Система персональных данных
Система персональных данных (СПДн) — это совокупность содержащихся в базах данных персональных данных граждан и обеспечивающих их обработку информационных технологий и технических средств. В более широком смысле под системой персональных данных понимают любую информационную систему, предназначенную для сбора, хранения, обработки, передачи или уничтожения информации, относящейся к конкретному физическому лицу (субъекту персональных данных). Правовой режим обработки персональных данных в Российской Федерации регулируется Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и подзаконными актами, устанавливающими требования к безопасности таких систем.
История и нормативное регулирование
Развитие законодательства
Понятие «система персональных данных» получило официальное закрепление в российском законодательстве в 2006 году с принятием Федерального закона № 152-ФЗ. До этого момента обработка персональных данных в России регулировалась фрагментарно, в основном в рамках трудового и административного права. Принятие закона было вызвано необходимостью имплементации положений Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), которую Россия ратифицировала в 2005 году.
В 2007–2008 годах были разработаны и утверждены первые подзаконные акты, детализирующие требования к системам персональных данных, включая Постановление Правительства РФ № 781, которое устанавливало перечень мер, направленных на обеспечение безопасности персональных данных при их обработке в информационных системах. В 2013 году в закон были внесены существенные поправки, в том числе касающиеся локализации баз данных (требование об обработке персональных данных граждан РФ с использованием баз данных, находящихся на территории России).
Ключевые нормативные акты
Основными документами, регулирующими создание и эксплуатацию систем персональных данных в РФ, являются:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Методические рекомендации Роскомнадзора по уведомлению об обработке персональных данных.
Классификация систем персональных данных
Системы персональных данных классифицируются по нескольким основаниям, что влияет на требования к их защите и порядок обработки.
По категориям обрабатываемых данных
- СПДн, содержащие специальные категории персональных данных — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка таких данных в общем случае запрещена, за исключением случаев, прямо предусмотренных законом (например, для медицинских организаций).
- СПДн, содержащие биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (отпечатки пальцев, радужная оболочка глаза, изображение лица, голос).
- СПДн, содержащие общедоступные персональные данные — данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта (например, справочники, телефонные книги).
- СПДн, содержащие иные персональные данные — данные, не отнесённые к специальным категориям, биометрическим или общедоступным (фамилия, имя, отчество, адрес, дата рождения, контактные данные).
По уровню защищённости (в соответствии с Постановлением № 1119)
В зависимости от того, какие категории данных обрабатываются и в каком объёме, а также от того, какие угрозы безопасности актуальны, системы персональных данных делятся на четыре уровня защищённости (УЗ):
- УЗ-1: системы, обрабатывающие специальные категории данных (для любого количества субъектов) или биометрические данные (для более чем 100 000 субъектов).
- УЗ-2: системы, обрабатывающие биометрические данные (для менее 100 000 субъектов) или иные данные, если имеется угроза безопасности, связанная с несанкционированным доступом к информации.
- УЗ-3: системы, обрабатывающие иные данные, если актуальны только угрозы утечки информации по техническим каналам.
- УЗ-4: системы, в которых обеспечение безопасности персональных данных не требуется (например, если данные обрабатываются без использования средств автоматизации).
По типу оператора
- Государственные информационные системы — создаются и эксплуатируются органами государственной власти (например, Единая система идентификации и аутентификации — ЕСИА, Госуслуги).
- Муниципальные информационные системы — используются органами местного самоуправления.
- Корпоративные (частные) системы — принадлежат коммерческим и некоммерческим организациям (банки, страховые компании, интернет-магазины, медицинские центры).
Устройство и компоненты
Типовая система персональных данных включает следующие основные компоненты:
- База данных (БД) — структурированное хранилище персональных данных, реализованное на основе СУБД (системы управления базами данных). Базы данных могут быть реляционными (SQL), нереляционными (NoSQL) или файловыми.
- Серверное оборудование — аппаратные средства, на которых развёрнута база данных и прикладное программное обеспечение (серверы, системы хранения данных, сетевое оборудование).
- Прикладное программное обеспечение (ПО) — программы, реализующие функции сбора, ввода, обработки, поиска, вывода и передачи персональных данных (веб-приложения, мобильные приложения, ERP-системы, CRM-системы).
- Средства защиты информации (СЗИ) — программные и аппаратные средства, обеспечивающие конфиденциальность, целостность и доступность персональных данных (межсетевые экраны, системы обнаружения вторжений, средства криптографической защиты информации, системы управления доступом).
- Каналы связи — сети передачи данных (локальные, глобальные), по которым осуществляется обмен данными между компонентами системы.
- Автоматизированные рабочие места (АРМ) — компьютеры или терминалы, с которых операторы (сотрудники) осуществляют доступ к системе.
Применение и значение
Системы персональных данных используются практически во всех сферах, где требуется обработка информации о физических лицах:
- Государственное управление: паспортно-визовая система, налоговый учёт, пенсионное обеспечение, воинский учёт, здравоохранение (Единая государственная информационная система в сфере здравоохранения — ЕГИСЗ).
- Банковская и финансовая сфера: обработка данных клиентов при открытии счетов, кредитовании, страховании, проведении платежей.
- Торговля и услуги: интернет-магазины, программы лояльности, системы бронирования, гостиничный бизнес.
- Трудовые отношения: кадровый учёт, ведение трудовых книжек, начисление заработной платы.
- Образование: учёт учащихся и студентов, ведение электронных журналов и дневников.
- Медицина: ведение электронных медицинских карт, учёт пациентов, выписка рецептов.
Значение систем персональных данных определяется тем, что они обеспечивают централизованное, эффективное и безопасное управление информацией о гражданах, необходимой для функционирования государства, бизнеса и общества. В то же время, их уязвимость создаёт риски утечки конфиденциальной информации, что может приводить к нарушению прав граждан, мошенничеству, дискриминации и другим негативным последствиям.
Требования безопасности
В Российской Федерации требования к безопасности систем персональных данных устанавливаются в зависимости от уровня защищённости и категории обрабатываемых данных. Основные меры включают:
- Организационные меры: назначение ответственного за организацию обработки персональных данных, разработка политики обработки персональных данных, проведение внутреннего аудита, обучение сотрудников.
- Технические меры: идентификация и аутентификация пользователей, разграничение доступа, регистрация событий безопасности, защита от несанкционированного доступа, использование средств криптографической защиты, антивирусная защита, резервное копирование.
- Правовые меры: получение согласия субъекта на обработку персональных данных, уведомление Роскомнадзора о начале обработки, соблюдение сроков хранения и уничтожения данных.
Критика и проблемы
Деятельность систем персональных данных в России и мире подвергается критике по нескольким направлениям:
- Недостаточная защита от утечек: несмотря на законодательные требования, регулярно происходят крупные утечки персональных данных из баз государственных и коммерческих организаций. По данным Роскомнадзора, в 2023 году в России было зафиксировано более 200 инцидентов, связанных с утечками персональных данных, в результате которых в открытый доступ попали сотни миллионов записей.
- Чрезмерная централизация: создание крупных государственных информационных систем (например, Единой биометрической системы) вызывает опасения у правозащитников из-за риска злоупотреблений и тотального контроля со стороны государства.
- Нарушение прав субъектов: субъекты персональных данных часто не имеют реальной возможности контролировать, какие данные о них собираются и как они используются, а также не получают своевременных уведомлений об утечках.
- Бюрократизация и избыточность требований: представители бизнеса нередко указывают на излишнюю сложность и высокую стоимость выполнения требований законодательства, особенно для малых и средних предприятий.
Интересные факты
- В 2015 году вступил в силу так называемый «закон о локализации персональных данных», обязывающий все компании, обрабатывающие персональные данные граждан РФ, использовать базы данных, расположенные на территории России. Это привело к переносу серверов многих международных компаний (например, Facebook — организация признана экстремистской и запрещена в РФ; LinkedIn) и созданию локальных дата-центров.
- Крупнейшая утечка персональных данных в истории России произошла в 2022 году, когда в открытый доступ попали данные более 100 миллионов пользователей сервиса «Яндекс.Еда» и других сервисов компании «Яндекс».
- В 2023 году Роскомнадзор начал формирование реестра операторов, допустивших утечки персональных данных, и ввёл оборотные штрафы за такие нарушения (до 3% годовой выручки компании).
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Методические рекомендации Роскомнадзора по уведомлению об обработке персональных данных (утв. 14.01.2013).
- Доклад Роскомнадзора «Об утечках персональных данных в 2023 году» (2024).
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →