1. Нарушение целостности и конфиденциальности
персональных данных :
Законодательство Украины и опыт ЕС
Кузьма Брудский, адвокат
Киев, 2012

2. Содержание
● Безопасность персональных данных: «Единый Цифровой Рынок» и
интеграция в ЕС
● Определение рисков
● Технические и организационные меры
● Оповещение уполномоченного органа
● Уведомление субъекта персональных данных
● Документирование нарушения
● Расследование несанкционированного доступа к персональных
данным
2

3. Безопасность персональных данных:
«единый Цифровой Рынок» и интеграция в ЕС
• Одним из наиболее важных условий для вхождения Украины в число
государств-членов содружества и получения экономических и
торговых льгот, является приведение национальной правовой
системы в соответствие с правом ЕС.
• Согласно данным Европейской Комиссии 72% процента граждан ЕС
обеспокоены возможностью злоупотреблений, связанных с
использованием их личных данных, потерей контроля над ними.
Поэтому одним из направлений реформы является более
эффективное обеспечение безопасности персональных данных.
• В связи с будущей европейской реформой в сфере защиты
персональных данных, перед украинскими компаниями,
осуществляющими деятельность в странах содружества, или
обслуживающими европейские компании, неизбежно встанет вопрос
об адекватной защите персональных данных граждан ЕС в Украине, в
соответствии с европейскими стандартами.
3

4. Предпосылки реформы в ЕС
В начале нынешнего года, Европейской комиссией было опубликовано
обращение к Европейскому Парламенту под названием « Охрана
приватности во взаимосвязанном мире – Европейские правила защиты
данных в 21 столетии» (Safeguarding Privacy in a Connected World – A
European Data Protection Framework for the 21st Century” COM(2012).
«Директива Евросоюза от 1995 года, являющаяся основным нормативным
документом о защите персональных данных в Европе, была вехой в истории
защиты данных. Ее задачи, гарантирующие эффективную защиту
фундаментальных прав и свобод человека, все также важны. К сожалению,
она была принята 17 лет назад, когда интернет еще пребывал на ранней
стадии развития. В атмосфере современной, бросающей разнообразные
вызовы, цифровой среды, существующие нормы являются ,скорее,
гармонизирующими, нежели необходимыми для эффективного
гарантирования права на защиту персональных данных. В связи с этим
Европейская Комиссия предлагает фундаментальную реформу
законодательства о защите персональных данных ЕС »
4

5. Общие правила защиты данных
(Gerenal Data Protection Regulation )
● Европейская комиссия, высший орган исполнительной власти Европейского
Союза, 25 января 2012 года подала на рассмотрение Европарламента проект
«О правилах защиты физических лиц при обработке персональных данных и о
свободном перемещении таких данных». (Proposal for a Regulation of the
European Parliament and of the Council on the protection of individuals with regard
to the processing of personal data and on the free movement of such data (General
Data Protection Regulation))
● Предлагаемая реформа заменит ныне действующую директиву 95/46/EC от
1995 года и приведет к унификации европейского законодательства в области
защиты и обработки персональных данных. После принятия документа, он
приобретет статус закона и будет являться обязательным для исполнения на
всей территории ЕС.
● Глава IV этого проекта содержит требования к контролерам и операторам
персональных данных относительно «Безопастности данных» (Раздел 1).*
Данные требования регламентируют деятельность этих двух лиц относительно
обеспечение безопасности обработки персональных, и устанавливают
процедуру, которая должна выполняться, в случае возникновения утечки
5 персональных данных(Раздел 2).

6. Безопасность персональных данных: Определение рисков
• Прежде чем осуществлять технические и организационные меры для
обеспечения защиты персональных данных, контролер и оператор
должны провести оценку рисков (ч. 2 ст. 30).
• Преамбула «Проекта» конкретизирует что «для обеспечения
безопасности и предотвращения обработки данных вразрез этим
Правилам , контролер или оператор должны оценить риски
свойственные обработке данных и осуществить меры для снижения
их вероятности ».
• Нарушение целостности и конфиденциальности персональных
данных: означает нарушение безопасности ведущее к случайному
или противозаконному уничтожению, утрате, изменению,
несанкционированному разглашению или доступу к персональным
данным , переданным, накопленным или же обработанным в связи с
оказанием общедоступных электронных коммуникационных услуг в
Сообществе.
6

7. Оценка рисков нарушения целостности и
конфиденциальности персональных данных
Несмотря на широкий ряд определений и критериев, регулирующие
органы, которые осуществляют мониторинг нарушений целостности и
конфиденциальности персональных данных в странах ЕС, определили
полезный для сведения перечень некоторых типов таких нарушений.
● Утеря IT оборудования – неуместно расположенное или
похищенное оборудование – ноутбук, USB накопитель, и т.п.
● Почтовые отправления – отправка почтой или электронной
почтой, по ошибочному адресу, письма, содержащего персональные
данные.
● Несоответствующее расположение документов – оставление
персональных данных в документах, помещенных в корзину для
мусора, находящуюся в общем доступе.
● Хакерский взлом – умышленные атаки на компьютерные сети
7

8. Оценка рисков наступления событий нарушения
целостности и конфиденциальности персональных данных
● Технический сбой – непредвиденное осложнение в IT системе, в
результате которого данные становятся доступными для посторонних.
● Кража – хищение данных в виде документов, данных накопленных
в электронной форме, и т.п.
● Несанкционированный доступ – извлечение сотрудниками выгоды из
уязвимости для доступа, накапливаемых, в бумажной или
электронной форме, персональных данных клиентов,
● Несанкционированное распространение – распространение
персональных данных по P2P, peer-to-peer (пиринговым) сетям
В странах ЕС, перед уполномоченными органами по защите
персональных данных и контролерами данных, в одинаковой степени
остро, стоит вопрос о определении уровня риска, для каждого вида
нарушения конфиденциальности персональных данных, с целью
избежать диспропорциональных мер реагирования по отношению к
потенциально незначительным нарушениям.
8

9. Оценка рисков нарушения целостности и
конфиденциальности персональных данных
Определение уровня риска может быть, также, основано на
количественных показателях (другими словами, на том сколько людей
было затронуто нарушением конфиденциальности ПД). Или
показателями чувствительности персональных данных (по видам
персональных данных). К примеру, это могут быть:
• Данные о физическом и психическом здоровье субъекта
• Данные, относящиеся к сексуальной жизни субъекта
• Данные, содержащие информацию об обвинении субъекта в
совершении преступления или о присуждении ему уголовного
наказания*
• Данные о политических, идеологически, философских или
религиозных убеждениях субъекта
• Данные, субъектом которых является ребенок
• Данные, содержащие финансовую информацию, касающуюся субъекта
9

10. Оценка рисков нарушения целостности и
конфиденциальности персональных данных
Ч. 1 ст. 7 ЗУ «О защите персональных данных» запрещается ( если не
соблюдены специальные условия обработки таких данных) обработка:
• Данных про расовое и этническое происхождение
• Политические, религиозные и мировоззренческие убеждения
• Членство в политических партиях и профессиональных союзах
•
• Информации об обвинении в совершении преступления или
присуждении уголовного наказания
• Данных относящихся к здоровью и интимной жизни
10

11. Безопасность персональных данных: Определение рисков
• Закон Украины «О защите персональных данных» и Типовой порядок
обработки персональных данных в базах персональных данных ,не
содержат требований к оценке рисков нарушения целостности и
конфиденциальности персональных данных ни перед, ни после
осуществления организационных и технических мер по защите
персональных данных.
• Субъект отношений, связанных с персональными данными, обязан
обеспечить защиту этих данных от незаконной обработки, а также от
незаконного доступа к ним. (ст. 24 ЗУ «О защите персональных
данных»)
11

12. Безопасность персональных данных: Определение рисков
• Контролер и оператор должны, исходя из оценки рисков, принять
меры предусмотренные в параграфе 1 для того чтобы защитить
персональные данные от случайного или противозаконного
уничтожения, или случайной утраты, и предотвратить любые
противозаконные формы обработки, в частности любое
несанкционированное разглашение, распространение или доступ,
либо изменение персональных данных. (ч.2 ст.30 Проекта
Европейской Комиссии «Общие правила защиты (персональных)
данных» )
• Субъект отношений, связанных с персональными данными, обязан
обеспечить защиту этих данных от незаконной обработки, в том
числе от утраты, незаконного или случайного уничтожения, а также
от незаконного доступа к ним. (ст. 24 ЗУ «О защите персональных
данных» с изменениями внесенными ЗУ Украины «О внесении
изменений в Закон Украины «О защите персональных данных»» от
02.10.2012)
• Внесенные 02.10.2012 года изменения в ЗУ «О защите персональных
данных» определили риски безопасности персональных данных в
12
соответствии европейскими стандартами и практиками.

13. Безопасность персональных данных: Определение рисков
• утечка информации – результат действий, вследствие которых
информация в система становится известной или доступной
физическим и/или юридическим лицам, которые не имеют права
доступа к ней.
• несанкционированные действия относительно информации
содержащейся в системе – действия, которые осуществляются с
нарушением порядка доступа к этой информации, установленного в
соответствии с законодательством.
• нарушение целостности информации в системе –
несанкционированные действия относительно информации в системе,
вследствие которой нарушается ее содержание.
• Законодательством Украины не установлен специальный термин для
обозначения рисков определенных ст.24 ЗУ «О защите
персональных данных» (В праве ЕС «Personal data breach»). В связи с
этим, я предлагаю, далее, в качестве общего понятия, использовать
выражение «нарушение целостности и конфиденциальности
персональных данных» как наиболее адекватное составу
13 определѐнных законодательством рисков.

14. Безопасность персональных данных:
Технические и организационные меры
• Директива о защите данных 95/46/EC возлагает на контролера
обязанность «осуществлять соответствующие технические и
организационные мероприятия для защиты персональных данных от
случайного или незаконного уничтожения , случайной утраты,
изменения, несанкционированного раскрытия или доступа»
(ч.1 ст. 17)
• Проект «Общих Правил» расширяет это обязательство также на
«оператора персональных данных» (Ст. 30), указывая, что « при
выборе оператора, контролер должен удостовериться в том, что он
обеспечит «достаточные гарантии для осуществления надлежащих
технических и организационных мер и процедур, способом, в который
обработка будет соответствовать требованиям Правил » (ч. 1 ст. 26)
14

15. Безопасность персональных данных:
Технические и организационные меры
• Меры должны «обеспечивать уровень безопасности соотносимый с
рисками, которые сопровождают обработку, и с природой
персональных данных, которые защищаются, принимая во внимания
нынешнее положение вещей и стоимость их осуществления.»
(ч.1 ст..30)
• В Компетенцию Европейской комиссии входит принятие, в случае
необходимости, нормативно-правовых документов относительно
«критериев и условий для технических и организационных мер» (ч. 3
ст. 30), поэтому в дальнейшем можно ожидать более детального
регламентирования «адекватных технических и организационных
мер» , которые возможно будут опубликованы в конце 2012 года.
15

16. Безопасность персональных данных:
Технические и организационные меры
• В соответствии с ЗУ «О защите персональных данных» и Типовым
порядком обработки персональных данных в базах персональных
данных, защита персональных данных возлагается на владельца базы
персональных данных (ч. 3 ст.24 закона).
• Ч. 2 ст. 24 Закона устанавливает что субъект отношений, связанных с
персональными данными, обязан обеспечить защиту этих данных от
незаконной обработки, в том числе от утраты, незаконного или
случайного уничтожения, а также от незаконного доступа к ним.
• Субъектами отношений, согласно ст. 4 Закона, являются, кроме
владельца, распорядителя и третьего лица, также и субъекты
персональных данных. Таким образом, закон возлагает обязанность на
субъектов персональных данных защищать свои данные
самостоятельно от незаконной обработки, утраты, случайного или
незаконного уничтожения, а также от незаконного доступа к ним.
16

17. Безопасность персональных данных:
Технические и организационные меры
● Ч. 2 ст.5 ЗУ «О защите персональных данных» установлено, что
персональные данные, кроме обезличенных персональных данных, по
режиму доступа являются информацией с ограниченным доступом.
● В соответствии со ст. 8 ЗУ «О защите информации в информационно-
телекоммуникационных системах» информация, которая является
собственностью государства, или информацией с ограниченным
доступом, требование относительно защиты которой установлено
законом, должна обрабатываться в системе с применением
комплексной системы защиты информации с подтвержденным
соответствием. Подтверждение соответствия осуществляется по
результатам государственной экспертизы, в порядке установленном
законодательством.
17

18. Безопасность персональных данных:
Технические и организационные меры
• Закон Украины «О внесении изменений в Закон Украины «О защите
персональных данных»» от 02.10.2012 дополнил ч. 2 ст. 23 и
уполномочил государственный орган по вопросам защиты
персональных данных (ГСЗПД) осуществлять техническое
регулирование в сфере защиты персональных данных,
организовывать и проводить оценку соответствия, разрабатывать в
установленном порядке стандарты, технические регламенты,
технические условия;
• разрабатывать порядок и требования относительно защиты
персональных данных в государственных информационных ресурсах
в информационных, телекоммуникационных и информационно-
телекомуникационных системах;
• осуществлять оценку соответствия комплексных систем защиты
информации, информационных, телекоммуникационных и
информационно-телекомуникационных систем требованиям
относительно защиты персональных данных.
18

19. Безопасность персональных данных:
Технические и организационные меры
• Согласно п. 23 ч. 1 ст. 16 ЗУ «О государственной службе специальной
связи и защиты информации в Украине» на Государственную службу
специальной связи и защиты информации возложена обязанность
осуществлять государственный контроль за состоянием
криптографической и технической защиты информации, которая
является собственностью государства, или другой информации с
ограниченным доступом, требование относительно защиты которой
установлено законом.
• В скором будущем стоит ожидать внесения существенных изменений
в ряд законов и нормативно-правовых актов относительно защиты
информации с ограниченным доступом.
19

20. Безопасность персональных данных:
Технические и организационные меры
• Согласно п. 1.8 Порядка владелец базы персональных данных
определяет, кроме прочего, порядок защиты персональных данных от
незаконной обработки, незаконного доступа (в том числе от утраты,
незаконного или случайного уничтожения )
Важнейшими элементами такого порядка является оповещение,
документирование и расследование инцидентов нарушения
целостности и конфиденциальности персональных данных.
20

21. Оповещение уполномоченного органа
о нарушении целостности и конфиденциальности
персональных данных.
• Требование об уведомлении в случае утечки персональных данных
содержится в ст. 4 Директивы «О приватности и электронных
коммуникациях» 2002/58/EC.
• Нормы этой статьи обязывают поставщика общедоступных услуг
электронной коммуникации уведомлять об утечках персональных
данных свои национальные органы по вопросам защиты
персональных данных, а также субъектов персональных данных, если
нарушение целостности и конфиденциальности персональных данных
может иметь неблагоприятные последствия для данных лиц.
21

22. Оповещение уполномоченного органа о нарушении
целостности и конфиденциальности персональных данных
• » Проект «Общие правила защиты персональных данных» обязывает
всех контроллеров уведомлять соответствующий орган о природе
нарушения целостности и конфиденциальности данных(ч. 3 ст. 31), а
также о их его последствии. На оператора не возложена обязанность
самостоятельно оповещать уполномоченный орган. Но он обязан
«предупредить и проинформировать контролера непосредственно
после выявления несанкционированного доступа к персональным
данным» (ч.2 ст. 31).
• Уведомление контролером уполномоченного органа не должно быть
просто сообщением: в нем должны также содержаться рекомендации
относительно мер, которые могут быть применены для уменьшения
вреда причиненного нарушением целостности и конфиденциальности
(ч. 3 ст.31), и содержаться описание мер, которые приняты или
предлагаются в качестве реагирования на утечку(ч.3 ст.31)
• Контролер данных должен уведомить уполномоченный орган о
несанкционированном доступе к персональным данным не позже чем
через 24 часа после выявления утечки. В случае пропуска этого срока,
22
контролер будет обязан приложить аргументированное объяснение о
причинах просрочки.(ч.1 ст.31)

23. Оповещение уполномоченного органа о нарушении
целостности и конфиденциальности персональных данных.
• Законодательством Украины прямо не установлена обязанность
владельца и распорядителя персональных данных уведомлять о
нарушениях целостности и конфиденциальности персональных
данных уполномоченный орган и субъекта персональных данных .
• Согласно ст. 9 Закона о случаях и/или фактах несанкционированных
действий в системе относительно информации которая является
собственностью государства, или информации с ограниченным
доступом, требование относительно защиты которой установлена
законом, собственник системы сообщает соответствующий
специально уполномоченный орган исполнительной власти по
вопросам организации специальной связи и защиты информации или
подчиненный ему региональный орган.
• Таким образом, юридически, на сегодняшний день, другим органом
государственной власти (помимо ГСЗПД), который осуществляет
контроль за соблюдением законодательства про защиту персональных
данных в рамках своих полномочий (ст. 22 ЗУ «О защите
персональных данных»), является Государственная служба
23
специальной связи и защиты информации Украины.

24. Оповещение уполномоченного органа о нарушении
целостности и конфиденциальности персональных данных.
• На данный момент в разных странах ЕС действуют те или иные
регуляции, уже сейчас воплощающие в жизнь положения Проекта
Европейской Комиссии «Общие правила защиты данных»
• Так, уполномоченный орган по вопросам защиты персональных
данных Ирландии, исходя из положения национального закона о том,
что контролер данных должен обрабатывать доверенную ему
информацию в способ уважающий права субъектов персональных
данных на то, чтобы их персональные данные обрабатывались
«прозрачно», утвердил Кодекс процедур о безопасности целостности
и конфиденциальности персональных данных. (Personal Data Security
Breach Code of Practice, 29 July 2011)
• В частности данный Кодекс устанавливает, что при возникновении
риска относительно персональных данных контролер должен
уведомить уполномоченный орган, а также субъектов персональных
данных которым вследствие этого может быть нанесен вред.
24

25. Оповещение уполномоченного органа о нарушении
целостности и конфиденциальности персональных данных.
Закон Украины «О внесении изменений в Закон Украины «О защите
персональных данных»» от 02.10.2012 дополнил ст. 6 ЗУ «О защите
персональных данных» абзацем, в соответствие с которым,
«Обработка персональных данных осуществляется открыто и
прозрачно с применением средств и в способ, которые отвечают
определенным целям такой обработки».
Это может свидетельствовать о скором появлении в нашей стране
документов, схожих с Ирландским кодексом и Проектом Европейской
Комиссии «Общие правила защиты данных» (в части безопасности
данных).
25

26. Уведомление субъекта персональных данных о
нарушении целостности и конфиденциальности ПД.
● После уведомления уполномоченного органа в сфере защиты
персональных данных о происшествии, контролер также должен
уведомить о нем субъекта персональных данных, если утечка может
привести к негативным последствиям для интересов субъекта
персональных данных. (ч.1 ст.32 Проекта). В частности речь идет об
утечках, которые могут привести к потери идентичности, физической
травме, или нанести вред деловой репутации.
● Субъекты персональных данных имеют право знать о фактах и
обстоятельствах связанных с их персональными данными. Это один
из принципов защиты персональных данных (ст. 8 ЗУ «О защите
персональных данных»). Также они имеею право знать о передаче
данных третьим лицам (п.2 ч.2 ст. 8 Закона).
● Давая согласие на обработку персональных данных субъект ПДн
может внести предостережения (п. 1 ч. 1 ст. 11 Закона), относительно
обязанности владельца персональных данных сообщать о случаях
нарушения целостности и конфиденциальности персональных
данных, а также сообщать информацию про несанкционированный
26
доступ к его данным третьих лиц.

27. Документирование нарушения целостности и
конфиденциальности персональных данных.
● Контролер должен документировать любой несанкционированный
доступ к персональным данным, включая туда только « информацию
необходимую для этой цели».(ч.4 ст.31)
● Владелец базы персональных данных ведет учет: фактов
предоставления и лишения права доступа к персональным данным и
их обработке; попыток и фактов несанкционированных и/или
незаконных действий по обработке персональных данных. (п. 1.10
Порядка)
27

28. Расследование несанкционированного доступа
к персональных данным.
Расследование инцидента позволяет владельцу персональных данных
собирать и анализировать доказательства несанкционированного доступа
к данным, с целью лучшего понимания самого инцидента, а также
увеличения вероятности того, что источник атаки, предпринятой с целью
осуществления несанкционированного доступа к данным, будет
установлен и ответственные за эти действия преступники захвачены.
Мероприятия, относящиеся к расследованию, должны иметь целью
получение ответов на фундаментальные вопросы, относящиеся к
несанкционированному доступу к данным:
● Кто является источником несанкционированного доступа к
персональным данным?
● Когда это случилось?
● Как проходила атака?
● Что произошло, в особенности, к каким именно данным, и к какому
объему данных был осуществлен несанкционированных доступ?
Несанкционированный доступ может быть результатом преступных
28
действий, так что субъект персональных данных может, либо обязан
известить о нем, соответствующие правоохранительные органы.

29. Цwwww.brudsky.kiev.ua
29