Информационные системы персональных данных
Информационная система персональных данных (ИСПДн) — это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Понятие является ключевым в российском законодательстве о персональных данных и определяет объект регулирования при организации обработки, хранения и защиты личной информации граждан.
Определение и правовой статус
Понятие «информационная система персональных данных» закреплено в Федеральном законе от 27 июля 2006 года № 152-ФЗ «О персональных данных». Согласно закону, ИСПДн включает как сами данные (сведения, относящиеся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных), так и программно-аппаратный комплекс, обеспечивающий их обработку.
Ключевая особенность ИСПДн в российском праве — это не просто любая база данных, а система, в которой обработка персональных данных осуществляется с использованием средств автоматизации. Если обработка ведется исключительно вручную (на бумажных носителях), то такая деятельность не подпадает под понятие ИСПДн, хотя требования к защите данных сохраняются.
Классификация информационных систем персональных данных
В соответствии с нормативными актами (в частности, постановлением Правительства РФ № 1119 от 1 ноября 2012 года) ИСПДн классифицируются по нескольким основаниям.
По категориям обрабатываемых данных
- Специальные категории: данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
- Биометрические: физиологические и биологические характеристики человека, позволяющие установить его личность (отпечатки пальцев, изображение лица, образец голоса).
- Иные (общедоступные и необщедоступные): фамилия, имя, отчество, адрес, дата и место рождения, сведения об образовании, профессии, доходах и т.д., если они не отнесены к специальным или биометрическим.
По объему обрабатываемых данных
- Уровень 1 (К1): системы, обрабатывающие специальные категории персональных данных более 100 000 субъектов.
- Уровень 2 (К2): системы, обрабатывающие специальные категории персональных данных от 1 до 100 000 субъектов, а также биометрические данные любого объема.
- Уровень 3 (К3): системы, обрабатывающие иные категории персональных данных более 100 000 субъектов.
- Уровень 4 (К4): системы, обрабатывающие иные категории персональных данных до 100 000 субъектов, а также системы, обеспечивающие только пропускной режим на территорию.
По типу оператора
- Государственные ИСПДн: создаются и эксплуатируются органами государственной власти (например, системы ФНС, МВД, Пенсионного фонда).
- Муниципальные ИСПДн: используются органами местного самоуправления.
- Негосударственные ИСПДн: принадлежат коммерческим организациям, некоммерческим организациям, индивидуальным предпринимателям (например, CRM-системы, кадровые системы, сайты с регистрацией пользователей).
Требования к защите информации
Обработка персональных данных в ИСПДн возможна только при условии обеспечения их безопасности. Требования к защите устанавливаются нормативными актами, в первую очередь — постановлением Правительства РФ № 1119 и приказом ФСТЭК России № 21 от 18 февраля 2013 года.
Уровни защищенности
В зависимости от типа угроз (актуальные, неактуальные) и категории обрабатываемых данных устанавливаются четыре уровня защищенности персональных данных (УЗ):
- 1 уровень (УЗ-1): для систем, обрабатывающих специальные категории данных при наличии актуальных угроз.
- 2 уровень (УЗ-2): для систем, обрабатывающих биометрические данные при наличии актуальных угроз.
- 3 уровень (УЗ-3): для систем, обрабатывающих иные категории данных при наличии актуальных угроз.
- 4 уровень (УЗ-4): для систем, в которых угрозы безопасности не актуальны (например, системы, не подключенные к сетям общего пользования).
Основные меры защиты
- Организационные: назначение ответственного за обработку персональных данных, разработка политики обработки, проведение внутреннего аудита, обучение сотрудников.
- Технические: использование средств криптографической защиты информации (СКЗИ), систем обнаружения вторжений, антивирусной защиты, межсетевых экранов, регистрация и учет событий безопасности.
- Правовые: получение согласия субъекта на обработку данных, уведомление Роскомнадзора о начале обработки, заключение договоров с операторами, обеспечивающими обработку.
Этапы жизненного цикла
Жизненный цикл ИСПДн включает несколько этапов:
- Создание: проектирование, разработка или приобретение готового решения, ввод в эксплуатацию.
- Ввод в эксплуатацию: проведение мероприятий по аттестации (для государственных систем) или декларированию соответствия (для негосударственных), регистрация в Роскомнадзоре.
- Эксплуатация: непосредственная обработка данных, выполнение операций сбора, записи, систематизации, накопления, хранения, уточнения, извлечения, использования, передачи, блокирования, удаления.
- Модернизация: обновление программного обеспечения, расширение функционала, изменение состава технических средств.
- Вывод из эксплуатации: уничтожение данных, ликвидация системы, передача на хранение или утилизация оборудования.
Ответственность за нарушения
Несоблюдение требований к обработке и защите персональных данных в ИСПДн влечет за собой ответственность, предусмотренную Кодексом об административных правонарушениях РФ (КоАП РФ) и Уголовным кодексом РФ (УК РФ).
- Административная ответственность (ст. 13.11 КоАП РФ): штрафы для должностных лиц от 2 000 до 20 000 рублей, для юридических лиц — от 15 000 до 75 000 рублей за обработку без согласия, за невыполнение требований к защите — до 50 000 и 300 000 рублей соответственно.
- Уголовная ответственность (ст. 137 УК РФ): за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия — вплоть до лишения свободы на срок до 2 лет (с использованием служебного положения — до 4 лет).
- Гражданско-правовая ответственность: возмещение морального вреда и убытков, причиненных субъекту персональных данных.
Особенности регулирования в России
Российское законодательство в области ИСПДн отличается рядом специфических требований:
- Локализация баз данных: Операторы, осуществляющие сбор персональных данных граждан РФ, обязаны обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации (ст. 18 Федерального закона № 242-ФЗ).
- Уведомление Роскомнадзора: До начала обработки персональных данных оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении. Исключение составляют случаи, когда обработка осуществляется без использования средств автоматизации или для целей, не требующих уведомления (например, трудовые отношения).
- Аттестация и лицензирование: Для государственных ИСПДн обязательна аттестация на соответствие требованиям безопасности информации. Деятельность по технической защите конфиденциальной информации (включая персональные данные) подлежит лицензированию в ФСТЭК России.
Примеры ИСПДн
- Государственные: Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ), системы Пенсионного фонда РФ, Фонда социального страхования, Федеральной налоговой службы.
- Коммерческие: CRM-системы банков (например, Сбербанк, ВТБ), системы учета клиентов телекоммуникационных компаний (МТС, Билайн, Мегафон), системы управления персоналом крупных предприятий, интернет-магазины.
- Ведомственные: системы Министерства внутренних дел РФ, Министерства обороны РФ, Федеральной службы безопасности РФ.
Источники
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
- Постановление Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Кодекс Российской Федерации об административных правонарушениях (КоАП РФ).
- Уголовный кодекс Российской Федерации (УК РФ).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →