Актуальность проблемы обработки персональных данных

В связи с ратификацией в РФ европейской «Конвенции о защите физических лиц при автоматизированной обработке персональных данных» и вступлением в силу ФЗ «О персональных данных» остро встала проблема защищенной обработки персональных данных (ПДн). Причем данная проблема коснулась в той или иной степени каждого и повсеместно – во всех сферах жизни общества от социальных институтов до высших властных структур. Но возникает резонный вопрос – почему именно ПДн, что в них особенного, чтобы выделять их из общего понятия «данные» и обговаривать дополнительные ограничения и условия их обработки.

Для ответа на этот вопрос сначала дадим наиболее общее определение «данные» и сравним его с формальными определениями «персональные данные» европейского и российского законодательства.

Данные – это представление информации в формализованном виде, пригодном для передачи и обработки в некотором информационном процессе.

Персональные данные в российском законодательстве – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу («субъекту персональных данных»), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [1].

В европейском законодательстве персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица («субъекта данных») [2].
Таким образом, можно сделать вывод, что ключевым моментом данного понятия является принадлежность этого типа данных к конкретному человеку, что в свою очередь кардинальным образом влияет на процесс обработки таких данных.

Под обработкой персональных данных согласно российскому законодательству понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных [1].

По европейскому законодательству автоматическая (автоматизированная) обработка ПДн включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение [2].

Для обычных данных и ПДн процесс обработки в узком смысле идентичен, но в области персональных данных определение «обработка данных» становится более многозначным и комплексным. Так, например, обработка ПДн на этапе сбора информации отличается от сбора обычных данных тем, что в ней активно участвует субъект ПДн – он лично, или через третьих лиц, но с его разрешения, предоставляет свои данные. Этап уточнения и изменения данных также как и сбор происходит при участии субъекта ПДн. Право на распространение и передачу данных третьим лицам обрабатывающей стороной появляется только с разрешения субъекта ПДн.

Таким образом, статус ПДн в информационной системе отличен от обычных данных, это не просто зафиксированная информация общего типа, это личные данные, определяемые и неразрывно связанные с субъектом (т.е. человеком) и динамически изменяемые.

Так и принципы обработки и защиты таких данных не могут быть определены и формализованы как для обычных данных, и законодательно-нормативный приоритет защиты должен быть сделан не столько на защиту самих данных, сколько на защиту прав самого субъекта ПДн.

Персональные данные являются лишь набором сведений о человеке, и от набора этих данных зависит ключевой момент использования ПДн – возможность идентификации субъекта по его персональным данным. Вопрос идентификации человека по определенному набору его данных в законе о ПДн отражен в принципе категори-рования набора ПДн.

От категории зависит и степень конфиденциальности персональных данных: от максимальной – первой до минимальной – четвертой [3]. От категории и объема персональных данных также зависит класс автоматизированной системы обработки ПДн, который определяет требования к ее защищенности.

Список используемых источников:

1.    Российская Федерация. Законы. О персональных данных : федеральный закон №152-ФЗ : [принят Государственной Думой 08.07.06 г.].
2.    Конвенция. О защите физических лиц при автоматизированной обработке персональных данных [принята Советом Европы 28.01.1981 г.].
3.    Российская Федерация. Об утверждении Порядка проведения классификации информационных систем персональных данных : приказ ФСТЭК России, ФСБ России, Мининформсвязи России №55/86/20 от 13.02.08 г.