Агентство Активного Аудита

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

Еще раз о защите персональных данных. Европейский опыт и украинские реалии.

Артем Гончар

Владимир Ткаченко

Цель принятия Закона Украины «О защите персональных данных» №2297-17 от 01.06.2010 - создание правовой базы госрегулирования общественных отношений; установление прав, гарантий, обязанностей и ответственности всех субъектов деятельности, связанной с защитой персональных данных. Одним из факторов разработки и принятия данного законодательного акта является развитие взаимоотношений с Евросоюзом.

Проблемой защиты персональных данных за рубежом начали заниматься во второй половине XX века. Именно в этот период стремительно развивались технологии обмена информацией, которые стирали прежние границы и открывали поистине безграничные возможности практически для любого бизнеса. Тем самым провоцируя увеличение злоупотреблений в коммерческой деятельности, прежде всего путем незаконного использования персональных данных потребителей товаров и (или) услуг.

Информация о личности всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Количество мотивов для хищения персональных данных просто огромно. Вот несколько основных: информация в руках мошенника превращается в орудие преступления, информация в руках уволенного сотрудника – средство мщения, информация в руках инсайдера – товар для продажи конкуренту. Персональные данные проникли в различные сферы как жизни так и бизнеса, следовательно, вопросом об их защите следует заниматься не только для удовлетворения законных требований, но и в целях собственной безопасности.

  • В Европе вопросами защиты персональных данных всерьез стали заниматься с 1980 г., когда Организация по Экономическому Сотрудничеству и Развитию (OECD) выпустила рекомендации по защите конфиденциальности личности и трансграничном обмене персональными данными (Recommendations of the Council Concerning Guidelines Governing the Protection of Privacy and Trans-Border Flows of Personal Data). На сегодняшний день, Европейское право в области защиты персональных данных прошло долгий путь становления и модернизации. В результате получился вполне прагматичный подход: Европейское право защищает те объекты и субъекты, которым эта защита необходима, и ровно настолько, насколько эта защита экономически оправдана. Такая концепция оказалась крайне эффективной: меры по защите систем обработки персональных данных не кажутся избыточными и, что самое главное, являются весьма действенными. Согласно социологическим исследованиям, 80% европейских операторов и субъектов персональных данных считают себя защищенными. Великобритания является одним из лидеров в этой области и 2 июля 2009 года выпустила первую редакцию стандарта BS10012:2009 "Защита данных – Спецификация системы управления персональными данными". Этот документ стал первым в мире стандартом по системам управления персональными данными и позволяет получить представление об организации защиты персональных данных.
  • К задаче защиты персональных данных Европа подошла довольно практично. Лучшие практики и стандарты рекомендуют создавать не просто узкоспециализированную систему защиты, а сразу целую систему управления персональными данными (СУПДн) на предприятии или в организации. Это позволит комплексно обеспечить безопасность персональных данных и предоставит широкий набор возможностей для управления ими.
  • Европейский метод создания СУПДн предусматривает, что персональные данные, которые нуждаются в защите, удовлетворяют определённым условиям:
    1. Являются законно собранными. Все что необходимо защищать должно быть собрано на законных основаниях и законными методами.
    2. Соответствовать целям компании. Все собранные данные должны быть необходимыми для обработки в соответствии с целями компании.
    3. Являются точными и актуальными. Необходимо быть уверенным в точности и актуальности собранных данных.
    4. Не храниться дольше, чем необходимо. Время хранения персональных данных необходимо определить в соответствии с требованиями закона и других подзаконных актов и постоянно его отслеживать.
    5. Обрабатываться в соответствии с правами физических лиц. Обработка персональных данных должна вестись на законных основаниях и не нарушать права физических лиц.
    6. Находиться под постоянной защитой. Любой орган для целей которого необходимо обрабатывать персональные данные обязуется обеспечить им соответствующую защиту на протяжении всего времени обработки в СУоПДн
    7. Не передавать куда-либо без необходимой защиты. Передача персональных данных возможна исключительно на законных основаниях и с соблюдением достаточных мер защиты.

Если все эти условия соблюдены можно приступить к созданию системы управления персональными данными на предприятии.

В Украине на данный момент ситуация сложилась парадоксальная. Закон есть, и даже введены санкции вплоть до уголовного преследования за его несоблюдение. Однако правильная идея, попав в наши условия, приобретает замысловатые формы по принципу: «хотели как лучше, а получилось как всегда». Бизнес воспринимает данные усилия как препятствие своему развитию и ищет простейший путь (как правило, либо «откупиться», либо создать «комплект документов», который удовлетворил бы государственного регулятора), забывая при этом, что и закон и регулятор предполагают наличие процессов и мер защиты, направленных на обеспечение безопасной обработки и обмена персональных данных.

Благодаря усилиям Государственной Службы по вопросам защиты персональных данных 30 декабря 2011 г. Министерством юстиции Украины был принят Приказ № 3659 /5 об утверждении Типового порядка обработки персональных данных в базах персональных данных. Данный документ позволяет определить основные действия в отношении персональных данных, однако все же не опирается на создание СУоПДн на предприятии.

По нашему мнению создание такой системы позволило бы реально и адекватно защитить персональные данные на предприятии или в организации путем создания:

  1. юридически обоснованной внутренней документации, которая позволяет разграничить ответственность между должностными лицами и исполнителями, непосредственно использующими персональные данные в повседневной деятельности;
  2. процессов обработки, хранения, передачи и уничтожения персональных данных на предприятии и в информационных системах в частности;
  3. действенных мер защиты персональных данных в соответствии с рисками на конкретном предприятии (или в информационной системе).

Предлагаемая нами модель системы управления (и обработки) персональных данных позволит:

  • удовлетворить требования Закона Украины «О защите персональных данных»
  • реализовать процессы обработки и обмена персональными данными с учетом особенностей бизнес-процессов конкретной компании;
  • рассчитать и внедрить достаточные и адекватные рискам мероприятия по защите персональных данных.

Этапы внедрения системы представлены на рис.1 ниже.

Информационная безопасность

Создание СУоПДн на предприятии следует начинать с подготовки внутренней нормативно-правовой базы и идентификации баз персональных данных.

Фундаментом для будущей системы будет политика обработки персональных данных на предприятии. Этот этап является крайне важным, ведь правильно созданная политика будет гарантировать , что будущая система будет отвечать требованиям закона, персональные данные в ней будут соответствовать всем необходимым требованиям, а также поддерживать цели организации в области обработки персональных данных.

Поскольку ни одна система не может обойтись без управления, то на этом этапе обычно распределяют роли и ответственность. Ответственным за обеспечение безопасности персональных данных, как правило, является управление (менеджмент). Поэтому один из представителей менеджмента компании назначается ответственным за СУоПДн. Его основные обязанности: утверждение нормативных документов (политик, инструкций) на уровне правления, разработка и реализация их положений, управление безопасностью и рисками в отношении персональных данных, выделение необходимого количества ресурсов. Ответственными за функционирование СУПоДн определяют должностных лиц, которые наиболее часто используют персональные данные по роду деятельности. В их обязанности, как правило, входит:

  • мониторинг инцидентов, связанных с системой (не ИТ, а всей СУоПдн!);
  • юридические аспекты (законность обработки и хранения персональных данных, контроль изменений в законодательстве и внедрение соответствующих изменений в систему);
  • разработка и анализ эффективности нормативных документов, регламентирующих работу с ПДн на предприятии;
  • проведение обучения, тренингов для персонала и других мероприятий по безопасности ПДн.

К подбору ответственных необходимо подходить с особой тщательностью, ведь сохранность ПДн в большей степени ложится на их плечи.

На первом этапе необходимо создать реестр ПДн. Все данные желательно разделить на категории. Цель такой классификации - выбрать необходимый уровень защиты для каждой категории. Второй этап предполагает определение критичности персональных данных. После проводят оценку рисков и подбирают необходимые меры безопасности.

На третьем этапе создания системы управления персональными данными разрабатываются и внедряются различные мероприятия защиты в отношении баз персональных данных, в том числе процедуры и руководства, требуемые политикой. Эти документы охватывают все аспекты работы системы - законный сбор, обработку, хранение, удаление ПДн и передачу (обмен) с другими компаниями или организациями.

После построения предлагаемой системы и руководство компании, и ответственные за обработку ПДн готовы зарегистрировать базы персональных данных предприятия в Государственном Реестре баз персональных данных, как того требует законодательство Украины.

Когда система уже создана и функционирует, возникает вопрос ее поддержки. Стандарт, упомянутый нами выше, рекомендует проводить два вида аудита СУоПДн. Первый - это обычный аудит, его главными целями является определение соответствия реальных процессов нормативным документам и требованиям законодательства. Второй вид аудита - это аудит со стороны правления компании. Он проводится с определёнными интервалами времени или при значительных изменениях (в системе, бизнес-процессах или законодательстве). Он базируется на отчетах внешних (или внутренних) аудиторов, отчетах о пересмотре процедур, выявленных рисках или при серьёзных инцидентах связанных с системой. Целью такого аудита являются потенциальные изменения в системе (политике, процедурах, технологиях) для удовлетворения требований закона и готовности к возможным инспекциям со стороны Государственной Службы по вопросам защиты персональных данных.

Надеемся, что данный материал поможет читателям создать и поддерживать систему управления персональными данными на предприятии.