Риски в работе с данными

Материал из CDTOwiki
Перейти к: навигация, поиск
Обратная связь, которая поможет нам сделать CDTOwiki лучше.

riski22.png Риски в работе с данными 0 Данные и их применение Начальная Полезно Менеджмент Да Модели (раздел) Цифровая экономика (раздел) Фрагменты моделей (раздел) Межотраслевое (раздел) Управленческие технологии (раздел) Процессы и проекты (раздел) 4 Риски в работе с данными

Риски в работе с данными
Сегмент
МенеджментМенеджмент
Рекомендовано
ПолезноПолезно
Сложность
НачальнаяНачальная
Направление исследований

Да

 
Ценность данных в современном мире чрезвычайно велика. При работе с данными необходимо исключить риски кражи, потери, утечки данных. Опишем основные риски при работе с данными и правила, которыми нужно руководствоваться для поддержания высокого уровня информационной безопасности.

Этика данных

В эпоху широкого доступа к большим объемам данных, в том числе персональных данных, актуальным становится вопрос этичности доступа к определенного вида данным, использования их в тех или иных областях знаний, технологиях. Кратко опишем часто возникающие этические вопросы:

  1. Сбор, хранение и обработка персональных данных. Какой глубины данные можно собирать, где и как использовать?
  2. Личная и общественная безопасность. Можно ли следить за действиями граждан ради обеспечения их безопасности?
  3. Можно ли ограничивать доступ человека к информации как способ наказания за нарушение каких-либо обязанностей?
  4. Отношения человека и робота. Психология привязанности к роботам.
  5. Ответственность систем искусственного интеллекта. Кто понесет наказание при наличии ошибок в ходе решения задачи с помощью ИИ?
  6. Использование больших данных для создания биологического и геномного оружия.
  7. Решение этических вопросов в процессе составления моделей машинного обучения.
  8. Например, проблемы, чья жизнь ценнее для беспилотного автомобиля: водителя или других участников дорожного движения?

При работе с технологиями важно знать, как решаются эти и другие этические вопросы, чтобы прогнозировать поведение систем искусственного интеллекта, свое собственное поведение при работе с информационными технологиями.

Помимо вопросов этики, не менее актуальным является правовой аспект работы с персональными данными. Давайте разберемся, что считается персональными данными, какие нормативные акты регулируют вопросы сбора, хранения и обработки персональных данных.

Что такое персональные данные?

Чтобы оставаться в рамках требований законодательства, необходимо, прежде всего, выделить персональные данные из общего массива обрабатываемых данных. В сфере государственного или муниципального управления традиционно используются персональные данные, выделение которых не представляет особых проблем:

  • данные, содержащиеся в документах, удостоверяющих личность;
  • данные, содержащиеся в документах регистрации актов гражданского состояния;
  • сведения об образовании и карьере;
  • сведения о привлечении к уголовной или административной ответственности;
  • номера СНИЛС, ИНН, полиса ОМС;
  • контактные данные.

Это примерный список, он не является исчерпывающим.

Перечень обрабатываемых персональных данных в каждом конкретном случае будет зависеть от целей управленческого процесса или проекта.

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).

Одно из самых распространенных заблуждений в сфере персональных данных состоит в том, что к «персональным» относятся только те данные, которые позволяют установить личность. Однако, это не так. На сегодняшний день с учетом развития информационных технологий критерием для отнесения информации к персональным данным является контекст использования: если данные используются (или в принципе могут быть использованы) для контакта с субъектом, анализа его поведения, влияния на него и т.д. – этого достаточно для того, чтобы считать данные «персональными», даже если личность субъекта при этом не устанавливается. Это необходимо учитывать при определении круга обрабатываемых персональных данных.

П. 3) ст. 3 Федерального закона «О персональных данных» содержит перечень действий (операций), из которых может состоять обработка персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Этот перечень не является исчерпывающим. Обработкой персональных данных считается любое действие (операция), которое совершается с персональными данными, даже если оно и не упомянуто в законе. Важно учитывать, что обработка может состоять не только из комплекса различных действий (операций), а также всего из одного такого действия (операции). Например, хранение персональных данных само по себе уже является обработкой и должно иметь под собой правовое основание.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными

Чем регулируется обработка персональных данных?

  1. Основные обязательные требования к обработке персональных данных.
  2. НПА, регламентирующие деятельность государственных и муниципальных органов по обработке персональных данных.
    1. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ;
    2. Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ;
    3. Трудовой кодекс РФ (Глава 14 «Защита персональных данных работника»)
    4. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    5. Постановление Правительства РФ от 15.09.20108 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  3. Меры ответственности за нарушения в области обработки персональных данных содержатся в Кодексе РФ об административных правонарушениях.
    1. Федеральный закон «О государственной гражданской службе РФ» от 27.07.2004 № 79-ФЗ (Глава «Персональные данные гражданского служащего. Кадровая служба государственного органа»);
    2. Федеральный закон «О системе государственной службы РФ» от 27.05.2003 № 58-ФЗ (ст. 14);
    3. Федеральный закон «О муниципальной службе РФ» от 02.03.2007 № 25-ФЗ (ст. 29);
    4. Указ Президента РФ «Об утверждении Положения о персональных данных государственного гражданского служащего РФ и ведении его личного дела» от 30.05.2005 № 609;
    5. Постановление Правительства РФ «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» от 21.03.2012 № 211;
    6. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций «Об утверждении требований и методов по обезличиванию персональных данных» от 05.09.2013 № 996.

Кто отвечает за обработку персональных данных?

Ответственность за обработку персональных данных несет оператор. Ключевой признак оператора – возможность определять цели, способы и пределы обработки персональных данных. Оператор – это всегда юридическое целое. Оператором в отношении персональных данных, обрабатываемых структурным подразделением, всегда является организация (государственный или муниципальный орган) в целом. Процесс обработки персональных данных может быть организован таким образом, что в нем будут участвовать несколько операторов или оператор и его подрядчик/подрядчики. В этом случае важно корректно оформить отношения «оператор-оператор» или «оператор-подрядчик», чтобы передача персональных данных от одной организации к другой была законной.

Оператор вправе на основе договора (государственного или муниципального контракта) и с согласия субъекта персональных данных поручить всю обработку или отдельные действия по обработке персональных данных подрядчику. В этом случае оператор отвечает за действия подрядчика как за свои собственные, а соответствующий договор (государственный или муниципальный контракт) должен содержать поручение оператора. Этот аспект необходимо учитывать при организации закупок для государственных или муниципальных нужд.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Условия законности обработки персональных данных

Ключевое условие законности обработки персональных данных – наличие у оператора одного из правовых оснований, предусмотренных ч. 1 ст. 6 Федерального закона «О персональных данных». Вопреки широко распространенному убеждению, согласие субъекта персональных данных, не является единственным основанием, которое дает право на обработку. Ч. 1 ст. 6 Федерального закона «О персональных данных» содержит перечень условий, при которых обработка персональных данных будет законной и без согласия субъекта. В частности, согласие не нужно, если обработка ведется для выполнения обязанностей, возложенных на оператора законодательством, или для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Оператор вправе не ограничиваться исключительно сбором согласий субъектов, и выбрать любое подходящее законное основание для обработки персональных данных. Важно, чтобы оно в принципе было, поскольку обработка персональных данных в отсутствие законных оснований влечет ответственность по ч. 1 ст. 13.11 КоАП РФ.

Тем не менее, в некоторых случаях для обработки персональных данных необходимо именно согласие субъекта, причем соответствующее специальным требованиям ч. 4 ст. 9 Федерального закона «О персональных данных». Такое согласие называется «согласием в письменной форме», оно необходимо при обработке биометрических персональных данных и персональных данных специальных категорий, для получения персональных данных работников (а также государственных и муниципальных служащих) от третьих лиц или передачи третьим лицам, для включения сведений о человеке в общедоступные источники персональных данных и еще в некоторых, установленных законом, случаях.

При сборе персональных данных, в том числе через Интернет, оператор обязан обеспечить запись, систематизацию и первоначальную обработку персональных данных граждан РФ с помощью баз данных, находящихся на территории РФ – это так называемое требование о «локализации баз данных». Согласно разъяснениям Минкомсвязи РФ, речь в данном случае идет только о «первичной базе данных», в которой персональные данные собираются и актуализируются. Затем из «первичной базы» данные могут быть переданы во «вторичные» базы за пределами России. Таким образом, «локализация» подразумевает только наличие на российской территории «первичной базы данных». В декабре 2019 г была введена ответственность за невыполнение обязанности по локализации (ч.8, ч.9 ст. 13.11 КоАП РФ): за первое нарушение юридическому лицу грозит штраф от 1 до 6 млн. рублей; за повторное – от 6 до 18 млн. рублей.

Оператор также обязан опубликовать Политику обработки персональных данных. Этот документ содержит общие сведения о персональных данных, категориях субъектов, действиях с данными, способах защиты данных и т.д. Обычно Политика публикуется на официальном сайте оператора.

Права субъекта персональных данных

Субъекту принадлежит право решать, передавать ли свои данные оператору. Субъект дает согласие на обработку персональных данных – в тех случаях, когда оно необходимо. Субъект наделен рядом прав по контролю за обработкой его персональных данных:

  • право получать информацию об обработке персональных данных;
  • право требовать уточнения, блокирования или уничтожения персональных данных
  • право на отзыв согласия на обработку персональных данных;
  • право на обращение в Роскомнадзор;
  • право на судебную защиту.

Оператор обязан по требованию субъекта предоставить информацию об обработке его персональных данных, уточнить, блокировать или уничтожить данные, либо направить субъекту обоснованный отказ.

Персональные данные описывают субъекта персональных данных – физическое лицо, которое «стоит» за данными, продуцирует их. Без субъекта соответствующие персональные данные не возникнут.

Выводы

  • При работе с данными необходимо следить за их безопасностью, не допускать их утраты, утечки. Безопасность данных обеспечивается высоким уровнем компетенций специалиста, соблюдением цифровой гигиены, грамотной архитектуре ИТ в организации.
  • При работе с данными актуализируются вопросы этики: распространение персональных данных граждан, ответственность ИИ за решение нетривиальных задач и др. Эти вопросы остаются дискуссионными.
  • При реализации проектов в области государственного или муниципального управления, включающих в себя обработку персональных данных, необходимо уже на стадии разработки предусмотреть меры по выполнению требований федерального законодательства и соблюдению прав субъектов персональных данных.
Дата последней редакции 30 мая 20202020/05/30