Новые вызовы и угрозы информационных систем персональных данных: организационные и правовые аспекты
Особенности воздействия информационно-коммуникационных технологий на права и свободы человека. Трансграничная передача персональных данных - технология, требующая проведения контроля за соответствием процессов обработки требованиям законодательства.
Рубрика | Государство и право |
Вид | статья |
Язык | русский |
Дата добавления | 01.02.2019 |
Размер файла | 16,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Сегодня у передовой мировой общественности есть основания для беспокойства в аспекте воздействия информационно-коммуникационных технологий на права и свободы человека. По мере развития технологий происходит эволюционное изменение человека и общества. Цифровая техника постепенно становится частью повседневной действительности и вырабатывается привычка доверять компьютерам, смартфонам, интеллектуальным компонентам автомобилей и иных технических средств. Одновременно все большее число данных о личности рассеивается в цифровом пространстве. Накопленный опыт свидетельствует, что информационно-телекоммуникационные технологии, помимо инновационного развития, несут угрозы безопасности государства и общества и самое важное - фундаментальным и неотъемлемым правам человека.
Вопросы охраны персональных данных, возникнув еще на заре развития компьютерных технологий право в рамках права privacy («the right to be alone»), в условиях глобального информационного общества приобретают ключевое значение. В конце 2005 г. Российской Федерацией подписана Европейская Конвенция «О защите прав физических лиц при автоматизированной обработке персональных данных». В России правовое регулирование обработки персональных данных осуществляется нормами Конституции РФ, Федерального закона «О персональных данных», Трудового кодекса РФ и иных законодательных, а также принятых на их основе подзаконных актов. Непосредственный фокус правового института персональных данных направлен на защиту информации о физическом лице.
Операторы персональных данных обязаны принимать меры обеспечения безопасности информационных систем персональных данных, соответствующие предъявляемым требованиям, что непосредственно связано с правовым регулированием охраны персональных данных, объемом и характером обрабатываемых данных, финансовыми возможностями организации, потребностями осуществления трансграничной передачи данных, наличием квалифицированного персонала и другими факторами. Учитывая динамику информационно-коммуникационных технологий и информационного законодательства в условиях вызовов и угроз глобального информационного общества, процесс организации надлежащей защиты персональных данных является ощутимой ношей для подавляющего большинства операторов персональных данных.
Известно, что во всех ситуациях, кроме персональных данных, включенных в общедоступные источники персональных данных, и случаев их обезличивания требуется, помимо прочего, обеспечение конфиденциальности сведений. Поэтому операторы персональных данных, ограниченные в материально-финансовых и людских ресурсах, нередко ищут приемлемые способы обезличивания данных, обрабатываемых в их информационных системах, что обычно производится путем уменьшения детализации сведений, исключения определенной части данных, кодирования, усреднения количественных показателей, применением метода перестановок, разведением данных по различным информационным системам и другими методами, ведущими к деперсонализации данных.
Следует учитывать, что во всех случаях критерием качества применяемых методов является возможность идентификации хотя бы одного субъекта персональных данных в условиях, когда злоумышленнику известен контекст обработки и дополнительная информация из иных источников, т.е. реидентификации, под которой понимается процесс и результат установления личности по совокупности обезличенных данных.
Осуществимость реидентификации персональных данных операторами традиционно недооценивается. Она зависит от характера и частоты встречаемости признаков, отображенных в данных, а также объема данных, получаемых при пересечении множеств различных признаков. Исследования специалистов показывают возможность реидентификации на основе следующих сочетаний данных: (1) почтового индекса, пола, даты рождения жителя США; (2) цвета волос, роста, цвета кожи и группы крови; (3) адреса электронной почты и данных о его корпоративном характере. Приведенные примеры позволяют видеть, что удаление значительной части данных, включая ключевые, не гарантирует надежность обезличивания.
Идентификация достаточно глубоко изучена учеными наук криминалистического цикла, которые определяют это понятие через тождество объекта с самим собой в разные периоды времени или в разных его состояниях. Идентификация базируется на неповторимости и индивидуальности объектов реальности и закономерностях возникновения отображения признаков объекта при взаимодействии с иными объектами.
Свойства физического лица отражаются в идентификационных признаках, которые должны быть специфичными, способными к адекватному систематическому отражению, относительно устойчивыми и вариативными. Идентификация возможна и осуществляется при совпадении совокупности общих и частных признаков, круг которых зависит от частоты их встречаемости. Теоретически возможна идентификация на основе одного уникального признака, но в практике используется набор признаков, гарантированно позволяющий произвести отождествление.
Принадлежность признака к определенному их виду не дает гарантий идентификации. В практике раскрытия и предварительного расследования событий преступлений не редкость, когда обнаруженные отпечатки пальцев не пригодны для идентификации, так как содержат недостаточно признаков. Сочетание разных признаков повышает вероятность правильной идентификации. Таким образом, обезличивание персональных данных не является тривиальным методом ухода от требования обеспечения конфиденциальности сведений и требует взвешенных решений на основе комплексного анализа возможных взаимосвязей данных и доли конкретных значений признаков в их множестве.
Защита конфиденциальности сведений требует применения комплекса организационно-правовых и технических мер. Требования обеспечения безопасности персональных данных могут вытекать из положений норм законодательства, заключенных оператором договоров и соглашений. Эффективное обеспечение безопасности персональных данных в информационной системе включает определение совокупности защищаемых данных и отслеживание мест, целей и срока их хранения, внедрение отлаженного и сбалансированного документооборота, применение инженерно-технических мер защиты зданий, помещений, сетей, устройств, носителей информации, организацию контроля доступа к информационной базе и обучения персонала, внедрение процесса безопасного удаления ненужных и избыточных персональных данных, осуществление мониторинга применяемых мер и выборочные проверки, а также расследование произошедших инцидентов. Кроме того, необходимым элементом выступает успешное взаимодействие с государственными органами.
Наибольшие сложности операторы персональных данных при организации их защиты испытывают ввиду отсутствия четкого понимания мест и формы хранения и обработки в организации персональных данных за пределами ключевых информационных систем и серверов, отсутствия адекватной модели защиты данных, не принятия надлежащих механизмов контроля за действиями сотрудников, имеющих доступ к персональным данным при исполнении своих трудовых и служебных полномочий, нехватки квалифицированных специалистов и экспертов в вопросах обеспечения безопасности персональных данных.
Сегодня не достаточно разработать и внедрить комплекс защитных мер на этапе введения системы или появления нового требования. Всякие изменения существующих или внедрение новых средств защиты данных в информационной системе персональных данных или иные ее трансформации должны оцениваться в части воздействия принимаемых мер на конфиденциальность данных, чтобы они не вызвали неблагоприятные последствия, включая нарушения требований законодательства о персональных данных. Таким образом, должен осуществляться не только контроль безопасности обработки, но и постоянный мониторинг существующей ситуации, что особо злободневно с позиции динамики правового регулирования вопросов защиты персональных данных.
Законодательство ряда государств содержит требование информирования уполномоченных государственных органов об обнаруженных оператором случаях нарушения целостности и конфиденциальности персональных данных. Так, Регламент ЕС 2016/679 предписывает информировать регулятора в течение семидесяти двух часов с момента обнаружения нарушения. Законодательно закреплена обязанность обязательного оповещения регулятора в тридцати двух из пятидесяти штатов США. В Канаде аналогичное требование закреплено на законодательном уровне с 2015 г.
Российским законодательством такая обязанность на оператора не возложена. Вместе с тем она может затронуть российских операторов персональных данных при обработке данных на технических средствах, локализованных в других государствах, а также при обработке данных их граждан. Учитывая установленные размеры штрафных санкций за нарушение требования информирования в вышеуказанных государствах, вызывает удивление спокойствие российских операторов персональных данных в вопросах применимой юрисдикции.
Кроме того, в России в 2015 г. создан Реестр нарушителей прав субъектов персональных данных, что видится первым шагом в направлении ввода обязанности информирования уполномоченного органа. В настоящее время субъектам персональных данных при обнаружении нарушения их прав в сети уполномоченный орган рекомендует сначала обратиться к владельцу сайта или информационной системы с запросом на удаление информации, а в случае отсутствия необходимого результата - в суд. Сведения о нарушителе вносятся в реестр по заявлению субъекта персональных данных на основании вступившего в силу судебного решения.
Значительные сложности в организации безопасности обработки персональных данных свойственны при использовании информационных систем персональных данных, использующих функционал глобальной информационно-телекоммуникационной сети Интернет, что в условиях интеграционных процессов и всеобщей глобализации становится широко распространенной практикой.
Трансграничная передача персональных данных требует проведения менеджмента и контроля за соответствием процессов обработки требованиям законодательства в применимых юрисдикциях. Глобальный характер современной экономики приводит к столкновению российских операторов с обработкой данных в нескольких юрисдикциях и необходимости соотнесения законодательств отдельных государств. Достаточные с позиции российского права механизмы обеспечения безопасности персональных данных для компаний, включенных в их трансграничную передачу, все чаще оказываются влекущими риски юридической ответственности при применимом праве иностранных государств. Мировая практика показывает, что для организаций международная деятельность в аспекте защиты персональных данных представляет сложную задачу.
Только в США действуют акты федерального уровня, дополненные местными законами пятидесяти штатов. Страны Европейского Союза на фоне общей тенденции гармонизации развивают свое национальное законодательство. Правовой режим персональных данных выработан во многих государствах: Аргентине, Армении, Белоруссии, Бразилии, Казахстане, Колумбии, Израиле и других. Порой существенно различается сама парадигма законодательства. Если северо-американское законодательство в целом базируется на принципе - обработка персональных данных допустима во всех случаях, когда это не запрещено и при их охране используется «зонтичный» подход, ориентированный на узконаправленное регулирование, то европейское право опирается на идею недопустимости произвольной обработки.
Кроме того, по странам вариативно понимание персональных данных. Европейское регулирование использует широкий взгляд на персональные данные и понимает под ними любую информацию, относящуюся к известному или идентифицируемому лицу. Аналогичный подход присутствует в российском праве. Законодательство США и ее пятидесяти штатов в большей мере направлено на регулирование обработки «персонально идентифицирующей информации». В разных юрисдикциях различны также подходы к выделению видов персональных данных, требующих особого регулирования. Все перечисленное лишь в самом общем виде описывает организационные и правовые вопросы, возникающие при трансграничной передаче персональных данных.
В условиях глобальной экономики, учитывая особенности архитектуры информационно-коммуникационной сети Интернет, весьма затруднительно избежать трансграничной передачи данных. При этом лишь немногие операторы персональных данных могут уверенно констатировать, что обработка данных осуществляется в пределах одной юрисдикции. Даже операторы, не имеющие международных интересов и связей с зарубежными контрагентами и клиентами, могут направлять через территорию и оборудование других государств свои сообщения и материалы, используя различные сервисы, включая электронную почту.
Май 2018 г. ознаменовался вступлением в силу Регламента ЕС 2016/679, выступающего не только актом прямого действия в пределах Европейского экономического союза, но и распространяющегося на все случаи обработки персональных данных европейских граждан и использования при обработке оборудования, локализованного в Европе. В целях обеспечения адекватного европейскому уровню защиты конфиденциальности персональных данных ЕС и США разработана программа «Щит конфиденциальности», заменившая программу «Безопасная гавань» и позволяющая американским компаниям присоединиться к ней посредством подачи онлайн-заявки на основе добровольного подтверждения соблюдения принципов программы.
Проблемы гармонизации законодательства стоят перед многими государствами, осуществляющими плодотворное всесторонне сотрудничество. Межпарламентской ассамблеей государств - участников СНГ принят Модельных закон «О персональных данных» еще в 1999 г. Сегодня назрела необходимость принятия нового акта. Обсуждение для выработки общих принципов обработки персональных данных ведется на площадках БРИКС и других региональных межгосударственных союзов.
В России трансграничная передача персональных данных осуществляется согласно положений ст. 12 Федерального закона «О персональных данных». Правомерность передачи и способы обеспечения безопасности данных во многом зависят от адекватности обеспечиваемой защиты прав субъектов персональных данных. В аспекте требований европейского права предоставлен выбор механизмов соответствия трансграничной передачи законодательству: (1) согласие субъекта персональных данных; (2) передача данных, обусловленная выполнением положений договора с субъектом персональных данных или закона; (3) передача данных на основе Стандартных договорных условий Европейского Союза. Операторы, организуя трансграничную передачу данных, должны осуществить изучение имеющихся способов обеспечения соответствия своих действий требованиям законодательства в применимых юрисдикциях для минимизации рисков ответственности, что представляется претендует на проведение предварительного всестороннего анализа и сопоставления положений нормативных правовых актов различных государств с последующей выработкой стратегии охраны данных в организации.
Все изложенное свидетельствует, что для российских операторов информационных систем персональных данных сейчас как никогда актуальна разработка комплексной модели защиты персональных данных в аспекте изменений российского и зарубежного законодательства, так как ранее выработанные государственными органами методические рекомендации и базовые модели в современных условиях фактически устарели. Не в полной мере проработанными остаются вопросы обработки персональных данных с применением облачных технологий, передача обработки третьим лицам, взаимосвязь персональных данных и Больших данных (Big Data), обработки персональных данных несовершеннолетних, обработки данных при трансграничной передаче и многие иные. Решение указанных проблем в условиях продолжающейся цифровизации экономики возможно лишь с учетом общей динамики правового регулирования.
Список литературы
трансграничный информационный персональный законодательство
1. Конвенция о защите физических лиц при автоматизированной обработке персональных данных. Заключена в г. Страсбурге 28.01.1981 // Собрание законодательства РФ. 03.02.2014. № 5. Ст. 419.
2. Федеральный закон от 27.07.2006 № 152-ФЗ (в ред. от 31.12.2017) «О персональных данных» // Собрание законодательства РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.
3. Модельный закон «О персональных данных» Принят на четырнадцатом пленарном заседании Межпарламентской ассамблеи государств - участников СНГ (постановление № 14-19 от 16.10.1999) // Официальный сайт Межпарламентской ассамблеи государств - участников СНГ. URL: http://iacis.ru/upload/iblock/c04/096.pdf (дата обращения: 24.08.2018)
4. Регламент № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (Принят в г. Брюсселе 27.04.2016) // Official Journal of the European Union № L 119. 04.05.2016. P. 1. (http://eur-lex.europa.eu/).
5. Волокитина Е.С. Реидентификация персональных данных и методы предотвращения раскрытия информации // Электронные средства и системы управления. - 2010. - № 2. - С. 52-54.
6. Детерманн Л. Путеводитель в правовом регулировании персональных данных Лотара Детерманна. Международный корпоративный комплаенс. - 3-е изд. - М.: Инфортропик Медиа, 2018. - 340 с.
7. Журавлев М.С. Защита персональных данных в телемедицине // Право. Журнал Высшей школы экономики. - 2016. - № 3. - С. 72-84.
Размещено на Allbest.ru
...Подобные документы
Анализ основных нормативно-правовых актов о защите личности в связи с автоматической обработкой персональных данных. Характеристика рисков неисполнения требований законодательства. Обзор классификации типовых информационных систем персональных данных.
презентация [371,3 K], добавлен 21.03.2013Понятие и особенности персональных данных. Обеспечение безопасности персональных данных при их обработке. Особенности ответственности за нарушение законодательства о защите персональных данных. Правовое регулирование и субъект защиты персональных данных.
курсовая работа [40,0 K], добавлен 05.04.2016Проблема безопасности информационных систем персональных данных. Практические аспекты по созданию средств защиты персональных данных в ООО "УК "Жилищная коммунальная инициатива". Ответственность за нарушение требований по защите персональных данных.
курсовая работа [364,9 K], добавлен 25.05.2014Становление законодательства о защите персональных данных работников. Основные виды персональных данных работников. Порядок деятельности работодателя по обработке персональных данных работников. Особенности ответственности за нарушение законодательства.
курсовая работа [90,2 K], добавлен 19.03.2015Оператор и субъект персональных данных. Категории персональных данных, обрабатываемые в ИСПДн, ответственность за нарушения по обработке. Жизненный цикл персональных данных, срок обработки. Классы типовой информационной системы, аттестация и сертификация.
реферат [1,1 M], добавлен 05.04.2012Рассмотрение проблемы государственной защиты персональных данных. Выделение особых категорий персональных данных, принципов и условий их обработки. Особенности контроля и надзора за исполнением данной процедуры согласно Федеральному закону России.
реферат [27,1 K], добавлен 02.12.2010Обработка, хранение и использование персональных данных работника. Права работников в области защиты персональных данных. Дисциплинарная и административная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
курсовая работа [34,5 K], добавлен 19.03.2015Особенности персональных данных. Общедоступные персональные данные. Источники правового регулирования. Развитие информационных технологий. Защита персональных данных при их накоплении, обработке и передаче с использованием средств информатизации.
реферат [28,7 K], добавлен 28.01.2011Понятие правового регулирования персональных данных работников согласно Трудовому кодексу России. Исследование трудовых отношений в сфере защиты персональных данных работника. Особенности работы с конфиденциальными сведениями, соблюдение ответственности.
дипломная работа [111,8 K], добавлен 07.12.2010Понятие персональных данных и их отграничение от другой информации. Работа кадровой службы с персональными данными. Дисциплинарная, административная и уголовная ответственность за нарушение правил работы с информацией. Контроль защиты персональных данных.
курсовая работа [48,1 K], добавлен 21.09.2014Характер отношений, связанных с обращением персональных данных, и особенности их современного нормативно-правового регулирования в Европе. Субъекты информационных правоотношений института персональных данных, основные этапы лицензирования работы с ними.
презентация [132,9 K], добавлен 20.10.2013Информационная среда обитания человека. Формирование и использование электронных баз персональных данных граждан. Систематизированная социально значимая информация может быть использована как на благо, так и во вред людям.
реферат [19,2 K], добавлен 18.09.2006Понятие, обработка, хранение и использование персональных данных работника. Изучение действующего законодательства по данному вопросу. Виды ответственности работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.
контрольная работа [28,9 K], добавлен 10.04.2016Правовые основы личных прав граждан: понятие, защита. Право на жизнь, свободу и личную неприкосновенность. Достоинство личности. Право на тайну частной жизни, защиту персональных данных и доступ к информации, затрагивающей права и свободы человека.
курсовая работа [43,9 K], добавлен 18.07.2016Понятие, сущность и правовая природа персональных данных. Права и обязанности обладателя информации. Базовые нормативные документы по защите конфиденциальной информации. Федеральные нормативные акты по обеспечению защиты информации и персональных данных.
дипломная работа [3,4 M], добавлен 27.08.2016Историко-теоретические основы права на неприкосновенность частной жизни и защиту персональных данных, правовое регулирование данного права. Система конституционных гарантий, проблемы реализации гарантий на самозащиту и судебную защиту данных прав.
курсовая работа [87,6 K], добавлен 11.11.2011Роль информационных технологий и систем в муниципальном управлении. Особенности ИТ, применяемых в МО "г. Воткинск". Интерфейс сетевой структуры. Характеристика и особенности информационно-телекоммуникационных технологий, применяемых в МО "г. Воткинска".
курсовая работа [125,0 K], добавлен 14.01.2015История развития законодательства об ответственность за незаконное лишение свободы. Рассмотрение норм разных отраслей законодательства, регламентирующих права и свободы человека. Судебно-следственная практика по уголовным делам о данных преступлениях.
дипломная работа [59,9 K], добавлен 02.04.2015Хранение и использование персональных данных правоохранительными органами и органами национальной безопасности. Получение данных с использованием методов скрытого наблюдения. Надзор за законностью проведения негласных оперативно-розыскных мероприятий.
контрольная работа [43,5 K], добавлен 07.10.2016Правоохранительная деятельность таможенных органов: информационные, нормативно-правовые аспекты. Анализ процессов таможенного оформления с использованием математического исследования баз данных. Информационно-аналитическая деятельность таможенных органов.
дипломная работа [303,0 K], добавлен 09.04.2011