Защита персональных данных: как закон охраняет нашу личную информацию

Везде, куда бы вы ни обратились, вас попросят предоставить информацию о себе: имя, телефон, адрес. Получить медпомощь, скидочную карту в магазине, купить сим-карту невозможно, если не указать свои персональные данные. Подобные действия нам привычны, только не все догадываются о том, что данная информация может быть использована в плохих целях. Права граждан РФ в этой сфере охраняет закон о защите персональных данных. Подробно и понятно о защите личной информации мы расскажем вам далее.

Особенности персональных данных

Всё чаще наши персональные данные, оставленные в каком-нибудь салоне связи, используются против нас. Звонки от сотрудников известных и не очень компаний с рекламой кредитов, медицинских услуг или с целью длительных опросов раздражают и мешают нормально жить.

Персональные данные (ПД) – это личная информация, относящаяся напрямую или косвенно к физическому лицу (субъекту). К ней относят: данные паспорта (в том числе место прописки), номер телефона, адрес электронной почты, индивидуальный налоговый номер, СНИЛС, а также любые сведения, позволяющие идентифицировать личность гражданина. К ПД можно отнести и информацию о семейном положении, образовании, карьере и даже уровне доходов.

Те люди, которые по долгу службы обрабатывают данную информацию, называются операторами персональных данных. Сотрудники отдела кадров, медицинских и образовательных учреждений каждый день работают с ПД граждан. В связи с опасностью распространения личной информации извне создан специальный закон, регулирующий правила работы с персональной информацией.

Как законодательство защищает персональные данные

Устраиваясь на работу, мы, не задумываясь, передаём в отдел кадров копии документов и различную информацию о себе. Встречая на просторах интернета интересный сайт, с лёгкостью регистрируемся на нём, вбивая имя и адрес электронной почты. Однако мы не осознаём, что в это же время наши персональные данные переходят в электронную базу, что порой чревато последствиями.

Электронные базы – это удобный девайс, но в то же время довольно опасный. Хорошо, если они защищены от вмешательства злоумышленников. Но если особой защиты нет, то вся информация, хранящаяся в них, может стать открытой для любопытных глаз и для тех, кто не побрезгует воспользоваться ею в корыстных целях.

Лежащие как на ладони ПД могут стать причиной нежелательных звонков от назойливых рекламщиков. Воспользоваться вашей личной информацией не прочь и мошенники, которые так и норовят то оформить кредит, то записать на вас вместо себя какое-нибудь правонарушение.

Разглашение конфиденциальной информации преследуется законом. Основные положения закона о защите персональных данных (№ 152-ФЗ) сводятся к следующим пунктам:

1. Целью данного закона является защита прав и свобод гражданина в сфере получения и обработки его персональных данных, в том числе обеспечение неприкосновенности его частной жизни.
2. Прописаны принципы и условия обработки персональных данных. К основным принципам отнесены: законная, справедливая и корректная обработка ПД с чёткими целями, осуществление сбора данных только в необходимом объёме (не допускается получение лишней ненужной информации) со строгими соблюдениями сроков хранения. Условия обработки ПД: согласие субъекта, целевое использование с соблюдением законов РФ. Обрабатывать данные без согласия субъекта возможно, если это необходимо в целях защиты здоровья, жизни или иных очень важных интересов гражданина.
3. Чётко обозначены права субъекта и обязанности оператора персональных данных. Субъект имеет право уточнять и изменять сведения по ПД, если они устарели, а также получать их для ознакомления по запросу. Гражданин, чьи данные обработал оператор, может узнать, как именно использовались его ПД и с какой целью. У субъекта есть полное право выяснить, кто именно работал с его личной информацией и как долго её будут хранить. Оператор может отказать в предоставлении вышеуказанной информации, но отказ должен быть мотивированным. Права гражданина по поводу хранения и обработки его ПД могут быть аннулированы на основании федерального закона, если он подозревается в совершении какого-либо преступления и представляет угрозу для безопасности населения или страны в целом. Оператору вменяются следующие обязанности: запрос согласия/несогласия по обработке ПД, предоставление субъекту ПД личной информации, хранящейся в базе, разъяснение юридической информации по процедуре, обеспечение надлежащего хранения ПД и их безопасности.
4. Указано, какую ответственность несёт оператор за нарушение данного закона.

Защита персональных данных в медицинской сфере

Отдельно стоит поговорить о том, как хранятся и обрабатываются наши персональные данные в медицинских учреждениях. Всё чаще мы приходим в поликлинику по предварительной записи через интернет, а результаты анализов получаем по электронной почте. Для всех этих операций требуется обработать нашу личную и даже конфиденциальную информацию. Именно поэтому 29.07.2017 издали закон № 242-ФЗ, который содержит изменения, относящиеся в основном к правилам применения телемедицинских технологий в медицине. Эти технологии обеспечивают дистанционное взаимодействие медработников и пациентов, а также обработку и документирование данных.

Конечно, в данном законе указано, что ПД, занесённые в базу данных в ходе оказания медицинских услуг, должны быть защищены и оставаться конфиденциальными. Также в 242-ФЗ говорится о том, что в нашей стране создана единая информационная система в сфере здравоохранения. В ней хранятся не только личные данные пациентов, но и сведения о медицинских организациях, врачах, поставках необходимых лекарств и о помощи людям, которым она положена по льготам.

Все базы данных с ПД требуют серьёзной защиты и большой ответственности операторов. Обеспечивают сохранность сведений специальные системы защиты данных.

Системы защиты персональных данных

Очень важно, чтобы в любых организациях, которым вы предоставляете о себе информацию, предпринимались меры по защите персональных данных в информационных системах. Защищать ПД – долг любого уважающего себя предприятия, сайта и даже магазина.

Система защиты персональных данных – совокупность мер и мероприятий, которые предпринимают для защиты личных сведений от несанкционированного доступа с учётом актуальных угроз на сегодняшний день. Установлены 4 уровня информационных систем в зависимости от необходимой степени защиты данных:

1. К1 – нарушение защищённости в этих системах приведёт к крайне негативным последствиям, уровень защиты максимальный.
2. К2 – нарушение защищённости в этих системах приведёт к негативным последствиям, уровень защиты высокий.
3. К3 – нарушение защищённости в этих системах приведёт к незначительным негативным последствиям, уровень защиты средний.
4. УЗ-4 – нарушение защищённости в этих системах не приведёт к негативным последствиям, уровень защиты низкий.

Этапы разработки системы защиты

Создание защитного барьера от взлома баз с персональными данными – довольно сложный процесс. Мы постараемся описать его простым языком, разбив на этапы:

1. Издание приказа. Руководство организации выпускает внутренний приказ о том, что начинается подготовка мер по защите данных в интернете. В приказе указывают ответственного сотрудника.
2. Обследование внутренних систем. В ходе него определяют, является ли данное предприятие оператором базы данных и к какой категории эта база относится по уровню защиты. На основании обследования создаются отчёты. Если организация выявила, что она является оператором базы данных, то в Роскомнадзор направляется уведомление о намерении производить обработку ПД.
3. Разработка и утверждение документальной базы. Создаются нормативные акты предприятия на основе закона № 152-ФЗ.
4. Внедрение. На основе разработанных документов создают правила работы, хранения и уничтожения ПД. Также составляют список сотрудников, допущенных к обработке данных, и их рабочую инструкцию.
5. Определение защитных мер. На данном этапе определяют, как именно будет производиться защита базы. Устанавливают техсредства и настраивают их.

В дальнейшем средства защиты персональных данных регулярно проверяют на актуальность. Так как сегодня угрозы для конфиденциальной информации одни, а завтра уже совсем другие.

Средства защиты

Обработка персональных данных проводится во многих организациях, и их защита – обязательное условие работы с конфиденциальной информацией. К средствам защиты ПД относятся организационные меры по охране информации и современное техническое оснащение.

Организационные меры

Качественная защита данных в сети зависит от того, как была организована работа с базами. К организационным мерам по защите ПД относятся:

• оповещение Роскомнадзора о начале работы с ПД с помощью уведомления;
• разработка нормативной документации на основе ФЗ № 152;
• внедрение пропускного режима на объект, где производится работа с ПД;
• составление списка сотрудников, которые будут работать непосредственно с ПД, и предоставление им оборудованных рабочих мест, исключающих доступ другим лицам;
• контроль за соблюдением требований закона.

Техническое оснащение

Технические средства защиты ПД делятся на два основных класса:

• средства защиты информации от несанкционированного доступа;
• средства защиты от утечки по техническим каналам (усиленные кабеля, фильтры, системы зашумления).

Производить техническую защиту информации несколько сложнее, чем соблюдать одни лишь организационные меры – нужно иметь лицензию на данный вид деятельности, регулярно обследовать собственные информационные ресурсы и анализировать все события, которые могут повлечь за собой утечку данных. В дальнейшем потребуется создавать модели возможных угроз и программировать с их помощью новые системы защиты. Техническое оснащение должно отвечать современным требованиям безопасности, поэтому его регулярно сертифицируют и подвергают аттестационным проверкам.

Ответственность за нарушение закона

Персональные данные – неприкосновенная конфиденциальная информация, на обработку и разглашение которой нужно личное согласие. Если вы оставили эту информацию в какой-нибудь организации, а потом, например, ваш номер телефона узнали сотни назойливых непонятных компаний, то нельзя оставлять такое происшествие без внимания.

Куда обращаться за защитой персональных данных? В первую очередь предупреждайте ситуации, в которых ПД могут быть использованы против вас. Не оставляйте подписи, номера телефонов, копии документов в непроверенных подозрительных местах. Если же вы уже пожинаете плоды своей неосторожности и хотите наказать тех, кто раздаёт вашу личную информацию направо и налево, обращайтесь к директору организации или в суд. За разглашение персональных данных грозит дисциплинарная, административная и уголовная ответственность.

Дисциплинарное наказание могут назначить оператору ПД прямо по месту его работы (выговор, штраф или даже увольнение).

Разновидности административных наказаний за данный проступок обозначены в статье 13.11 КоАП РФ. Степень ответственности за нарушение защиты персональных данных зависит от вреда, нанесённого человеку, посредством неправильной обработки его ПД или разглашения личной информации. Размер штрафа варьируется в широких пределах:

• работнику – от 700 до 100 000 рублей;
• должностному лицу – от 5000 до 800 000 рублей;
• юридическому лицу – от 15 000 до 18 000 000 рублей.

Публичное разглашение личных сведений о гражданине – самое настоящее преступление. Наказание за него в соответствии со статьёй 137 УК РФ может быть выбрано из следующего списка:

• крупный штраф (до 350 тысяч рублей);
• лишение права занимать определённую должность на срок до 5 лет;
• принудительные работы до 5 лет;
• арест на срок до 5 лет.

Довольно суровые наказания, которые грозят операторам за некорректную работу с ПД и их разглашение, – это необходимая мера, ведь испорченная репутация может стать проклятием для человека на всю жизнь.

Заключение

Закон о защите персональных данных издан не просто так. Личные ПД – конфиденциальная информация, которую никто не вправе разглашать без вашего ведома. Если же вы стали жертвой назойливых звонков или мошенников благодаря небрежному хранению конфиденциальной информации, взывайте к справедливости. Разглашение персональных данных преследуется УК РФ и КоАП РФ.