Горячая тема защиты персональных данных (ПД) своей актуальности не теряет вот уже второй год. Связано это, в первую очередь, с тем, что законодательством (Закон Украины «О защите персональных данных» и Закон Укра­ины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных») некоторые вопросы остаются неурегулированными. В частности, многие отмечают, что законодательство не содержит требований относительно порядка организации и защиты ПД, возникает коллизия норм этих законодательных актов с другими специализированными законами и пр.

Возможно, Типовой порядок обработки персональных данных в базах персональных данных (Порядок), утвержденный Приказом Министерства юстиции Украины от 30 декабря 2011 года № 3659/5, внесет некоторую ясность в этой сфере.

Отметим, что этот Порядок был разработан во исполнение части 10 статьи 6 Закона Украины «О защите персональных данных» (Закон) лишь спустя год после вступления его в силу.

Защита и обязанности

Несмотря на то что Порядок устанавливает общие требования к организационным, техническим мерам защиты ПД во время их обработки владельцами и распорядителями баз ПД, которые частично предусмотрены вышеупомянутыми законами, в нем содержатся и более подробные требования к обработке ПД.

Так, устанавливается, что владелец или распорядитель базы ПД предоставляет субъекту ПД информацию о цели обработки ПД до момента получения согласия на это от субъекта ПД.

Напомним, что частью 7 статьи 6 За­кона предусмотрены особенности применения этого положения. В частности, обрабатывать ПД можно без согласия субъекта, если такая обработка является необходимой для защиты его жизненно важных интересов.

Еще одно положение этого Порядка предусматривает, что владелец базы ПД сохраняет ПД в срок не более, чем это необходимо согласно цели их обработки, если другое не предусмотрено законодательством. Отметим, что цель обработки владелец базы определяет сам и, собственно, сроки их сохранения также, что является субъективным моментом. Кроме того, владельцем определяется и состав ПД в базе и ее местонахождение, порядок внесения, изменения, возобновления, использования, распространения, обезличения, уничтожения ПД.

Еще одна обязанность, которая возлагается на владельца, — это определение порядка защиты ПД, в том числе от незаконной обработки и незаконного доступа к ним. Более того, владелец обязан вести учет фактов предоставления и лишения работников права доступа к ПД и их обработки, а также попыток и фактов несанкционированных и/или незаконных действий по обработке ПД. Что касается учета фактов предоставления и лишения работников права доступа, то в целом завести, например, соответствующий журнал владелец, конечно, может. Но вот вопрос учета несанкционированных действий по обработке данных, особенно в век информационных технологий, несколько непонятен.

Логичной нормой Порядка является определение владельцем базы ПД ответственного лица или структурного подразделения за обработку. В свою очередь, они должны обеспечивать ознакомление работников владельца и распорядителя базы с требованиями соответствующего законодательства в этой сфере, в частности, относительно их обязанности не допускать разглашения любым способом ПД, которые им были доверены или которые стали им известны в связи с исполнением профессиональных, служебных или трудовых обязанностей.

Не менее важной обязанностью ответственного лица или подразделения является организация работы по обработке запросов относительно доступа к ПД субъектов этих отношений, связанных с их обработкой. Кроме того, в обязанности входит и обеспечение доступа к собственным ПД таких субъектов.

Обеспечение организации обработки ПД работниками владельца и распорядителя базы в соответствии с их профессиональными, служебными или трудовыми обязанностями в объеме, необходимом для их выполнения, также входит в служебные обязанности ответственного лица. Следует отметить, что, в свою очередь, владелец базы имеет право разграничить режимы доступа работников к обработке ПД в базе. Таким образом, владельцем определяется круг лиц, имеющих право доступа к обработке, а ответственное лицо, в свою очередь, обязано обеспечить этот доступ.

Также ответственное лицо или соответствующее подразделение должно информировать руководителя владельца и распорядителя базы ПД о мерах, связанных с приведением ее в соответствие с Законом. Более того, информирование вышеуказанных лиц о нарушении установленных процедур по обработке ПД также является должностной обязанностью ответственного лица.

Тем не менее, напомним, что, согласно Порядку, защита ПД возлагается на владельца базы.

Наиболее понятной и осуществимой нормой этого Порядка является то, что уничтожение ПД осуществляется способом, который исключает дальнейшую возможность их возобновления.

Система и карточки

Напомним, что как Закон, так и Порядок предусматривают, что обработка ПД может осуществляться полностью или частично в информационной (автоматизированной) системе и/или в форме картотек ПД.

Собственно, для крупных компаний, которыми используются современные информационные технологии, исполнение требований этого Порядка не составит особых трудностей. В частности, на владельца базы возложена обязанность обеспечивать антивирусную защиту в информационной (автоматизированной) системе, а также бесперебойное питание элементов системы.

Кроме того, Порядок предусматривает, что вход в информационную систему должен осуществляться сотрудниками только после их идентификации и авторизации, а для тех, кто не прошел данную процедуру, доступ должен блокироваться.

Также подобная обработка данных в составе информационно-телекоммуникационной системы может осуществляться с применением средств сетевой защиты от несанкционированного доступа.

Предусмотрена возможность регистрации результатов идентификации работников, действий по обработке ПД. Кроме того, в такой системе может осуществляться и регистрация факта установления признака «Подтверждение предоставления согласия на обработку персональных данных в базе персональных данных». Именно такая формулировка содержится в Порядке, хотя в чем будет заключаться «признак подтверждения» — не устанавливается. Впрочем, это и не является прямой обязанностью.

Ну и, конечно, не обошлось без сейфов и различных шкафов. Наличие данных атрибутов относится к хранению и обработке ПД в форме картотек. В частнос­ти, отмечается, что дела с документами, которые содержат ПД, должны иметь внутренние описания документов с указанием цели обработки и категории ПД, а также установлено, что картотеки хранятся в помещениях (шкафах, сейфах), защищенных от несанкционированного доступа, двери которых должны быть оборудованы замком или контролем доступа.

Возможно, положений этого Порядка для небольших компаний будет достаточно, но целесообразнее было бы разработать внутренний порядок или соответствующую инструкцию с детальным описанием всех механизмов и процедур обработки ПД.

---

Позиция

Больше ясности

Наталья Лыса,
директор по юридическим вопросам AES Украина

Для компаний AES на Украине Типовой порядок не привнес практически ничего нового: у нас и так применяются прогрессивные способы защиты информации, в том числе и персональных данных. Вход в информационную систему осуществляется сотрудниками только после их идентификации и авторизации, работают современные системы антивирусной защиты, обеспечено бесперебойное питание систем. Непонятным однако остается вопрос учета фактов предоставления сотрудникам и лишения их права доступа к персональным данным и их обработке, а также попыток и фактов несанкционированных и (или) незаконных действий по обработке персональных данных. На мой взгляд, в современных условиях информационно-продвинутой компании будет странно вести нечто вроде «Журнала учета фактов несанкционированного доступа к базе данных»… Хотелось бы больше ясности в этом вопросе.

Само собой, Типовой порядок не решает основных проблем самого Закона, которые, к сожалению, возникают именно в попытках выполнить его требования законопослушными компаниями. В качестве примера: компания-монополист по поставке электроэнергии регистрирует в установленном порядке базу данных своих потребителей, получает согласие у потребителей на использование их персональных данных (ФИО, адрес, идентификационный код), уведомляет потребителей о регистрации базы данных. Цель использования персональных данных — выполнение условий договора о поставке электроэнергии. Однако в ответ от потребителей компания получает письма с запретом использовать их персональные данные, соответствующими угрозами о последующем обращении в правоохранительные органы.

Видимо, сложно предположить, что уничтожение такой компанией персональных данных потребителя приведет к невозможности поставлять ему электроэнергию, выставлять счета и выполнять иные условия договора. С другой стороны, электроэнергетическое законодательство не предусматривает такого основания для отключения потребителя, как отказ последнего в использовании его персональных данных. Санкции за незаконное отключение потребителя могут быть очень материальными, но и ответственность за использование персональных данных без согласия субъекта, когда бы она ни начинала применяться, тоже высока. Трудно пока себе представить, сколько ресурсов и затрат (персонал, переписка, согласования, разъяснения регуляторов, почтовые расходы и пр.) уйдет на урегулирование этого небольшого, одного из многих, вопроса.

Очевидно, нужно совершенствовать сам Закон о защите персональных данных, а также проводить больше разъяснительной работы среди населения, ведь налицо обратный эффект — та компания, которая пытается выполнить закон, воспринимается людьми как какой-то киберпреступник, пытающийся вдруг использовать их личную секретную информацию: «Еще неизвестно, чем это закончится. Почему бы им, как и прежде, не поставлять мне электроэнергию, зачем вдруг облэнерго понадобились мои персональные данные?».