.п.
Напомним, что ФС РФ, обеспечивающая надзор в сфере связи, выпустила разъяснения, о том, что информация из специальной и/или биометрической категории считается персональными данными лишь тогда, когда используется в случае установления личности. Применение фото, рентген-снимков, других сведений как дополнительных или для строго ограниченных манипуляций (лечение, групповое фото или съемка в общественных зонах без фокусирования на человеке) не делает эти сведения личными.
Какие персональные данные нельзя разглашать? Любые! Все без разрешения владельца, данного в письменной форме.
Обработка персональных данных: что это?
Согласно № 153-ФЗ речь идет про любые манипуляции где задействованы средства IT-автоматизации или нет. Сюда относятся:
- хранение;
- систематизация;
- уничтожение, удаление;
- запись;
- сбор, накопление;
- передача;
- блокировка;
В № 153-ФЗ четко изложены принципы, используемые на практике операторами при работе с персональной информацией.
- Законность и справедливость. Любая деятельность, имеющая отношение к обработке конфиденциальных сведений, производится для всех категорий лиц строго в рамках законодательства;
- Наличие строго ограниченных целей. Собирать информацию с иными целями, не оговоренными оператором, запрещено;
- Точность, актуальность, достаточность. Обязанность обработчика данных – своевременно вносить изменения, если для этого есть поводы и законодательные рекомендации;
- Срочность. Закон обязывает хранить сведения для идентификации в строго оговоренных временных рамках, описанных законом или до тех пор, пока не будут достигнуты идентификационные цели.
Примеры обработки данных:
- сотрудник интернет-магазина попросил заполнить форму для продолжения коммуникации, указать свои ФИО и телефонный номер – сбор.
- по запросу полиции получена информация о привлечении гражданина к административной ответственности – сбор, передача.
- На здании у входных дверей установлена система видеонаблюдения с функцией распознавания лиц: подключенная техника собирает, хранит и систематизирует изображения.
Кто обладает правом выступать оператором персональных данных?
Согласно законодательным актам, функции операторов разрешено выполнять большинству организаций и физических лиц. Главное условие – наличие добровольного разрешения владельца на получение и обработку личной информацией. Случаи и перечень получателей, кому можно передавать персональные данные, перечислены в статьях 6, 10 закона от 27.07.2006 №152-ФЗ.
За рядом отдельных случаев, обозначенных ч.2 ст.22 153-ФЗ, перед началом своей деятельности оператору предписано выслать уведомительное письмо в Федеральную службу по надзору в сфере связи для постановки на учет в специальный реестр, где по состоянию на начало 2022 года зарегистрированы более 435 тыс. субъектов.
Уведомление посылать не нужно, если обработка информации производится:
- в виде фамилии, имени и отчества без дополнительных идентифицирующих признаков;
- без применения автоматизированных систем;
- субъектами, включенными в реестр;
- при контрольно-пропускном режиме и т.д.
В обязанности оператора входят:
- назначение лиц, которые будут отвечать и следить за обработкой конфиденциальных сведений;
- Выдача владельцу по первому требованию личных сведений, если персональная информация не была направлена от самого субъекта, источников, из которых пришли персональные сведения, цели их обработки;
- выполнение всех требований законодательства в ходе ведения деятельности;
- выяснение причин, устранение последствий разглашения, неправомерного использования конфиденциальных сведений;
- проведение защитных мер для поддержания высокого уровня безопасности информации (при необходимости).
Разрешение человека на пользование его персональными сведениями, защитные мероприятия
Защитные действия в отношении вверенной личной информации осуществляет оператор: перед их принятием от гражданина получают одобрение на обработку. Под согласием понимается добровольное, заинтересованное принятие решения физическим лицом на использование личных сведений. Согласие получают непосредственно от самого гражданина (его дать может также законный представитель) письменно или в другой форме, не запрещенной законодательством. Например, на интернет-сайтах необходимо поставить «галочку» в специальном окошке, обозначающей, что посетитель добровольно соглашается на принятие его ФИО, телефона для контакта.
Бездействие человека, его молчание не означают разрешение, поэтому распоряжаться сведениями в этих случаях запрещено. За владельцем закреплено право отозвать по первому желанию свое согласие, но оператор продолжит работу с информацией, не требующей соглашения ее владельца.
Гражданин имеет право заявить об отказе от обработки, при этом отдельная группа операторов (магазины, поставщики услуг) не вправе отказать ему в обслуживании.
Безопасность работы с конфиденциальными сведениями
В понятие защиты персональных данных законодатели вкладывают превентивное выявление уязвимостей систем, тандем IT-инфраструктуры с механизмами безопасности, специализированным ПО, организационными, правовыми действиями. Мероприятия должны исключать несанкционированное или случайное получение защищаемой информации, разглашение, повреждение, другие вредоносные действия.
К организационно-правовым мерам относят разработку, внедрение рабочих инструкций, политик безопасности, назначение ответственных за их соблюдение сотрудников. Технические меры: установка специального ПО (антивирусы, фаерволлы, DLP-системы), СКУД, видеонаблюдение.
Особенности защиты персональных данных заключаются в комплексном применении техники (физические серверы, облачные хранилища) внедрение правовых норм, предусматривающих ответственность за нарушение законодательства в отношении конфиденциальности информации.
Ответственность за разглашение
Утечка данных, содержащих личную информацию, влечет наказание согласно административному, гражданскому, уголовному кодексам. Санкции ст.13.11 КоАП РФ в зависимости от статуса нарушителя (физическое, юридическое лицо, индивидуальный предприниматель), повторности, вида правонарушения предусматривают штрафы от 10 000 до 18 000 000 рублей.
Уголовное законодательство более строго относится к нарушителям, посягнувшим на неприкосновенность личной жизни. Осужденному по ст.137 УК РФ грозит штраф до 350 000 рублей, принудительные работы, запрет на занятие определенными видами деятельности или запрет на определенные должности, или тюремное заключение сроком до 6 лет.
Кроме привлечения к административному и уголовному видам наказания, виновное лицо может быть наказано материально посредством подачи гражданского иска в суд общей юрисдикции.
Заключение
Государство, осознавая ценность персональных данных, поддерживает и исполняет меры по их защите на законодательном уровне. Состояние безопасности конфиденциальной информации зависит от выполнения норм законов, внедрения современной IT-инфраструктуры и программного обеспечения. Нарушения в сфере личной жизни граждан жестко наказываются материально и уголовно.