История борьбы за защиту персональных данных началась ещё в 1976 году. В то время этим вопросом занялся комитет министров Совета Европы. Началась разработка соответствующей резолюции, принятой в 1981 году. До отечественного сегмента Глобальной сети европейская инициатива дошла только в начале двухтысячных. Тогда-то и стартовали попытки сформировать подходящую нормативно-правовую базу.
Федеральный закон №152-ФЗ «О персональных данных» был принят Государственной думой Российской Федерации в 2006 году. В нём получили чёткую формулировку все аспекты, относящиеся к процессам, связанным с получением, использованием или передачей в третьи руки персональных данных.
С точки зрения организации работы крупного бизнеса, чрезвычайно важно точно понимать, каким образом должна быть реализована защита персональных данных. Необходимо наладить получение информированного согласия на хранение и передачу личной информации, а также обезопасить собственные интересы, на случай получения потенциального несанкционированного доступа к ней.
Что такое персональные данные?
Персональные данные – это информация, которая прямым или косвенным образом относятся к конкретному физическому лицу и может быть передана в руки третьей стороны. Концепция сбора и хранения персональных данных сама по себе была разработана достаточно давно. Но только после стремительного роста и развития Глобальной сети возникли проблемы с процессом обработки личной информации.
В соответствии с Федеральным законом, персональными данными считается любая информация, которая относится к конкретному физическому лицу. Каждый гражданин имеет право на соблюдение тайны, поэтому государственные структуры или третьи лица не имеют права получать к ней доступ, за исключением случаев, предусмотренных законом.
Фиксированной формы предоставления согласия на сбор, хранение и обработку персональных данных нет. Поэтому она может быть представлена как в формате письменного заявления, так и простой галочкой на странице сайта в Глобальной сети. И в обоих случаях предоставленное разрешение будет считаться легитимным и достаточным.
Федеральный закон ФЗ-152 максимально чётко и предметно описывает все условия, на которых персональную информацию о человеке может получать стороннее лицо. Операции с личной информацией, помимо её владельца, могут проводить различные коммерческие и государственные организации. Но в этом случае есть одно очень важное ограничение: после достижения заданного результата, оператор теряет право использовать персональную информацию в дальнейшем. Поэтому любые последующие действия, в том числе и намеренное разглашение, приведут к юридическим последствиям.
Отдельно стоит отметить информацию, которая обладает специальными требованиям к обработке:
-
Государственная тайна. Любые сведения, находящиеся под этим грифом, по закону не могут быть разглашены.
-
Личные и семейные отношения, которые требуют урегулирования. Особые условия действуют только в том случае, если они не задействуют интересы третьих лиц.
-
Архивные сведения. Также обладают отдельными требованиям.
-
Предоставление закрытой информации на основании судебного решения. Таким образом можно законным способом получить доступ к закрытым данным.
Помимо точных формулировок сведений, относящихся к персональным данным, Федеральный закон также предъявляет требования к работе лиц, отвечающих за их обработку и безопасность. Принимать необходимые меры следует независимо от того, является оператор физическим или юридическим лицом. Когда речь заходит об обработке личной информации, требования будут едиными, независимо от обстоятельств.
Что входит в персональные данные?
С целью стандартизации работы правоохранительной системы, Федеральный закон разделяет конфиденциальную информацию граждан на несколько видов, в зависимости от степени её секретности и диапазона прав третьих лиц на её использование:
-
Общие персональные данные. Это базовая информация о человеке. Его имя, фамилия, отчество, дата рождения, адрес проживания и другие паспортные сведения. Сюда же относится образование, место работы и заработная плата. Допускается их использование, но только при том условии, что опубликованная информация не позволяет точно идентифицировать владельца. Например, нельзя точно опознать человека по одной фамилии или адресу проживания. Любые комбинированные варианты при этом будут считаться запрещёнными.
-
Биометрия. Включает в себя набор биологических и физиологических параметров, присущих физическому лицу. Они могут быть использованы для верификации личности. В перечень таких персональных данных входят отпечатки пальцев, ДНК, снимок радужной оболочки глаза. Как правило, биометрия используется для подтверждения личности при пересечении государственных границ.
-
Общедоступные персонифицированные данные. Наглядным примером подобной личной информации являются публичные сведения о благосостоянии знаменитостей. Их может отыскать любой желающий на просторах Глобальной сети в свободном доступе.
-
Обезличенные данные. Набор параметров, не позволяющий сделать точных предположений о том, кому они принадлежат. По обезличенным данным идентифицировать человека не получится.
-
Специальная информация. Различная информация, присущая человеку в силу индивидуальных особенностей характера, предпочтений или поведения. К ней относится раса, вероисповедание, наличие хронических заболеваний, политические убеждения и тому подобное. На сбор и обработку такой информации потребуется письменное разрешение физического лица.
Каждый вид персональных данных требует индивидуального подхода к организации работы с ними. Чем они более точные и специализированные, тем сложнее получить разрешение на обработку.
Где содержатся персональные данные?
Как правило, библиотеки, в которых содержатся собираемые персональные данные, требуют специализированного подхода к разработке и организации их защиты. Согласно Федеральному закону, оператор обязан создать защищённую инфраструктуру, исключающую возможность получения несанкционированного доступа к информации. Также в его обязанности входит и формирование отчёта о собранных данных для ответственных государственных органов.
Хранение личной информации необходимо организовывать в соответствии с уровнем защищённости, который зависит от их типа. Всего уровней четыре. Данные, относящиеся к третьему и четвёртому уровню, могут быть помещены в публичное облако со стандартным набором ограничений для доступа. Тогда как второй и, в особенности, первый уровень защищённости вынуждает операторов создавать специфические условия для хранения информации.
Следует помнить, что обеспечить уровень защиты, соответствующий таким персональным данным, технически доступно далеко не всем провайдерам. Зачастую для них приходится выстраивать полностью новую специфическую инфраструктуру. В качестве вариантов можно рассмотреть частное облако или изолированный центр хранения и обработки данных.
Когда данные становятся персональными?
Любые данные, которые соотносятся с лицом, раскрывшим идентификационные особенности в Глобальной сети, становятся персональными. То есть если авторизация на сайте требует от вас указать имя, фамилию и отчество, то вся информация, относящаяся к активности аккаунта, становится персональной.
Яркий пример персональной информации в интернете – это собираемые повсеместно файлы cookie. Использование адреса электронной почты также позволяет привязывать действия пользователей к определённому физическому лицу и предполагает персонифицированность любой характерной информации о его деятельности.
Зачастую, даже использование выдуманного ника, вместо точных личных данных, не спасает от необходимости собирать, хранить и обрабатывать персональные данные. Потому что к нику могут быть привязаны сведения, идентифицирующие личность. Такие как фамилия имя и отчество, электронная почта и тому подобные. Если они раскрываются внутри личного кабинета, значит могут быть рассмотрены в качестве персональных данных.
Какие персональные данные являются конфиденциальными?
Конфиденциальной информацией можно считать любые сведения, доступ к которым ограничивается законом. Например, это личная информация, адвокатская, банковская, аудиторская, коммерческая, государственная или служебная тайны. Но не все данные сами по себе являются конфиденциальными. Рассмотрим наиболее распространённые данные, относящиеся к тайне, охраняемой законом.
Персональные данные
Ввиду отсутствия жёсткой формулировки для информации, относящейся к персональным данным, зачастую у коммерческих организаций возникают проблемы с классификацией собираемых сведений. В большинстве случаев стоит понимать, что любые сведения, которые можно отнести к конкретным гражданам, становятся персональными данными:
-
фамилия, имя и отчество;
-
пол;
-
возраст;
-
образование и профессиональная квалификация;
-
любая контактная информация, например номер телефона или адрес электронной почты.
-
финансовое положение;
-
фотографии и видео, позволяющие точно установить личность.
В зависимости от обстоятельств, всё это можно отнести к персональным данным. Соответственно, все действия, совершаемые после раскрытия этой информации о пользователе, становятся личной информацией требующей конфиденциальности.
Периодически возникают определённые вопросы к точной формулировке сведений, относящихся к персональным данным. Например, это могут быть попытки разделения сведений на личные и персональные. Чем отличаются персональные данные от личных? На самом деле это равнозначные понятия. В обоих случаях речь идёт об одном и том же.
Профессиональная тайна
К профессиональной тайне относится множество различных вариантов конфиденциальных сведений, требующих ответственного подхода к процессам сбора и обработки. Наиболее распространённые варианты профессиональной тайны:
-
Нотариальная тайна. Профессиональная деятельность нотариусов буквально пронизана персональной информацией, которую запрещено раскрывать или размещать в публичном доступе. Нотариус не имеет правда даже на то, чтобы раскрывать факт обращения со стороны того или иного лица. То есть к тайне относятся не только подробности посещения, но и сам его факт.
-
Адвокатская тайна. Адвокатская и юридическая помощь также относится к тайной информации, которую запрещено разглашать. Любые публичные заявления, раскрывающие подробности работы с клиентом, будь то перечень собранных доказательств или подробности оплаты труда юриста, подрывают доверие к адвокату как к специалисту.
-
Банковская тайна. Вся информация о клиентах и состоянии их счетов относится к конфиденциальным сведениям, которые запрещено разглашать. Получить доступ к таким данным можно только по решению суда или в установленном законом порядке.
-
Аудиторская тайна. Результаты деятельности аудиторов также относятся к тайне и не могут быть преданы огласке. В процессе анализа деятельности компании, специалист получает доступ к широкому диапазону коммерческой информации, в том числе о сделках, долгах, контрагентах и тому подобной. Вся она предназначена исключительно только для внутреннего использования и не должна передаваться третьим лицам.
Коммерческая тайна
Коммерческая тайна предполагает возможность получения выгоды её обладателем. Это может быть не только способы увеличения доходов от коммерческой деятельности, но и потенциальные пути снижения расходов.
Существует набор специфических сведений, которые по закону не могут относиться к коммерческой тайне и должны быть размещены в публичном доступе:
-
Учредительные документы. Они демонстрируют ответственное отношение основателей бизнеса.
-
Перечень уполномоченных сотрудников, которые обладают правом действовать от имени юридического лица без оформления официальной доверенности.
-
Численность и состав штата сотрудников. Соискатели должны точно понимать, есть ли в настоящий момент свободные рабочие места, на которые они могут претендовать.
-
Информация о задолженности по оплате труда или социальным выплатам. Такие сведения относятся к нарушениям и согласно закону должны находиться в открытом доступе.
-
Иные данные, раскрытие которых требует Федеральный закон. К ним относится, например, состав товаров, который должен указываться на упаковке, и тому подобное.
Служебная тайна
Данные, доступ к которым ограничен государством. К ним относятся конфиденциальные сведения, полученные сотрудниками коммерческих компаний в результате исполнения служебных обязанностей. В качестве примера служебной тайны можно привести:
-
Сведения, разглашение которых по закону запрещено. Например, налоговая или банковская тайна. Такую информацию, зачастую, исполнители на местах могут получать напрямую от граждан. При этом сотрудники должны понимать, что любое разглашение предоставленных данных запрещено законом и повлечёт за собой юридическую ответственность.
-
Служебная информация. К ней относятся различные внутренние документы, касающиеся распорядка обязанностей, технические задания и тому подобные инструкции.
Государственная тайна
Большая часть внутреннего устройства государства попадает под категорию государственной тайны. Практически вся деятельность, проводимая на государственном уровне, должна быть сокрыта:
-
военная;
-
внешнеполитическая;
-
экономическая;
-
разведывательная и контрразведывательная;
-
оперативно-розыскная и тому подобная.
Ряд данных, собираемых государством, может не попадать под действие закона о гостайне и засекречивании:
-
Всё, что относится к предоставлению поощрений, привилегий, компенсаций и гарантий гражданам должно находиться в публичном доступе.
-
Факты нарушений закона, допущенных органами государственной власти и должностными лицами, не имеют права на категорию тайны и не могут быть засекречены.
Государственная тайна предполагает наиболее суровое наказание, в случае разглашения конфиденциальных сведений.
Кому можно давать свои персональные данные?
Бесконтрольный сбор и распространение информации о поведении пользователей на сайтах в Глобальной сети привели к необходимости регламентирования со стороны государства. Поэтому любой оператор, получающий личные данные, не имеет права их распространять или размещать в публичном доступе. Для любых действий над ними придётся получить информированное согласие у пользователя.
С первого марта 2021 года, когда в силу вступили изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», было введено такое понятие, как «персональные данные, разрешённые для распространения». И теперь, для придания огласке любой личной информации, необходимо получить не только разрешение на обработку персональных данных, но и отдельно согласовать возможность их распространения.
Любые формы молчания или бездействия субъекта персональных данных не могут трактоваться оператором в качестве согласия. Достаточным подтверждением выступает письменное разрешение с личной подписью или оформление соответствующих документов в информационной системе Роскомнадзора.
Очень важным пунктом Федерального закона является запрет на распространение персональных данных, даже если они уже размещены в публичном доступе. Например, в социальных сетях люди зачастую указывают достаточно большие объёмы личной информации. Согласно закону, третьи лица не имеют право собирать и обрабатывать такую информацию. В случае работы с персональными данными, оператору придётся доказать законность их получения и предоставить подтверждение факта информированного согласия со стороны физического лица.
Любой пользователь вправе отозвать любые разрешения на сбор, хранение и обработку персональных данных. Оператор обязан прекратить любые работы по требованию владельца. Для этого потребуется написать письменное заявление об отзыве согласия. Обработку данных при этом придётся остановить в течение трех рабочих дней с момента получения соответствующего заявления.
Главная проблема обработки персональных данных коммерческими компаниями заключается в том, что заключение договора на оказание услуг всегда включает в себя и право на обработку персональных данных. То есть вступить в финансовые отношения, для получения товаров или услуг, фактически невозможно без предоставления информированного согласия на обработку личной информации.
Таким же образом работает закон и в случае продажи товаров по публичной оферте. Продавец заключает договор купли-продажи со своими клиентами. В его состав входит и разрешение на обработку персональных данных. Поэтому любые коммерческие операции включают в себя предоставление согласия на обработку личной информации.
В качестве совета можно предложить обращаться к услугам только проверенных брендов, обладающих крепкой репутацией, подтверждённой годами успешной и качественной работы.
Отследить ресурсы, которые занимаются сбором и распространением личной информации и используют её для достижения собственных целей, достаточно сложно. Потому что каждый пользователь раздаёт разрешения практически на каждом сайте, на котором он проходит процессы регистрации и авторизации. Тем не менее, владельцы сайтов имеют право использовать персональные данные, полученные с вашего согласия, для формирования и рассылки рекламных материалов, в том случае, если соответствующий пункт содержался в подписанном соглашении.
Какие персональные данные подлежат защите?
Согласно Федеральному закону № 152-ФЗ, в качестве персональных данных, подлежащих защите, считаются:
Общие
Базовые сведения о физическом лице, к которым относятся его имя, фамилия, отчество, дата рождения, место проживания и работы, номер телефона, электронная почта и тому подобные. Все они могут быть использованы для идентификации человека, а значит являются конфиденциальными. Их использование допускается только в ограниченном формате. Например, используя одно имя, невозможно точно его соотнести с конкретным человеком. Так же, как и указание адреса, фактически, ни на кого не указывает. По крайней мере, если адрес не предполагает разглашение информации о доме, в котором проживает всего один жилец.
Подводных камней в процессе обеспечения защиты персональных данных предостаточно. Как правило, проще всего считать конфиденциальной любую личную информацию. И получать информированное согласие на её использование у пользователей.
Специальные
Любые отличительные параметры, относящиеся к личности человека. Сюда относятся раса, вероисповедание, специфические взгляды и принадлежность к каким-либо группам и сообществам. Информация о состоянии здоровья или наличии судимостей также является персональными данными социального вида, а значит защищается законом.
Биометрические
В качестве признаков, позволяющих точно установить личность человека, могут использоваться и физиологические или биологические особенности. Отпечатки пальцев, ДНК, группа крови, рост и вес, цвет глаз и тому подобные параметры относятся к биометрии. Такие сведения достаточно специфичны и собираются только в случае необходимости. Как правило, они могут потребоваться правоохранительным органам или медицинским учреждениям. И в обоих случаях любые факты разглашения предполагают весьма суровое наказание. Поэтому биометрию можно считать одним из наиболее защищённых видов персональных данных.
Иные
Любая информация, которая в силу своей специфики не может быть отнесена к трём предыдущим видам. Это могут быть, например, корпоративные или коммерческие сведения.
Важно понимать, что далеко не все фотографии или видеозаписи относятся к персональным данным или биометрии. Например, ксерокопии паспорта, которые используются при заключении сделок или проведении банковских операций, не могут считаться биометрией. Также ею не являются и медицинские снимки, такие как рентген или флюорография.
Как защитить свои персональные данные?
Интеграция Глобальной сети в повседневную жизнь пользователей вынуждает более серьёзно и ответственно относиться к безопасности личной информации. В противном случае её могут использовать мошенники или другие злоумышленники с целью нанесения владельцу определённого ущерба. Для того, чтобы обезопасить себя от потенциальных угроз, необходимо следовать определённым правилам, позволяющим избежать большую часть потенциальных проблем:
Двухэтапная аутентификация
Помимо стандартных логинов и паролей следует использовать дополнительные инструменты, доступ к которым есть только у вас. Например, это может быть смс-сообщения с одноразовыми кодами, приложения-аутентификаторы или нечто иное.
Как правило, двухфакторная авторизация по-умолчанию используется во всех банковских приложениях. После ввода логина и пароля от вас требуется указание одноразового кода, который присылается на ваш номер телефона.
Защищённое соединение
На сегодняшний день уже практически все ресурсы в Глобальной сети перешли на защищённое соединение. Это так называемый HTTPS-протокол. Перед тем, как приступать к совершению покупок или любых других действий, потенциально опасных для вас и вашей личной информации, всегда проверяйте наличие значка закрытого замка в левой части адресной строки. Он демонстрирует не только наличие безопасного соединения, но и подтверждает факт ответственного отношения владельца ресурса к вашей личной информации.
В качестве варианта дополнительной защиты можно рассмотреть различные специализированные сервисы. Они способствуют блокировке любых потенциально опасных скриптов, размещённых на страницах посещаемых сайтов и приложений.
Менеджер паролей
Сложные пароли, которые рекомендуется создавать при прохождении каждой регистрации, не так просто придумывать. И ещё труднее запоминать. Куда проще и удобнее прибегать к помощи специализированных сервисов, занимающихся генерацией паролей.
Хранить их следует в менеджерах, которые позволяют сохранять сложные комбинации символов, соответствующие вашим аккаунтам на различных ресурсах, и автоматически заполняют поля паролей. Как правило, авторизация внутри менеджера требует от вас ввода определённого мастер-ключа, который подтверждает ваши права администратора. Поэтому вам придётся придумать и запомнить только одну сложную последовательность.
Доступ приложений к данным
Активное использование мобильных устройств приводит к тому, что на них множатся различные полезные приложения, каждое из которых запрашивает доступ к той или иной информации, хранящейся в памяти смартфона.
Очень важно следить за тем, какие данные вы позволяете получать разработчикам приложений. Регулярно проводите ревизию всех разрешений и отзывайте те, которые стали неактуальными.
Публичные точки доступа
Использование любых публичных точек доступа к Глобальной сети приводит к серьёзным рискам. Вы можете потерять не только персональные данные, но и получить прямой материальный ущерб. В идеале следует отказаться от использования любых публичных Wi-Fi сетей и ограничиваться личными каналами подключения к сети.
Если вы всё-таки решили подключиться к публичной сети, используйте защищённые сервисы, позволяющие следить за безопасностью передаваемого и получаемого трафика. Так вы по крайней мере можете избежать компрометирования информации, которая должна передаваться исключительно только в зашифрованном формате.