Как показывает практика, случаев обработки персональных данных (ПД) на электронных носителях гораздо больше, нежели в бумажном виде. При этом, более-менее научившись правильно обращаться с бумажными накопителями, организация надлежащей защиты ПД на электронных носителях по-прежнему представляет особый интерес ввиду неизведанности этой сферы. Как следствие, на практике нередко имеют место случаи нарушения порядка защиты персональных данных в их электронных базах, что влечет за собой привлечение владельцев и распорядителей ПД к ответственности.

Типовой порядок

Основные требования, выдвигаемые законодателем к порядку обработки ПД на электронных носителях, содержатся в приказе Министерства юстиции № 3659/5 от 30 декабря 2011 года, которым был утвержден Типовой порядок обработки персональных данных в базах персональных данных (Типовой порядок). И хотя пункт 1.2 упомянутого порядка четко указывает, что действие норм, содержащих требования к организационным и техническим мерам защиты ПД, распространяется как на владельцев, так и на распорядителей ПД, второй раздел этого нормативного акта, непосредственно регулирующий требования к обработке персональных данных в автоматизированных системах, делает акцент, в первую очередь, на их владельцах.

Так, среди прочего владелец ПД обязуется допускать своих сотрудников к таким данным только после их авторизации при входе в систему (при этом доступ лиц, которые не прошли процедуру идентификации и/или аутентификации, должен блокироваться), использовать антивирусную защиту автоматизированной системы, а также технические средства бесперебойного питания. В целом такое положение вещей вряд ли можно назвать справедливым, ведь очень часто распорядители обрабатывают ПД наравне с владельцами, и несоблюдение вышеуказанных элементарных требований может означать утечку данных в нежелательном направлении. В подобной ситуации следует ориентироваться на мнение Государственной службы Украины по вопросам защиты ПД (ГСЗПД, госслужба), которая считает, что и владелец, и распорядитель ПД, несмотря на законодательную коллизию, должны придерживаться вышеуказанных требований в равной мере.

Как известно, в самой автоматизированной системе на усмотрение ее владельца может осуществляться регистрация, в частности, результатов идентификации и/или аутентификации сотрудников, действий по обработке ПД, факта предоставления согласия на такую обработку, результатов проверки целостности средств защиты персональных данных. Фиксироваться в системе могут и другие действия, однако важность для ГСЗПД имеют именно вышеперечисленные. К тому же такие регистрационные данные обязательно должны быть сохранены, защищены от модификации и уничтожения, предоставлены только по мотивированному требованию уполномоченного лица. В определенных случаях они могут подлежать анализу ответственным на предприятии лицом или структурным подразделением.

Средства защиты

Обработка ПД в автоматизированных системах возможна только при условии применения средств сетевой защиты от несанкционированного доступа.

Перечень способов защиты персональных данных на электронных носителях, безусловно, не является исчерпывающим. То есть при желании предприятие имеет возможность на свое усмотрение использовать дополнительные средства защиты. Однако в случае проверки ГСЗПД в первую очередь будет обращать внимание именно на соблюдение упомянутых требований.

Особый интерес в этом аспекте представляет вопрос проведения проверок относительно соблюдения требований законодательства о защите ПД владельцами или распорядителями баз ПД, физически находящимися за пределами Украины. Системы защиты персональных данных на электронных носителях, используемые украинскими предприятиями, вполне возможно проверить путем осуществления выездной проверки по месту нахождения предприятия, а процедура такой же проверки носителей ПД украинских физических лиц, обрабатываемых иностранными предприятиями и находящихся физически за пределами Украины, до сих пор остается загадкой как для самих предприятий, так и для ГСЗПД. Вполне возможно, что в таких ситуациях госслужба будет просто фиксировать факт правонарушения и передавать информацию в соответствующий государственный орган страны, где физически находится иностранное предприятие и его электронные носители, с целью осуществления проверки на месте. По крайней мере, мысли в этом направлении в последнее время озвучивает ГСЗПД.

Доступ ограничен

Данные о физическом лице в понимании законодателя являются конфиденциальной информацией, следовательно, доступ к ней ограничен (статья 21 Закона Украины «Об информации» от 2 октября 1992 года № 2657-XII). В свою очередь, информация с ограниченным доступом по общему правилу должна обрабатываться в системе с применением комплексной защиты с подтвержденным соответствием (статья 8 Закона Украины «О защите информации в информационно-телекоммуникационных системах» от 5 июля 1994 года № 80/94-ВР). Таким образом, если планируется использование ПД на электронных носителях (причем это касается и обработки таких данных локально на компьютерах предприятия, и в электронных сетях), то перед началом их обработки необходимо убедиться в надежности системы и ее соответствии установленным требованиям.

Получить подтверждение соответствия обычно возможно по результатам государственной экспертизы. Если выяснится, что в системе отсутствует надлежащая защита информации, то ее нужно обеспечить. Проведением экспертизы системы защиты ПД и в случае необходимости ее разработкой занимается Государственная служба специальной связи и защиты информации, которая, хоть и не является контролирующим органом по вопросам защиты персональных данных (по крайней мере для частных предприятий), однако ее экспертное заключение, как правило, играет довольно весомую роль при принятии решения о незаконности обработки ПД.

К слову, для создания комплексной системы защиты ПД должны использоваться технические средства, которые имеют сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере технической и/или криптографической защиты информации.

Сегодня очень мало предприятий на практике придерживаются вышеуказанных требований законодательства. Более того, многие даже не слышали о них. Между тем, с одной стороны, увеличивается риск привлечения к ответственности владельцев и распорядителей ПД за нарушение порядка обработки персональных данных, а с другой — увеличивается риск неконтролируемого распространения ПД физических лиц. Во избежание этих рисков необходимо подходить к вопросу подготовки обработки ПД на электронных носителях комплексно, с должным вниманием, а также обеспечивать целостную защиту ПД на электронных носителях до начала их обработки.

ПАВЛЮК Карина — юрист МЮГ AstapovLawyers, г. Киев

---

Комментарий

Противоречивая форма

Юлия ВЕРТИПОРОХ,
старший юрист АК IMG Partners

Согласно Закону Украины «О защите персональных данных» от 1 июня 2010 года № 2297-VI, сбор разрешений на обработку персональных данных возможен в электронной форме, что в свою очередь противоречит требованию о необходимости исключительно письменного уведомления субъектов персональных данных об их правах. Ведь бывают случаи, когда владельцы баз персональных данных не имеют информации о почтовом адресе субъекта персональных данных, в частности, когда данные о личности поступили электронным путем.

Прежде всего, следует обратить внимание на то, что лица — владельцы баз персональных данных в электронной форме должны внимательно относиться к хранению и защите своих баз данных, чтобы в результате недобросовестных действий отдельных работников не наступила ответственность, и при этом не пострадала деловая репутация самой компании. Единственным органом, который контролирует такие правоотношения, является Государственная служба Украины по вопросам защиты персональных данных, а решение об административном взыскании принимает только суд.