ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ Дисциплина «Защита персональных данных» для студентов специальности Информационные системы и технологии Лекция 1 ОСНОВЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИЙСКОЙ ФЕДЕРАЦИИ Учебные вопросы: 1. Основы законодательства Российской Федерации в области защиты персональных данных. 2. Категории персональных данных 3. Права субъекта персональных данных 4. Обязанности оператора персональных данных Лекция 1 ОСНОВЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИЙСКОЙ ФЕДЕРАЦИИ Учебные вопросы: 1. Основы законодательства Российской Федерации в области защиты персональных данных. 2. Категории персональных данных 3. Права субъекта персональных данных 4. Обязанности оператора персональных данных
Список литературы 1.Галатенко В.А. Основы информационной безопасности M: Интернет- университет информационных технологий - ИНТУИТ.ру, ГОСТ Р Защита информации. Основные термины и определения 3.Рекомендации по стандартизации Р – 2005 Техническая защита информации. Основные термины и определения 4.Федеральный закон РФ от ФЗ Об информации, информационных технологиях и о защите информации" 5.Федеральный закон от О персональных данных 6.Приказ ФСТЭК России, ФСБ Росссии и Министерства информационных технологий и связи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 года N 55/86/20 7.Защита персональных данных. Информационный бюллетень Jet Info - 5/ Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 9.Конвенция О защите физических лиц при автоматизированной обработке ПД от 28 января 1981 года. 10.Приказ ФСТЭК 58 Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных от 5 февраля 2010 года. 11. Приказ ФСТЭК России от 5 февраля 2010 г. 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». Список литературы 1.Галатенко В.А. Основы информационной безопасности M: Интернет- университет информационных технологий - ИНТУИТ.ру, ГОСТ Р Защита информации. Основные термины и определения 3.Рекомендации по стандартизации Р – 2005 Техническая защита информации. Основные термины и определения 4.Федеральный закон РФ от ФЗ Об информации, информационных технологиях и о защите информации" 5.Федеральный закон от О персональных данных 6.Приказ ФСТЭК России, ФСБ Росссии и Министерства информационных технологий и связи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 года N 55/86/20 7.Защита персональных данных. Информационный бюллетень Jet Info - 5/ Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 9.Конвенция О защите физических лиц при автоматизированной обработке ПД от 28 января 1981 года. 10.Приказ ФСТЭК 58 Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных от 5 февраля 2010 года. 11. Приказ ФСТЭК России от 5 февраля 2010 г. 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
1. Основы законодательства Российской Федерации в области защиты персональных данных. Законодательство Российской Федерации в области защиты персональных данных основывается на Конституции РФ, международных договорах Российской Федерации, Федеральном законе РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Федеральном законе от ФЗ "Об информации, информационных технологиях и о защите информации" и других определяющих случаи и особенности обработки персональных данных федеральных законов. Целью российского законодательства в области защиты персональных данных является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами. 1. Основы законодательства Российской Федерации в области защиты персональных данных. Законодательство Российской Федерации в области защиты персональных данных основывается на Конституции РФ, международных договорах Российской Федерации, Федеральном законе РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Федеральном законе от ФЗ "Об информации, информационных технологиях и о защите информации" и других определяющих случаи и особенности обработки персональных данных федеральных законов. Целью российского законодательства в области защиты персональных данных является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
Основополагающим законом в области защиты персональных данных является Федеральный закон "О персональных данных" 152, который был принят Государственной думой 8 июля 2006 года и вступил в силу с 26 января 2007 года. Закон определяет: основные понятия, связанные с обработкой персональных данных; принципы и условия обработки персональных данных; обязанности оператора персональных данных; права субъекта персональных данных; виды ответственности за нарушение требований ФЗ-152; государственные органы, осуществляющие контроль за соблюдением требований ФЗ-152. Основополагающим законом в области защиты персональных данных является Федеральный закон "О персональных данных" 152, который был принят Государственной думой 8 июля 2006 года и вступил в силу с 26 января 2007 года. Закон определяет: основные понятия, связанные с обработкой персональных данных; принципы и условия обработки персональных данных; обязанности оператора персональных данных; права субъекта персональных данных; виды ответственности за нарушение требований ФЗ-152; государственные органы, осуществляющие контроль за соблюдением требований ФЗ-152.
Персональные данные - любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПД). Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Персональные данные - любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПД). Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Информационная система персональных данных (далее ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных данных" установлены три регулятора: Роскомнадзор (защита прав субъектов персональных данных), ФСБ (требования в области криптографии), ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам). Информационная система персональных данных (далее ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных данных" установлены три регулятора: Роскомнадзор (защита прав субъектов персональных данных), ФСБ (требования в области криптографии), ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).
2. Категории персональных данных ФЗ "О персональных данных" выделяет следующие категории персональных данных. Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Специальные категории ПД - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. 2. Категории персональных данных ФЗ "О персональных данных" выделяет следующие категории персональных данных. Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Специальные категории ПД - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных, которые обрабатываются в ИСПД: Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1. Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПД. Категория 4 – обезличенные и (или) общедоступные персональные данные. Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных, которые обрабатываются в ИСПД: Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1. Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПД. Категория 4 – обезличенные и (или) общедоступные персональные данные.
Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим. Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим.
3. Права субъекта персональных данных Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-152. Право субъекта персональных данных на доступ к своим персональным данным. Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. 3. Права субъекта персональных данных Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-152. Право субъекта персональных данных на доступ к своим персональным данным. Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4. Обязанности оператора персональных данных Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-152: 1.Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий". 2.Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. 3.При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). 4.Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных. 5.Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. 4. Обязанности оператора персональных данных Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-152: 1.Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий". 2.Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. 3.При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). 4.Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных. 5.Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа.
Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем: обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства; оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае; Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем: обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства; оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи; обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД; осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности [7].7 обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи; обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД; осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности [7].7