§
1.3. Конфиденциальность при обработке
персональных данных.
Операторами
и третьими лицами, получающими доступ
к персональным данным, должна обеспечиваться
конфиденциальность таких данных. Конфиденциальность
не требуется при обезличивании
персональных данных либо их общедоступности.
К общедоступным относятся источники
персональных данных, созданные в
целях информационного обеспечения
(например, справочники, адресные книги).
В них, с письменного согласия
субъекта персональных данных, могут
включаться его фамилия, имя и
отчество, год и место рождения,
адрес, абонентский номер и иные,
предоставленные им персональные данные.
Указанные сведения могут быть в
любое время исключены из общедоступных
источников персональных данных по требованию
субъекта персональных данных либо по
решению суда или иных уполномоченных
государственных органов.
Субъект
персональных данных самостоятельно принимает
решение о предоставлении своих
персональных данных, а также дает
согласие на их обработку своей волей
и в своем интересе. В случае недееспособности
субъекта согласие на обработку его данных
дает в письменной форме его законный
представитель. В случае смерти согласие
на обработку персональных данных субъекта
дают в письменной форме его наследники,
если такое согласие не было дано самим
субъектом при его жизни. Обязательное
предоставление субъектом своих персональных
данных предусматривается в целях защиты
основ конституционного строя, нравственности,
здоровья, прав и законных интересов других
лиц, обеспечения обороны страны и безопасности
государства.
Закон
запрещает обработку специальных
категорий персональных данных, относящихся
к расовой, национальной принадлежности,
политическим взглядам, религиозным
или философским убеждениям, состоянию
здоровья, интимной жизни. Однако обработка
таких категорий персональных данных
в ряде случаев допускается. Например,
персональные данные являются общедоступными;
субъект в письменной форме дал
согласие на их обработку; в медико-профилактических
целях, в целях установления медицинского
диагноза при условии, что обработка
осуществляется лицом, профессионально
занимающимся медицинской деятельностью
и обязанным сохранять врачебную
тайну; в связи с осуществлением
правосудия; в соответствии с уголовно-исполнительным
законодательством либо оперативно-розыскной
деятельностью и прочее (часть 2 статьи
10 Закона). Обработка персональных данных
о судимости может осуществляться
государственными органами или муниципальными
органами в пределах полномочий, предоставленных
им в соответствии с законодательством
РФ, а также иными лицами в случаях
и в порядке, которые определяются
в соответствии с федеральными законами.
Сведения,
которые характеризуют физиологические
особенности человека и на основе
которых можно установить его
личность (биометрические персональные
данные), могут обрабатываться только
при наличии согласия субъекта персональных
данных в письменной форме. Однако в
связи с осуществлением правосудия,
уголовно-исполнительным законодательством
РФ, в случаях, предусмотренных законодательством
РФ о безопасности, об оперативно-розыскной
деятельности, о государственной службе,
о порядке выезда из Российской Федерации
и въезда в Российскую Федерацию, согласия
субъекта на обработку биометрических
персональных данных не требуется.
Закон
устанавливает возможность осуществления
трансграничной передачи персональных
данных, то есть их передачу оператором
через Государственную границу
РФ органу власти либо физическому
или юридическому лицу иностранного
государства. При этом до начала трансграничной
передачи оператор должен убедиться
в том, что иностранным государством,
на территорию которого осуществляется
передача персональных данных субъекта,
обеспечивается адекватная защита его
прав. В противном случае трансграничная
передача может осуществляться, в
частности, при наличии согласия
субъекта персональных данных в письменной
форме; в целях защиты основ конституционного
строя РФ, обеспечения обороны
страны и безопасности государства;
в соответствии с международными
договорами РФ об оказании правовой помощи
по гражданским, семейным и уголовным
делам (часть 3 статьи 12 Закона).
§
1.4. Обязанности оператора.
В
случае обращения субъекта персональных
данных или его законного представителя
к оператору о наличии персональных
данных, относящихся к соответствующему
субъекту, оператор обязан сообщить необходимую
информацию и предоставить возможность
ознакомления с ней непосредственно
при обращении либо в течение
десяти рабочих дней с даты получения
соответствующего запроса.
Оператор
обязан безвозмездно предоставлять
субъекту персональных данных или его
законному представителю возможность
ознакомления с персональными данными,
а также вносить в них необходимые
изменения.
Законом
установлено, что оператор обязан уничтожить
или блокировать соответствующие
персональные данные по предоставлении
субъектом персональных данных или
его законным представителем сведений,
подтверждающих, что данные, которые
относятся к соответствующему субъекту
и обработку которых осуществляет
оператор, являются неполными, устаревшими,
недостоверными, незаконно полученными
или не являются необходимыми для заявленной
цели обработки. О внесенных изменениях
и предпринятых мерах оператор обязан
уведомить субъекта персональных данных
или его законного представителя и третьих
лиц, которым персональные данные этого
субъекта были переданы.
В
случае выявления неправомерных
действий с персональными данными
в обязанности оператора входит
устранение допущенных нарушений в
срок, не превышающий трех рабочих
дней с даты такого выявления. Если
нарушения устранить невозможно,
то оператор в указанный срок обязан
уничтожить персональные данные. Обо
всех предпринятых им действиях оператор
обязан уведомить субъекта персональных
данных или его законного представителя,
а в случае, если обращение или
запрос были направлены уполномоченным
органом по защите прав субъектов
персональных данных, - также указанный
орган.
Если
цель обработки персональных данных
была достигнута, оператор обязан незамедлительно
прекратить их обработку и уничтожить
в срок, не превышающий трех рабочих
дней с даты достижения цели обработки.
В случае отзыва субъектом персональных
данных согласия на обработку своих
персональных данных оператор обязан
прекратить их обработку и уничтожить
персональные данные в срок, не превышающий
трех рабочих дней с даты поступления
указанного отзыва, если иное не предусмотрено
соглашением между оператором и
субъектом персональных данных. Об
уничтожении персональных данных оператор
обязан уведомить субъекта персональных
данных.
О
своем намерении осуществить
обработку персональных данных оператор
обязан уведомлять уполномоченный орган
по защите прав субъектов персональных
данных (согласно Закону, таким органом
является федеральный орган исполнительной
власти, осуществляющий функции по
контролю и надзору в сфере
информационных технологий и связи).
Уведомление должно быть направлено
в письменной или электронной
форме и подписано уполномоченным
лицом либо электронной цифровой
подписью.
Однако
Законом устанавливаются случаи,
при которых допускается обработка
персональных данных без уведомления
уполномоченного органа. К ним, в
частности, относится обработка
данных, относящихся к субъектам,
которых связывают с оператором
трудовые отношения; являющихся общедоступными;
включающих в себя только фамилии, имена
и отчества субъектов персональных
данных; необходимых в целях однократного
пропуска на территорию, на которой
находится оператор или в иных
аналогичных целях и прочее (часть
2 статьи 22 Закона).
ГЛАВА
II. МЕТОДЫ И СПОСОБЫ
ЗАЩИТЫ ИНФОРМАЦИИ.
§
2.1.Защита информации
от несанкционированного
доступа.
К
ней относится:
- реализация
разрешительной системы допуска пользователей
(обслуживающего персонала) к информационным
ресурсам, информационной системе и связанным
с ее использованием работам, документам;
- ограничение
доступа пользователей в помещения, где
размещены технические средства, позволяющие
осуществлять обработку персональных
данных, а также хранятся носители информации;
- разграничение
доступа пользователей и обслуживающего
персонала к информационным ресурсам,
программным средствам обработки (передачи)
и защиты информации;
- регистрация
действий пользователей и обслуживающего
персонала, контроль несанкционированного
доступа и действий пользователей, обслуживающего
персонала и посторонних лиц;
- учет и хранение
съемных носителей информации, и их обращение,
исключающее хищение, подмену и уничтожение;
- резервирование
технических средств, дублирование массивов
и носителей информации;
- использование
средств защиты информации, прошедших
в установленном порядке процедуру оценки
соответствия.
- использование
защищенных каналов связи;
- размещение
технических средств, позволяющих осуществлять
обработку персональных данных, в пределах
охраняемой территории;
- организация
физической защиты помещений и собственно
технических средств, позволяющих осуществлять
обработку персональных данных;
- предотвращение
внедрения в информационные системы вредоносных
программ (программ-вирусов) и программных
закладок.
При
взаимодействии информационных систем
с информационно-
телекоммуникационными
сетями международного информационного
обмена (сетями связи общего пользования)
основными методами и способами
защиты информации от несанкционированного
доступа являются:
- межсетевое
экранирование с целью управления доступом,
фильтрации сетевых пакетов и трансляции
сетевых адресов для скрытия структуры
информационной системы;
- обнаружение
вторжений в информационную систему, нарушающих
или создающих предпосылки к нарушению
установленных требований по обеспечению
безопасности персональных данных;
- анализ защищенности
информационных систем, предполагающий
применение специализированных программных
средств (сканеров безопасности);
- защита информации
при ее передаче по каналам связи;
- использование
смарт-карт, электронных замков и других
носителей информации для надежной идентификации
и аутентификации пользователей;
- использование
средств антивирусной защиты;
- централизованное
управление системой защиты персональных
данных
информационной
системы;
- фильтрация
входящих (исходящих) сетевых пакетов
по правилам, заданным оператором (уполномоченным
лицом);
- периодический
анализ безопасности установленных межсетевых
экранов на основе имитации внешних атак
на информационные системы;
- активный
аудит безопасности информационной системы
на предмет обнаружения в режиме реального
времени несанкционированной сетевой
активности;
- анализ принимаемой
по информационно-телекоммуникационным
сетям международного информационного
обмена (сетям связи общего пользования)
информации, в том числе на наличие компьютерных
вирусов;
- проверка
подлинности отправителя (удаленного
пользователя) и целостности передаваемых
по информационно-телекоммуникационной
сети международного информационного
обмена (сети связи общего пользования)
данных;
- управление
доступом к защищаемым персональным данным
информационной сети;
- создание
канала связи, обеспечивающего защиту
передаваемой информации;
- осуществление
аутентификации взаимодействующих информационных
систем и проверка подлинности пользователей
и целостности передаваемых данных;
- создание
канала связи, обеспечивающего защиту
передаваемой информации;
- аутентификация
взаимодействующих информационных систем
и проверка подлинности пользователей
и целостности передаваемых данных;
- обеспечение
предотвращения возможности отрицания
пользователем факта отправки персональных
данных другому пользователю;
- обеспечение
предотвращения возможности отрицания
пользователем факта получения персональных
данных от другого пользователя.
Подключение
информационных систем, обрабатывающих
государственные информационные ресурсы,
к информационно-телекоммуникационным
сетям международного информационного
обмена осуществляется в соответствии
с Указом Президента РФ от 17 марта 2008 г.
N 351 "О мерах по обеспечению информационной
безопасности Российской Федерации при
использовании информационно-телекоммуникационных
сетей международного информационного
обмена".
Обмен
персональными данными при их обработке
в информационных системах осуществляется
по каналам связи, защита которых обеспечивается
путем реализации соответствующих организационных
мер и (или) применения технических средств.