Правовое регулирование защиты персональных данных



В жизни нашего общества появляется все больше возможностей для обмена информацией. Большинство из нас регулярно передает информацию о себе, которая прямо или косвенно идентифицирует и устанавливает нашу личность. В соответствии с положениями действующего законодательства Российской Федерации, эта информация является нашими персональными данными, а ее защита — приоритетной задачей государства.

По данным InfoWatch в 2022 году [6]:

– количество утечек увеличилось более чем вдвое по сравнению с 2021 г. и составило 710;

– записей персональных данных, которое в 4,5 раза превышает население России;

– в среднем на одну утечку информации пришлось на 25 % больше записей ПДн, чем в 2021 году;

– порядка 80 % утечек могли иметь гибридный вектор воздействия;

– доля утечек информации категории «коммерческая тайна» выросла вдвое.;

– значительнее всего количество утечек данных выросло в торговых и производственных компаниях.

Персональные данные, которые были взломаны используются в различных мошеннических схемах — при оформлении кредитов, оплате товаров в Интернете и так далее.

Поэтому, проблема правового регулирования защиты персональных данных особенно актуальна, так как требует обеспечения гарантий неразглашения информации, которая связана с любым видом деятельности человека.

Что же включает в себя понятие «персональные данные»? Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) [3]. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются [1].

Законодатель предусмотрел следующие категории персональных данных, которые подлежат правовой защите [3]:

1. Общедоступные персональные данные — это информация о субъекте персональных данных (фамилия, имя, отчество субъекта, год и место рождения, адрес, сведения о профессии).
2. Специальные персональные данные — это информация о личности человека (национальная принадлежность, политические, религиозные взгляды, состояние здоровья). Такие данные находятся в закрытом доступе и сообщать о них человек не обязан.
3. Персональные данные, обрабатываемые в информационных системах. Такие данные сообщает сам субъект в социальных сетях, на сайтах знакомств, форумах или блогах. Однако их правдивость проверить сложно.
4. Биометрические данные — это физиологические или биологические особенности человека (группа крови, отпечатки пальцев, фотографии). Соответствующие данные становятся таковыми, если их хранение осуществляется с целью идентификации личности.

Правовую защиту личных сведений можно разделить на три разновидности:

1. Нормы, закрепленные в гражданском и трудовом праве, регулирующие отношения между гражданами и государственными служащими, между работниками и работодателем.
2. Перечень правовых и организационных мер, ограничивающих полномочия работодателя и государственных служащих.
3. Гарантии прав физических лиц на безопасность их персональных данных.

Рядом законов Российской Федерации, а именно Конституцией РФ, Трудовым кодекс РФ, Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 14.07.2022 № 98-ФЗ «О коммерческой тайне», от 06.04.2011 N 63-ФЗ «Об электронной подписи» предусмотрены следующие аспекты [1,2,3]:

– неоплачиваемый и открытый доступ физического лица к своим персональным данным, предусматривающий копирование сведений, содержащих персональные данные;

– выбор физического лица или его законного представителя в отношении защиты персональных данных;

– публикации информации об использовании и распространении персональных данных

– требование об исправлении персональных данных, если они признаны неверными;

– обращение в суд, если компания-работодатель или государственное должностное лицо признаны неправомерными в отношении защиты персональных данных.

Тем не менее проблема утечки этих данных остается и, как следствие — не совершенство доказательной базы, а значит — отсутствие возможности получения компенсации за вред (при расчете величины компенсационных выплат суд обращает внимание на [2]:

– виновность злоумышленника;

– ущерб, причиненный в результате утечки персональных данных;

– личные характеристики лица, пострадавшего от мошенничества).

Для регулирования работ с персональными данными предусмотрены следующие виды ответственности за нарушения обработки и защиту персональных данных:

– дисциплинарная;

– административная;

– уголовная;

– гражданско-правовая;

– материальная.

В эпоху цифровизации люди создают конкурентные преимущества, а большой объем данных является источником самых серьезных рисков. Анализ таких данных необходимо мониторить на постоянной основе, а компании и организации должны стремиться предотвратить утечку информации путем [6]:

1. Поиска отклонений от нормы в действиях персонала: как правило, это не типичные действия сотрудников.
2. Технологической защиты:
   1. установка антивирусного программного обеспечения;
   2. использование брандмауэров;
   3. обучение пользователей;
   4. ограничение доступа персонала к базам данных и интернету;
   5. систематическое обновление программного обеспечения.

Несмотря на вышеперечисленные мероприятия по борьбе с утечками персональных данных данная проблема актуальна и прежде всего она связана с недостаточностью информированности и культурой их понимания.

В Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» определены основные требования к защите информации, к ним отнесены [4]:

1. Информация о жизни человека не может собираться и распространяться без его согласия.
2. Все информационные технологии равны.
3. Некоторая информация не может быть ограничена, одной таковых является экологическая информация.
4. Запрещенная информация: пропаганда насилия и нетерпимости.
5. Предотвращать доступ третьих лиц владельцам информации.
6. Уполномоченным структурам вести реестр запрещенных сайтов в нашей стране.

Информация, составляющая коммерческую тайну, базы данных (клиентская база), персональные данные — это та информация, доступ и использование которой должны быть тщательно регламентированы. Использование конфиденциальной информации не по назначению может быть связано как с мошеннической деятельностью сотрудников компаний, организаций, так и вызвано действиями губительного программного обеспечения или внешних злоумышленников.

Таким образом, надежная комплексная защита персональных данных основана на многоуровневой стратегии, и участники соответствующего процесса обязаны придерживаться всех разработанных и закрепленных в законодательстве норм, а также иметь личную, сознательную позицию.

Литература:

1. Конституция Российской Федерации [принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020, включающая новые субъекты Российской Федерации — Донецкая Народная Республика, Луганская Народная Республика, Запорожская область и Херсонская область//Официальный интернет-портал правовой информации (http: www.pravo.gov.ru), 6.10.2022., № 0001202210060013.
2. Гражданский процессуальный кодекс Российской Федерации от 14 ноября 2002 г. N138-ФЗ (ред. от 07.10.2022) // Российская газета от 20 ноября 2002 г. N220.
3. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ: принят Государственной Думой Российской Федерации 8 июля 2006 г.: одобренная Советом Федерации Рос.Федерации 14 июля 2006г.// «Российская газета», № 165, 29.07.2006.
4. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149‑ФЗ: принят Гос. Думой Федер. Собр. Рос. Федерации 8 июл. 2006 г.: одобр. Советом Федерации Федер. Собр. Рос. Федерации 14 июл. 2006 г.// Собрание законодательства Российской Федерации. — 2006. № 31, ч. 1, ст. 2.
5. В. Н. Ясенев Конспект лекций по информационной безопасности [Электронный ресурс] URL: http://www.iee.unn.ru/wp-content/uploads/sites/9/2017/02.
6. Аналитические материалы InfoWatch [Электронный ресурс] URL: https://www.infowatch.ru/company/about.