Конфиденциальность персональных данных. Операторы и иные лица, получившие доступ к
персональным данным, обязаны не раскрывать третьим лицам и не
распространять персональные данные без согласия субъекта персональных
данных, если иное не предусмотрено федеральным законом (ст.7 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных").
Нарушение конфиденциальности персональных данных
потенциально не обратимо (ставшие публичными персональные данные
невозможно снова сделать конфиденциальными), поэтому даже не повлекшее
морального вреда такое нарушение является грубым нарушением норм
Федерального закона "О персональных данных".
Случайное или преднамеренное неправомерное действие физического лица в отношении персональных данных, следствием которых является нарушение безопасности персональных данных при ее обработке техническими средствами в информационных системах персональных данных, вызывающее негативные последствия (ущерб/вред) субъекту персональных данных.
Под безопасностью персональных данных понимается состояние защищенности персональных данных, при котором обеспечены их конфиденциальность, доступность и целостность (п.2.4.5 ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения").
В Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 года, определено, что возможности источников угроз безопасности персональных данных обусловлены совокупностью способов несанкционированного и (или) случайного доступа к персональным данным, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение) персональных данных.
Случайное или преднамеренное неправомерное действие физического лица в отношении персональных данных, следствием которых является нарушение безопасности персональных данных при ее обработке техническими средствами в информационных системах персональных данных, вызывающее негативные последствия (ущерб/вред) субъекту персональных данных.
Под безопасностью персональных данных понимается состояние защищенности персональных данных, при котором обеспечены их конфиденциальность, доступность и целостность (п.2.4.5 ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения").
В Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 года, определено, что возможности источников угроз безопасности персональных данных обусловлены совокупностью способов несанкционированного и (или) случайного доступа к персональным данным, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение) персональных данных.
Угрозы НСД в информационных системах персональных данных с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного, доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение) персональных данных, и включают в себя:
- угрозы доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения);
- угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных;
- угрозы внедрения вредоносных программ (программно-математического воздействия).
При нарушении конфиденциальности персональных данных в информационных системах персональных данных возможны следующие деструктивные действия:
- утечка информации;
- несанкционированное копирование;
- перехват информации в каналах передачи данных;
- разглашение (публикация) защищаемой информации.
Таким образом, с учетом вышеизложенного, под нарушением конфиденциальности персональных данных понимается факт реализации деструктивных действий (копирование, неправомерное распространение).
В законодательстве Российской Федерации предусмотрена ответственность за нарушение конфиденциальности персональных данных:
- неправомерное копирование персональных данных (ч.6 ст.13.11 КоАП РФ, ст.272 УК РФ);
- неправомерное предоставление и распространение персональных данных (ч.6 ст.13.11 КоАП РФ, ст.137 УК РФ);
- разглашение персональных данных работника (п.6 "в" ст.81 ТК РФ) ;
- разглашение персональных данных (ст.13.14 КоАП РФ, п.3 "в" ч.1 ст.37 Федерального закона от 27.07.2004 №79-ФЗ "О государственной гражданской службе Российской Федерации");
- разглашение (публикация) персональных данных в СМИ, а также в информационно-телекоммуникационных сетях (ч.7 ст. 13.15 КоАП РФ, ст.137 УК РФ).