середу, 4 січня 2012 р.

Унификация защиты Персональных Данных: Классификация

Рано или поздно Базы персональных данных нужно будет не только регистрировать, но и защищать, а учитывая «вселенский охват», ой как помогли бы типовые рекомендации...

Несколько месяцев, на сайте Державної служби України з питань захисту персональних даних  был размещен Проект «РЕКОМЕНДАЦІЇ щодо забезпечення захисту персональних даних у базах персональнихданих від незаконної обробки, а також від незаконного доступу до них».

В Приложении А к данному документу изложено видение авторов возможной классификации рисков, которые могут возникать в процессе обработки ПД. Такой подход адресован дать возможность разработать унифицированные рекомендации по защите Баз ПД, отталкиваясь от класса риска.

Прочитав несколько раз предложенную классификацию, поймал себя на мысли, что я с ней не согласен. И так по порядку …

Обработку персональных данных, которые находятся в свободном доступе, предлагается рассматривать, как такую, что не содержит рисков для субъекта ПД (Класс риска 0: риск отсутствует) и как следствие никаких специальных мероприятий по безопасности не предлагается.

Не могу согласиться с тем, что риски отсутствуют, следовательно, нет нужды рекомендовать специальные меры по обеспечению безопасности:
При сборе данных из открытых источников Закон лишает право Субьекта получить уведомление (п 3 ст 12), но остальные права Субьекта сохраняются. Среди которых, например
a. получить по требованию состав собранных ПД и источники откуда они были собраны (п 4 ст 12)
b. при обработке должна обеспечиваться целостность ПД
c. на защиту ПД от случайной утраты, уничтожения, распространения в недостоверном виде и многое другое (ст 8).

Аналогично правам Субьекта, «источник происхождения» не снимает предусмотренные Законом обязательства с Владельца (кроме уже упомянутой отсылки уведомления).

И если Владелец не буде заботиться о защите, то в случае инцидентов Субьект не сможет реализовать свои права, а Владелец может быть обвинен в различных плохих вещах вплоть до Статьи 182 ККУ (Например, он потеряет Самую главную Базу ПД и его обвинят  «в незаконной обработке данных…»)

Далее документ рассматривает  ситуации, которым можно присвоить Класс риска 1: незначительный уровень риска. Данным классом предлагается руководствоваться, например «в бухгалтериях и кадрах небольших организаций», здесь возникает нестыковка: кадровый учет без учета «больничных листов» - не реален, а «больничные листы» сразу перемещают нас в следующий класс риска: Класс риска 2: средний уровень риска


Класс риска 3: высокий риск. Здесь у меня возник только один вопрос, зачем разделять их на два подкласса? Даже если предположить, что те или другие ПД имеют различные требования к защите разных свойств (например, в одном случае нужно больше уделить внимание Конфиденциальности, а во втором Целостности), то на  самом, то деле такие требования диктуются (бизнес-)процессами где используются ПД, а не ЗУ «Про захист персональних даних».


Риск-ориентированный подход при выборе методов и средств защиты сегодня очень популярен, но при использовании его в контексте Закона немного нечеток.

Главная задача Закона – защита прав и свобод Человека (Субъекта ПД). Следовательно, главным «оценщиком» и «обработчиком» риска должен выступать Субъект, но если он не воспользовался правом «оговорки-предупреждения» предусмотренным п 1 ст 11, то приходится только догадываться, что ценно именно Субъекту.

Нарушения при обработке ПД помимо Субъекта так же несут угрозу Владельцам Баз ПД. При этом законодатель, формулируя наказание за не надлежащую защиту и в Статье 188-39 КУпАП, и в Статье 182 ККУ, не дифференцирует персональные данные ни по составу, ни по происхождению, ни по объему, ни по контексту целей обработки. Следовательно, Владелец должен одинаково хорошо защищать все ПД, которые он обрабатывает.

Принимая во внимание выше изложенное, стремясь максимально унифицировать процедуры защиты, я бы предложил следующую классификацию рисков связанных с обработкой ПД:

Класс риска 0: риск отсутствует – только для обезличенных персональных данных
Класс риска 1: средний риск – для персональных данных, к которым не установлен специальный режим обработки ни со стороны Субъекта ПД, ни со стороны законодательства Украины.
Класс риска 2: высокий риск – для персональных данных, к которым установлен специальный режим обработки  со стороны Субъекта ПД и/или в законодательном порядке.

Продолжение следует…

Немає коментарів:

Дописати коментар