Открыть сервис

Система персональных данных

Система персональных данных (СПДн) — это совокупность содержащихся в базах данных персональных данных граждан и обеспечивающих их обработку информационных технологий и технических средств. В более широком смысле под системой персональных данных понимают любую информационную систему, предназначенную для сбора, хранения, обработки, передачи или уничтожения информации, относящейся к конкретному физическому лицу (субъекту персональных данных). Правовой режим обработки персональных данных в Российской Федерации регулируется Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и подзаконными актами, устанавливающими требования к безопасности таких систем.

История и нормативное регулирование

Развитие законодательства

Понятие «система персональных данных» получило официальное закрепление в российском законодательстве в 2006 году с принятием Федерального закона № 152-ФЗ. До этого момента обработка персональных данных в России регулировалась фрагментарно, в основном в рамках трудового и административного права. Принятие закона было вызвано необходимостью имплементации положений Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), которую Россия ратифицировала в 2005 году.

В 2007–2008 годах были разработаны и утверждены первые подзаконные акты, детализирующие требования к системам персональных данных, включая Постановление Правительства РФ № 781, которое устанавливало перечень мер, направленных на обеспечение безопасности персональных данных при их обработке в информационных системах. В 2013 году в закон были внесены существенные поправки, в том числе касающиеся локализации баз данных (требование об обработке персональных данных граждан РФ с использованием баз данных, находящихся на территории России).

Ключевые нормативные акты

Основными документами, регулирующими создание и эксплуатацию систем персональных данных в РФ, являются:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Методические рекомендации Роскомнадзора по уведомлению об обработке персональных данных.

Классификация систем персональных данных

Системы персональных данных классифицируются по нескольким основаниям, что влияет на требования к их защите и порядок обработки.

По категориям обрабатываемых данных

  1. СПДн, содержащие специальные категории персональных данных — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка таких данных в общем случае запрещена, за исключением случаев, прямо предусмотренных законом (например, для медицинских организаций).
  2. СПДн, содержащие биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (отпечатки пальцев, радужная оболочка глаза, изображение лица, голос).
  3. СПДн, содержащие общедоступные персональные данные — данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта (например, справочники, телефонные книги).
  4. СПДн, содержащие иные персональные данные — данные, не отнесённые к специальным категориям, биометрическим или общедоступным (фамилия, имя, отчество, адрес, дата рождения, контактные данные).

По уровню защищённости (в соответствии с Постановлением № 1119)

В зависимости от того, какие категории данных обрабатываются и в каком объёме, а также от того, какие угрозы безопасности актуальны, системы персональных данных делятся на четыре уровня защищённости (УЗ):

  • УЗ-1: системы, обрабатывающие специальные категории данных (для любого количества субъектов) или биометрические данные (для более чем 100 000 субъектов).
  • УЗ-2: системы, обрабатывающие биометрические данные (для менее 100 000 субъектов) или иные данные, если имеется угроза безопасности, связанная с несанкционированным доступом к информации.
  • УЗ-3: системы, обрабатывающие иные данные, если актуальны только угрозы утечки информации по техническим каналам.
  • УЗ-4: системы, в которых обеспечение безопасности персональных данных не требуется (например, если данные обрабатываются без использования средств автоматизации).

По типу оператора

Устройство и компоненты

Типовая система персональных данных включает следующие основные компоненты:

  1. База данных (БД) — структурированное хранилище персональных данных, реализованное на основе СУБД (системы управления базами данных). Базы данных могут быть реляционными (SQL), нереляционными (NoSQL) или файловыми.
  2. Серверное оборудование — аппаратные средства, на которых развёрнута база данных и прикладное программное обеспечение (серверы, системы хранения данных, сетевое оборудование).
  3. Прикладное программное обеспечение (ПО) — программы, реализующие функции сбора, ввода, обработки, поиска, вывода и передачи персональных данных (веб-приложения, мобильные приложения, ERP-системы, CRM-системы).
  4. Средства защиты информации (СЗИ) — программные и аппаратные средства, обеспечивающие конфиденциальность, целостность и доступность персональных данных (межсетевые экраны, системы обнаружения вторжений, средства криптографической защиты информации, системы управления доступом).
  5. Каналы связи — сети передачи данных (локальные, глобальные), по которым осуществляется обмен данными между компонентами системы.
  6. Автоматизированные рабочие места (АРМ) — компьютеры или терминалы, с которых операторы (сотрудники) осуществляют доступ к системе.

Применение и значение

Системы персональных данных используются практически во всех сферах, где требуется обработка информации о физических лицах:

Значение систем персональных данных определяется тем, что они обеспечивают централизованное, эффективное и безопасное управление информацией о гражданах, необходимой для функционирования государства, бизнеса и общества. В то же время, их уязвимость создаёт риски утечки конфиденциальной информации, что может приводить к нарушению прав граждан, мошенничеству, дискриминации и другим негативным последствиям.

Требования безопасности

В Российской Федерации требования к безопасности систем персональных данных устанавливаются в зависимости от уровня защищённости и категории обрабатываемых данных. Основные меры включают:

  • Организационные меры: назначение ответственного за организацию обработки персональных данных, разработка политики обработки персональных данных, проведение внутреннего аудита, обучение сотрудников.
  • Технические меры: идентификация и аутентификация пользователей, разграничение доступа, регистрация событий безопасности, защита от несанкционированного доступа, использование средств криптографической защиты, антивирусная защита, резервное копирование.
  • Правовые меры: получение согласия субъекта на обработку персональных данных, уведомление Роскомнадзора о начале обработки, соблюдение сроков хранения и уничтожения данных.

Критика и проблемы

Деятельность систем персональных данных в России и мире подвергается критике по нескольким направлениям:

  • Недостаточная защита от утечек: несмотря на законодательные требования, регулярно происходят крупные утечки персональных данных из баз государственных и коммерческих организаций. По данным Роскомнадзора, в 2023 году в России было зафиксировано более 200 инцидентов, связанных с утечками персональных данных, в результате которых в открытый доступ попали сотни миллионов записей.
  • Чрезмерная централизация: создание крупных государственных информационных систем (например, Единой биометрической системы) вызывает опасения у правозащитников из-за риска злоупотреблений и тотального контроля со стороны государства.
  • Нарушение прав субъектов: субъекты персональных данных часто не имеют реальной возможности контролировать, какие данные о них собираются и как они используются, а также не получают своевременных уведомлений об утечках.
  • Бюрократизация и избыточность требований: представители бизнеса нередко указывают на излишнюю сложность и высокую стоимость выполнения требований законодательства, особенно для малых и средних предприятий.

Интересные факты

  • В 2015 году вступил в силу так называемый «закон о локализации персональных данных», обязывающий все компании, обрабатывающие персональные данные граждан РФ, использовать базы данных, расположенные на территории России. Это привело к переносу серверов многих международных компаний (например, Facebook — организация признана экстремистской и запрещена в РФ; LinkedIn) и созданию локальных дата-центров.
  • Крупнейшая утечка персональных данных в истории России произошла в 2022 году, когда в открытый доступ попали данные более 100 миллионов пользователей сервиса «Яндекс.Еда» и других сервисов компании «Яндекс».
  • В 2023 году Роскомнадзор начал формирование реестра операторов, допустивших утечки персональных данных, и ввёл оборотные штрафы за такие нарушения (до 3% годовой выручки компании).

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  3. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  4. Методические рекомендации Роскомнадзора по уведомлению об обработке персональных данных (утв. 14.01.2013).
  5. Доклад Роскомнадзора «Об утечках персональных данных в 2023 году» (2024).
  6. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →