Персональные данные (ПДн), согласно №152-ФЗ «О персональных данных», это  — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Кроме отечественного регулирования некоторые персональные данные у нас в стране подпадают под действие экстерриториальных регламентов по защите персданных, например, европейского GDPR (General Data Protection Regulation).

В большинстве случаев персональные данные включают в себя фамилию, имя, отчество субъекта, дату его рождения, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта, адрес и т.п. Однако, существуют особенности и ограничения, определенные в законодательстве.

Персональные данные: Права субъекта персональных данных

Третья глава №152-ФЗ «Права субъекта персональных данных» устанавливает набор прав, благодаря которым физическое лицо имеет возможность оперировать своими данными. Например, субъект вправе запросить у оператора, осуществляющего обработку персональных данных, сведения, касающиеся его данных, и оператор обязан в срок до 30 дней предоставить такую информацию.

Есть и исключения. Например, если в сети Интернет обнаружены персданные, не соответствующие действительности, администрация ресурса, в чьи обязанности входит обработка персональных данных данного субъекта, по его запросу должна либо их отредактировать, либо удалить. Это должно произойти, как указано в статье 20 №152-ФЗ, в срок не более 7 дней с даты получения запроса.

Кроме этого, субъект вправе запросить у оператора ПДн сведения, подтверждающие факт обработки персданных оператором, а также правовые основания и цели обработки персональных данных. Они должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, ради которой такая обработка осуществляется. Цели оператор определяет заранее, при подаче заявления на разрешение в Роскомнадзор.

Оператор, осуществляющий на законных основаниях обработку персональных данных, может отказать субъекту в ответ на его запрос. Эти случаи детально прописаны законодателем, и как правило, связаны с требованиями силовых ведомств при проведении ими оперативно-розыскной, разведывательной или контрразведывательной деятельности.

Доступ к ПДн может быть ограничен, если в отношении субъекта возбуждено уголовное дело или если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем. Ограничение доступа к персданным может возникнуть, если нарушаются права и законные интересы третьих лиц.

Персональные данные и их Обработка и защита

Обработка персональных данных может быть автоматизированной, т.е. с применением средств вычислительной техники и неавтоматизированной или смешанной. Причем цели для разных способов обработки персональных данных одного и того же человека могут быть разными.

После обработки персональных данных, они хранятся в архиве. Документы в бумажной форме помещаются в отдельное специализированное помещение, а цифровые документы — в электронное хранилище. В обоих случаях необходимо предусмотреть возможность оперативно найти ПДн, уничтожить их по требованию субъекта или передать третьим лицам.

Обработка персональных данных может включать в себя:

1. сбор;
2. передачу;
3. запись;
4. хранение;
5. извлечение;
6. изменение;
7. обезличивание;
8. анализ;
9. удаление.

Оператор при обработке персональных данных обязан принимать все необходимые меры для защиты ПДн. В их число входят: правовые, организационные и технические меры. Их комплексное использование должно обеспечить защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и утечек вследствие деятельности инсайдеров. Обязанность по установлению требований по защите персданных возложена на ФСТЭК РФ, а в финансовой сфере на Банк России.

Постановлением Правительства №1119 от 1 ноября 2012 года описаны критерии отнесения ПДн к одному из четырех уровней защищенности (перечислены выше), различающихся перечнем требований по защите информационных систем по обработке персональных данных (ИСПДн). Кроме того, в документе приведены меры по профилактике несанкционированного доступа к конфиденциальным сведениям.

По форме отношений между организацией и субъектами обработка ПДн подразделяется на два вида: обработка персональных данных работников организации и не являющихся её работниками.

Типы актуальных угроз определены следующим образом:

1. Угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
2. Угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
3. Угрозы 3-го типа не связаны с наличием недекларированных возможностей в ПО, используемом в ИСПДн.

Конкретный набор действий по внедрению средств ИБ для нейтрализации данных угроз для защиты персональных данных базируется на требованиях Постановления Правительства №1119 и Приказа ФСТЭК №21 от 18 февраля 2013 года.

Персональные данные Перспективы развития регулирования

Жизнь не стоит на месте. Одним из драйверов перемен стала пандемия COVID-19. В ряде стран во благо людей, подвергшихся опасности заражения, власти пренебрегали нормами местных законов, защищающих персональные данные.

Кроме того, самоизоляция и массовый переход в онлайн привычных процессов, вызвали всплеск интереса общества к проблеме массовой утраты персональными данными своей конфиденциальности на волне бума кибермошенничества, включая социальную инженерию. Несовершенство законодательства обсуждается всё чаще.

Кроме того, в №152-ФЗ имеются изъятия, позволяющих передавать ПДн значительному списку получателей, и ничто не гарантирует того, что они будут эти данные использовать не в ущерб субъектам. Часть проблем исходит из-за недостаточной проработанности в Законе понятий «конфиденциальность» и «персональные данные». Эксперты говорят и том, что в Законе не предусмотрена ответственность за разглашение персданных, а также за преднамеренные хищения и утечки данных. Очевидно, что по этим по пунктам следует ожидать активизации деятельности юристов.

Часть методологических проблем №152-ФЗ, связанных с процессом обработки персональных данных, также, возможно, требует доработок, связанных с уточнением состава данных, целей обработки и сроков. Причем в конкретной IT-системе этот этот стандартный набор должен определять свой собственный набор данных, что позволит однозначно обозначить, в какой системе какие ПДн должны защищаться. Не бывает персональных данных вообще, а только в контексте конкретной области их применения.

Министерство цифрового развития, связи и массовых коммуникаций РФ ожидает изменений в №152-ФЗ, которые будут направлены на введение регулирования оборота обезличенных персональных данных, необходимых для работы сервисов с использованием ИИ.

Что касается финансовой сферы, то здесь можно ожидать более радикальных изменений в связи с ростом мошенничества и массовыми случаями социальной инженерии. В частности, обсуждается инициатива Ассоциации банков России (АБР), заключающаяся в том, что персональные данные банковских мошенников могут начать передавать их жертвам, чтобы клиенты банков могли вернуть свои деньги. Однако требуются изменения в регулирование банковской тайны.

Кроме того, развитие открытого банкинга в России и связанных с ним технологий Open API и соответствующие положения GDPR, уже привели к тому, что в России на портале «Госуслуги» появился сервис по просмотру согласий субъектов на дачу и обработку своих персональных данных. Существующий курс Банка России на активное развитие Open API позволяет предполагать некоторого сближения положений №152-ФЗ и GDPR в будущем.