Ноябрь 28, 2022

Требования к защите персональных данных в Узбекистане

1. Введение

2. Законодательная база

3. Общий обзор

4. Угрозы безопасности персональных данных при их обработке

5. Уровни защищенности персональных данных и требования каждого уровня

6. Требования к хранению биометрических и генетических данных на материальных носителях

7. Требования к технологиям хранения биометрических и генетических данных вне баз персональных данных

  1. Введение

Недавно правительство Узбекистана приняло два новых нормативно-правовых акта в области защиты персональных данных, которые вступают в силу 7 января 2023 года. Новые нормативные документы устанавливают новые требования, касающиеся уровней защиты персональных данных при их обработке, хранения биометрических и генетических данных на материальных носителях, хранения биометрических и генетических данных вне баз персональных данных.

  1. Законодательная база

Закон Республики Узбекистан от 02.07.2019 г. №ЗРУ-547 «О персональных данных» (далее «Закон о персональных данных»);

Постановление Кабинета Министров Республики Узбекистан от 05.10.2022 г. № 570 «Об утверждении некоторых нормативно-правовых актов в области обработки персональных данных» (далее «Постановление»).

  1. Общий обзор

В соответствии со ст. 7 Закона о персональных данных, правительство Республики Узбекистан уполномочено устанавливать:

  • уровни защищенности персональных данных при их обработке в зависимости от угроз безопасности;
  • требования по обеспечению защиты персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
  • требования к материальным носителям биометрических и генетических данных и технологиям хранения таких данных вне баз персональных данных.

Во исполнение вышеуказанных полномочий правительство приняло Постановление, в соответствии с которым утверждены два Положения:

  1. Положение об определении уровней защищенности персональных данных при их обработке (далее «Положение №1»);
  2. Положение о требованиях к материальным носителям биометрических и генетических данных и технологиям хранения таких данных вне баз персональных данных (далее «Положение №2»).

При этом следует отметить, что расходы, возникающие в связи с выполнением требований, предусмотренных в Положениях, осуществляются за счет собственных средств организаций, осуществляющих обработку персональных данных.

  1. Угрозы безопасности персональных данных при их обработке

Согласно Положению № 1, существуют четыре вида персональных данных, которые обрабатываются в базах данных: (1) специальные, (2) биометрические, (3) генетические и (4) общедоступные данные. При обработке персональных данных собственник и (или) оператор обязаны осуществлять организационные и технические меры по защите персональных данных исходя из угроз их безопасности. Персональные данные работников собственника (оператора) и персональные данные субъектов, не являющихся работниками собственника (оператора), должны обрабатываться в отдельных базах данных.

Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих риск несанкционированного, в том числе случайного, доступа к базам данных, результатом которого может стать изменение, дополнение, использование, представление, распространение, передача, обезличивание, уничтожение, копирование персональных данных, а также иные неправомерные действия. В соответствии с Положением № 1 существует 3 типа угроз:

угрозами 1-го типа являются угрозы, связанные с наличием недекларированных возможностей в системном программном обеспечении базы персональных данных;

угрозами 2-го типа являются угрозы, связанные с наличием недекларированных возможностей в прикладном программном обеспечении базы персональных данных;

угрозами 3-го типа являются угрозы, связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении базы персональных данных.

Прикладное программное обеспечение — это набор программ, предназначенных для выполнения определенного класса задач в конкретной предметной области. Access и Oracle — два примера прикладного программного обеспечения, которые упоминаются в Положении № 1. Системное программное обеспечение — это набор программ, обеспечивающих работу компьютера и компьютерных сетей. К системному программному обеспечению относятся операционные системы, драйверы, утилиты, архиваторы и т.д.

  1. Уровни защищенности персональных данных и требования каждого уровня

Исходя из вышеупомянутых угроз, при обработке персональных данных должен быть установлен один из четырех уровней защищенности. Каждый уровень защищенности имеет определенные требования, которые должны быть выполнены собственником и (или) оператором.

Уровень защищенности

 Условия для каждого уровня

(каждый уровень защищенности требуется при наличии хотя бы одного из условий)

Требования

(для обеспечения каждого уровня защищенности должны быть выполнены следующие требования)
4-й уровень защищенности (1)   при наличии угроз 3-го типа для баз данных и обработке общедоступных данных в базе данных. (a)    организация режима обеспечения безопасности помещений, в которых размещены базы данных, препятствие возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

(b)   обеспечение безопасности материальных носителей персональных данных;

(c)    утверждение руководителем собственника и (или) оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в базах данных, необходим для выполнения ими служебных (трудовых) обязанностей;

(d)   использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства в области безопасности информации, в случае, когда применение таких средств необходимо для защиты персональных данных от актуальных угроз.
3-й уровень защищенности (1)   при наличии угроз 2-го типа для баз данных и обработке общедоступных данных работников собственника и (или) оператора или общедоступных данных менее чем 50 000 субъектов, не являющихся работниками собственника и (или) оператора;

(2)   при наличии угроз 3-го типа для баз данных и обработке специальных данных работников собственника и (или) оператора и (или) специальных данных менее чем 50 000 субъектов, не являющихся работниками собственника и (или) оператора;

(3)   при наличии угроз 3-го типа для баз данных и обработке биометрических и (или) генетических данных.

 (a)    выполнение требований, предусмотренных 4-го уровня защищенности;

(b)   назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в базах данных.
2-й уровень защищенности (1)   при наличии угроз 1-го типа для баз данных и обработке общедоступных персональных данных в базах данных;

(2)   при наличии угроз 2-го типа для баз данных и обработке специальных данных работников собственника и (или) оператора или специальных данных менее чем 50 000 субъектов, не являющихся работниками собственника и (или) оператора;

(3)   при наличии угроз 2-го типа для баз данных и обработке биометрических и (или) генетических данных в базах данных;

(4)   при наличии угроз 2-го типа для баз данных и обработке общедоступных данных более чем 50 000 субъектов, не являющихся сотрудниками собственника и (или) оператора, в базах данных;

(5)   при наличии угроз 3-го типа для баз данных и обработке специальных данных более чем 50 000 субъектов, не являющихся сотрудниками собственника и (или) оператора, в базах данных.

 (a)    выполнение требований, предусмотренных 3-го уровня защищенности;

(b)   предоставление доступа к электронному журналу сообщений исключительно для должностных лиц (работников) или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
1-й уровень защищенности (1)   при наличии угроз 1-го типа для баз данных и обработке специальных и (или) биометрических и (или) генетических персональных данных в базах данных;

(2)   при наличии угроз 2-го типа для баз данных и обработке специальных персональных данных более чем 50 000 субъектов, не являющихся работниками собственника и (или) оператора.

 (a)    выполнение требований, предусмотренных 2-го уровня защищенности;

(b)   автоматическая регистрация в электронном журнале безопасности изменения полномочий работника собственника и (или) оператора по доступу к персональным данным, содержащимся в базах данных;

(c)    создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в базах данных, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
  1. Требования к хранению биометрических и генетических данных на материальных носителях

Положение № 2 устанавливает требования к материальным носителям, содержащим биометрические и генетические данные. Прежде всего, такие материальные носители должны иметь маркировку «конфиденциально» или «для служебного пользования», а собственник и (или) оператор обязан вести учет таких материальных носителей. Положение № 2 также требует, чтобы при хранении биометрических и генетических данных в электронном виде эти данные были зашифрованы и защищены криптографическим или иным способом.

Кроме того, собственник и (или) оператор должны принимать соответствующие меры безопасности для предотвращения кражи, стирания, уничтожения, несанкционированного приобретения, изменения и бесконтрольного оставления материальных носителей, на которых записаны биометрические и генетические данные. При принятии таких мер биометрические и генетические данные должны:

  • соответствовать требованиям пожарной безопасности, санитарным нормам, правилам и гигиеническим нормативам, а также быть гарантированными от затопления;
  • иметь надежные средства защиты, исключающие доступ к ним посторонних лиц;
  • храниться в сейфах, металлических полках или металлических стеллажах;
  • храниться в помещениях, оборудованных охранной сигнализацией и устройствами видеонаблюдения, входные двери и окна которых подключены к службе охраны.

Материальный носитель должен использоваться в течение срока, установленного собственником и (или) оператором, осуществившим запись биометрических и генетических данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя. При удалении персональных данных с материальных носителей, на которых зафиксированы биометрические и генетические данные, списание этих материальных носителей не производится. Не списанные материальные носители могут быть повторно использованы для целей обработки персональных данных в будущем, за исключением материальных носителей, предназначенных для одноразового использования и пришедших в негодность. Такие материальные носители уничтожаются в установленном порядке.

  1. Требования к технологиям хранения биометрических и генетических данных вне баз персональных данных

Согласно Положению № 2, при хранении биометрических и генетических данных вне баз персональных данных должны соблюдаться следующие условия:

  • доступ к персональным данным, хранящимся на материальном носителе, для уполномоченных лиц собственника и (или) оператора;
  • использование средств электронной подписи или иных информационных технологий, позволяющих сохранять целостность и неизменность биометрических и генетических данных, записанных на материальном носителе;
  • проверка наличия письменного согласия субъекта на обработку биометрических и генетических данных или иных оснований для обработки биометрических и генетических данных, предусмотренных законодательством.

Собственник и (или) оператор вправе устанавливать дополнительные требования, не противоречащие требованиям законодательства, к технологиям хранения биометрических и генетических данных вне баз персональных данных, в зависимости от методов и средств защиты таких данных в базах данных этого собственника и (или) оператора.