Персональні дані — особлива категорія інформації з обмеженим доступом, правовий режим якої встановлений Законом України «Про захист персональних даних» від 01.06.2010 № 2297-VI та зміна 2024 року — Закон № 3637-IX, що зближує українське регулювання з європейським GDPR.
Поняття персональних даних
Згідно зі статтею 2 Закону, персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Це визначення дзеркалить визначення з GDPR (Regulation (EU) 2016/679, ст. 4): персональні дані — будь-яка інформація, що стосується ідентифікованої або ідентифіковуваної фізичної особи.
Класифікація персональних даних:
- Загальні — ПІБ, дата народження, контактні дані, паспортні дані.
- Особливо вразливі (sensitive) — расове чи етнічне походження, політичні погляди, релігійні переконання, членство в профспілках, біометричні дані, дані про здоров’я, статеве життя, кримінальні судимості.
- Біометричні — дані, що отримані шляхом специфічної технічної обробки і дозволяють унікально ідентифікувати фізичну особу (відбитки пальців, малюнок сітківки ока, голос).
Загальні вимоги до обробки
Закон встановлює сім основних принципів обробки персональних даних:
- Законність — обробка лише на одній з визначених законом підстав (згода, виконання договору, законний інтерес, тощо).
- Цілеспрямованість — конкретна, явна, законна мета.
- Адекватність — обсяг даних відповідає визначеній меті.
- Точність — дані актуальні і за потреби оновлюються.
- Зберігання обмежене у часі — дані не зберігаються довше, ніж необхідно для досягнення мети.
- Цілісність і конфіденційність — захист від несанкціонованого або незаконного доступу, втрати, знищення, пошкодження.
- Підзвітність — володілець несе відповідальність за дотримання всіх принципів.
Технічні вимоги до баз персональних даних
Базою персональних даних є іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек. Технічні вимоги до захисту таких баз визначаються нормативними документами системи технічного захисту інформації (НД ТЗІ).
Базові технічні вимоги включають:
- розмежування доступу — кожен користувач має доступ лише до того обсягу даних, який необхідний для виконання його обов’язків;
- автентифікація — підтвердження особи користувача перед наданням доступу;
- журналювання — облік усіх дій, що виконуються з персональними даними (читання, зміна, видалення, експорт);
- шифрування — для каналу передачі та для зберігання чутливих даних у базі;
- резервне копіювання — з можливістю відновлення.
Державний контроль
Уповноваженим органом з контролю за обробкою персональних даних в Україні є Уповноважений Верховної Ради України з прав людини (омбудсман). До його повноважень належить розгляд скарг, проведення перевірок, накладення штрафів за порушення законодавства.
Європейський підхід — GDPR — встановлює штрафи до 20 млн євро або 4% річного світового обороту (вища з сум). Українські штрафи поки що значно менші, однак для української організації, що обробляє дані резидентів ЄС, повинна враховуватись й європейська санкція.
Інженерний приклад вітчизняної реалізації
Прикладом вітчизняного інженерного рішення, що відповідає описаним вимогам, є платформа UnityBaseDefense розробки ТОВ «Софтлайн ІТ». Платформа має експертний висновок Адміністрації Державної служби спеціального зв’язку та захисту інформації України з рівнем гарантій Г-3 згідно з НД ТЗІ 2.5-004-99 — у міжнародному вимірі це відповідає EAL 4 за стандартом ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation).
Подивитися технічну специфікацію платформи та архітектурні рішення можна у розділі «Архітектура».