Персональные данные — что это такое, виды, работа с ними

персональные данные Юридические тонкости и нюансы

Нормами закона РФ №152-ФЗ предусмотрена обязанность для компаний и организаций гарантировать безопасное хранение личных данных (ПДн) наемных сотрудников, клиентов. Для хранения, обработки сведений разработаны специальные правила. Из статьи вы узнаете, какое определение личным сведениям дает законодательство, какими бывают персональные данные, как правильно защищать, использовать их.

Персональные данные – общая информация

Персональные данные — информация, принадлежащая гражданину, субъекту персональных данных. Чтобы сведения получили статус персональных, они должны принадлежать конкретному гражданину. Если по информации легко определить гражданина, которому она принадлежит, речь идет о персональной информации. Обезличенный телефон, электронный адрес не входит в категорию персональных сведений.

Полезно знать! Когда в ходе опроса у человека спрашивают его ФИО, телефон, адрес — это личные сведения.

Закон 152-ФЗ разделяет два понятия:

  • хранение личной информации;
  • обработка персональной информации.

Законом не определен конкретный список данных, классифицируемых как личные, соответственно, происходят разногласия относительно толкования нормы.

Ст. 10 вводится понятие — «специальные данные» — расовые характеристики, вера, политические убеждения, интимная жизнь, здоровье.

Ст. 11 вводится понятие «биометрические персональные сведения» — характеристики гражданина, позволяющие идентифицировать личность.

Разновидности личных сведений

Норма закреплена Постановлением правительства №1119. Всего существует четыре вида личных сведений:

  • общие;
  • специальные;
  • биометрические;
  • иные.

Общая личная информация

Из названия категории ясно – сюда входят сведения, которые публикуются в источниках, доступных широкому кругу пользователей. Понятие «общая» распространяется на базовую личную информацию. Как правило, это данные, известные другим людям, которые гражданин добровольно размещает в сетях.

Персональные данные
Персональные данные

Специальные личные сведения

Представлена более личная информация — расовая принадлежность, религиозные убеждения, философские, политические принципы, сведения о судимостях.

Главное отличие сведений в этой группе — их человек публикует и разглашает исключительно по собственной инициативе.

Биометрические персональные сведения

Биометрические персональные сведения
Биометрические персональные сведения

Особые сведения, необходимые для идентификации личности. Это отпечатки пальцев, фотографии, информация о генетических характеристиках, группа крови.

Материал по теме: Как создать почту gmail без проблем

Сведения получают статус биометрических, когда применяются для идентификации гражданина. Самый простой пример — на проходной устанавливают камеры для распознания лиц, таким образом, фотографии всех сотрудников — биометрические данные. В тоже время, если в личном деле находится фотография, она не считается биометрическими сведениями.

Иные личные сведения

Здесь собраны сведения, не принадлежащие к трем другим группам, например, участие в определенной группе, корпоративная информация, информация о заработной плате, отпусках.

Иные сведения не просто разграничить от специальной информации. Разница между ними следующая — специальная информация характеризует гражданина, чаще всего ее скрывают. Иные данные — вспомогательные сведения, меняющиеся довольно часто.

Оператор, субъект личной информации

Оператор, субъект личной информации
Оператор, субъект личной информации

Закон «О защите персональных данных» вводит два понятия:

  • оператор личных сведений — компания, которая занимается сбором, обработкой, хранением, распространением информации;
  • субъект личной информации — гражданин, передавший любые персональные сведения оператору.

Личные сведения разных субъектов обрабатывается разными способами. Доступ к информации о сотрудниках предусмотрен для одних специалистов, а к сведениям о клиентах — для другой группы специалистов. По этой причине при формировании правил работы с ПДн учитывают такие категории субъектов:

  • сотрудники;
  • лица, приглашенные на стажировку;
  • клиенты;
  • близкие родственники штатных специалистов.

Как оператор работает с личными сведениями

В соответствии с нормами закона 152-ФЗ оператор защищает персональные данные, степень защиты определяется видом информации:

  • общие — сведения не требуют серьезной защиты, поскольку в большинстве случаев такие сведения не скрывают;
  • иные — сведения, известные небольшому количеству людей, поэтому для их защиты требуются более серьезные меры;
  • биометрическая — информация, которая используется для идентификации человека, поэтому ее нужно защищать сильнее;
  • специальные — сведения, которые могут использоваться во вред человеку, поэтому их защищают максимально серьезно.

С целью защиты личной информации оператор обязан сформировать максимально надежную IT-инфраструктуру, а также отслеживать, чтобы данные всегда были доступны, не было утечки сторонним лицам.

Важно! Действия с личными данными выполняются с согласия владельца. Оператор обязан регулярно отчитываться перед государственными инстанциями обо всех действиях, которые выполняются с личной информацией.

Защиту для информации подбирают соответствующую уровню защищенности, определенным законом, его выбирают, ориентируясь на вид данных, возможные угрозы. В законе рассматривается такие уровни защищенности:

  • УЗ 1, УЗ 2 — информацию с указанным уровнем защиты хранят в облаке с публичным доступом, прошедшим аттестацию в соответствии с нормами закона 152-ФЗ;
  • УЗ 3, УЗ 4 — для сведений с указанным уровнем защиты потребуются особые условия хранения (выделенный гипервизор в Центре обработки информации MCS). Следует уточнять, способен ли провайдер их обеспечить.

Порядок действий по защите информационной системы личной информации

Действия по защите личных сведений можно условно разделить на такие этапы:

  1. проверка информационных систем, с помощью которых можно обрабатывать личные сведения;
  2. юридическая оценка правомерности обработки личной информации, наличие согласия каждого субъекта на подобные действия;
  3. контроль, внесение изменений в договорные отношения с субъектами;
  4. составление списка персональных сведений, присвоение определенных категорий;
  5. определение сроков, оснований для прекращения обработки личной информации;
  6. разграничение доступа для всех пользователей к личной информации в информационной системе;
  7. составление списка документов, которые регламентируют и контролируют работу с персональной информацией;
  8. определение возможных угроз для ИС, где хранятся личные сведения;
  9. классификация ИС личных сведений;
  10. если данная норма определена законом №152-ФЗ, уведомление об обработке личных сведений направляется в уполномоченный государственный орган;
  11. приведение системы защиты в соответствие всем нормам, требованиям контролирующих органов;
  12. получить лицензии;
  13. провести аттестацию ИС;
  14. обеспечить эксплуатацию информационной системы.

Классификация ИС персональных данных

После 11 марта 2013 года классификация ИС личных сведений проводится исключительно для государственных информационных систем. Для других ИС достаточно установить уровень защищенности, для этого, прежде всего, нужно отнести информацию к конкретной категории. Всего есть четыре категории:

  • Группа 1 — специальная информация — посредством которых идентифицируется человек, как правило, не разглашаются;
  • Группа 2 — биометрическая информация. Набор персональных характеристик человека, необходимых для идентификации;
  • Группа 3 — общая информация. К ней предоставлен доступ непосредственным владельцем;
  • Группа 4 — иные сведения. Любая информация, которая не соответствует трем другим группам.

Кроме этого, личная информация классифицируется по формату отношений между компанией, а также субъектом:

  • хранение, обработка сведений о штатных сотрудниках;
  • хранение, обработка личной информации субъектов, которые не входят в штат сотрудников компании.

Еще один критерий классификации персональных сведений — по количеству субъектов. В данном случае предусмотрено только 2 категории:

  • менее 100 тыс. субъектов;
  • более 100 тыс. субъектов.

Важно! Законодательно не урегулирован вопрос — к какой категории относятся компании, где количество субъектов ровно 100 тыс. человек.

Еще один критерий классификации – тип актуальных угроз:

  • 1 тип – предполагает недекларированные возможности в системном ПО, используемом в ИС;
  • 2 тип – предполагает недокументированные возможности в прикладном ПО, применяемом в ИС;
  • 3 тип – не предполагают недокументированные возможности в ПО, используемом в ИС.

Чтобы определить тип угроз, рекомендуется воспользоваться услугами специалистов в области информационной безопасности.

На основании данных для каждой ИС определяется уровень защищенности личных данных (кликните, чтобы увеличить картинку)

Уровень защищенности данных
Уровень защищенности данных

В соответствии с установленным уровнем защиты для личных сведений необходимо выполнить определенный перечень требований для нейтрализации угроз (внутренних и внешних).

Ответственность за нарушения по обработке персональных сведений

Лицам, которые нарушают требования действующего законодательства с части соблюдение требований относительно обработки личных сведений, грозит административная, правовая, дисциплинарная, а также уголовная ответственности.

Статьи КоАП РФ, за нарушение которых предусмотрен штраф5.39, 13.11, 19.7.

Статья УК РФ, за несоблюдение которых предусмотрено наказание (штраф, исправительные работы, арест) — 137, 140, 272.

Статьи ГК РФ, за нарушение которых предусмотрено наказание (возмещение убытков) — 15, 24.

Статьи ТК РФ, за несоблюдение которых нарушителю грозит увольнение, замечание, выговор81, 90.

Таким образом, существует личная информация, которая требует особого и внимательного отношения. Любые действия с такими сведениями регламентируются законом №152-ФЗ. Чтобы не допустить проблем с контролирующими органами, важно внимательно изучить законодательный акт и строго следовать его нормам.

Оцените статью
Поделиться с друзьями
Добавить комментарий