Категории персональных данных

Особенности категорий

В ФЗ № 152 и в других нормативах можно найти определения, указывающие, какие из данных можно отнести к общедоступным. Это информация, присутствующая в открытых местах, доступных для ознакомления всеми желающими – неограниченным количеством лиц. К примеру, такие сведения содержатся в телефонных справочниках или других документах, в которые информация заносится по согласию субъекта этих персональных данных.

К такой персональной информации можно отнести:

  • Ф. И. О. субъекта;
  • сведения о дате и месте рождения;
  • домашний адрес;
  • номера телефонов, электронной почты;
  • профессию субъекта ПД и др.

Носитель этих данных имеет право требовать, чтобы их удалили из источников, доступных для ознакомления всеми желающими. Исключить эту информацию можно также в соответствии с решением судебных органов или органов государственного управления.

Если компанией запланировано вести обработку биометрических данных или использовать сведения, которые относятся к специальной категории, нужно получить письменное одобрение этих действий от их носителей. Дать согласие на работу с другими ПД субъект, которому они принадлежат, может в любой подходящей для этого форме, позволяющей удостовериться, что такое одобрение было получено. Применять эти данные можно только в соответствии с целью, для которой они были истребованы.

Биометрической считают информацию, которая характеризует человека и позволяет установить его личность. Получить согласие на обработку этих сведений нужно в случаях, если предприятие ведет видеонаблюдение или нужно производить фотографирование.

Не нужно просить разрешения у носителя персональных данных, если проведение видео- и фотофиксации осуществляется в пределах, определенных органами правосудия или по требованию закона о соблюдении безопасности, о государственной службе и др. Об этом говорится в ст. 11 закона № 152.

Специальная персональная информация описывается в ст. 10 этого закона. Особые данные, в соответствии с его нормами, являются группой информации, которая не позволяет по общим характеристикам узнать их субъекта. Подробно об этом указано в ст. 10 ч. 1 закона.

Специальными можно считать сведения, которые характеризуют человека по расовым и национальным признакам, политическим взглядам, религиозным, философским убеждениям. Также к этим данным относят те из них, которые характеризуют физическое лицо в плане гендерной принадлежности и сексуальной ориентации.

В ч. 2 п. 10 закона содержится требование, когда обрабатывать такие сведения допускается. Подобные действия могут выполняться, если субъект в письменном виде дал свое согласие на обработку спецданных или самостоятельно сделал их публикацию в источниках информации общедоступного типа.

Возможна обработка специальных данных в случае выполнения требований законов России, международных договоренностей, органов правосудия.

Также возможна обработка такого рода ПД, если необходимость появилась при защите здоровья, жизни субъекта этих данных или прочих людей, для профилактики или лечения.

Права субъекта

В качестве субъекта выступает определенное конкретное лицо, которое идентифицируется по внесенным им данным.

Это фактическое лицо, нуждающееся в защите на основании текущего закона.

Перечень прав субъекта:

Субъект получает неограниченный доступ к внесенным в программы или документы данным.

Доступ заключается в том, что субъект имеет право на грамотное предоставление сведений о непосредственном операторе данных.

Человек может потребовать  от  оператора частичное или полностью заблокировать уточнение имеющихся в программе данных.

В программе может содержаться:

  1. цель проведения обработки;

  2. способы, при помощи которых проводится обработка;
  3. сроки проведения обработки;
  4. перечень лиц, которые допущены к проведению обработки;
  5. перечень источников непосредственного получения личных данных;
  6. сведения о последствиях проведения обработки информации.
  • Обработка в ситуации, напрямую касающейся продвижения различного товара, выполнения работ или агитации, должна проводиться с согласия самого субъекта.
  • Физические лица самостоятельно принимают объективное решение в ситуации, когда их данные будут обрабатываться автоматизированным способом.

То есть, при проведении обработки персональных данных, субъект в обязательном порядке должен дать свое письменное согласие по форме на проведение действий, касающихся сведений.

Случаи, при которых письменное согласие требуется, четко оговариваются в текущем законодательстве.

Субъект обжалует действие или же напротив бездействие своего фактического оператора, занимающегося обработкой предоставленных ему данных.

Это право действует, когда человек по существенным причинам полагает, что оператор проводит процедуру обработки внесенных данных неправильным образом.

Человек может обратиться в профильный орган, занимающийся защитой прав существующих субъектов.

Каждый субъект имеет существенное право на возмещение убытков и компенсации фактического морального вреда, путем непосредственного обращения в суд с письменным исковым заявлением.

Установленные категории данных

Ниже определено количество категорий.

К подобным категориям относятся:

  • Общедоступные.
  • Специальные.
  • Категории, подвергающиеся обработке непосредственно в информационных системах.
  • Биометрические.
  • Какие-либо иные категории.

Описание категорий

Общедоступные данные — сведения, которые получает гражданин ли группа лиц, с согласия определенного субъекта.

Источники общих данных — адресные книги, справочники и прочие общедоступные способы получения информации.

Такая информация исключается из источников по решению суда и других уполномоченных органов.

Специальные данные — сведения о национальности человека, расы и взглядов на политическую деятельность.

Подобную информацию получают только в ситуации, когда человек самостоятельно подписывает согласие на проведение установленной процедуры обработки персональных сведений.

Личные данные, обрабатывающиеся в специализированных информационных системах.

Определяются отдельные категории:

  1. первые касаются национальной и расовой принадлежности, а также политических взглядов;
  2. вторая категория позволят провести идентификацию человека и получить о нем информацию;
  3. данные, позволяющие по каким-либо сведениям провести идентификацию субъекта;
  4. общедоступные данные.

В разнообразных системах проводится обработка личных сведений, в среднем, в одно и то же время проводится обработка данных примерно ста тысяч человек.

Последний тип данных – биометрический.

Биометрический тип характеризуется данными об особенностях физиологии конкретного человека. Благодаря сведениям о физиологии есть возможность легко установить личность каждого определенного человека.

Сведения должны обрабатываться только при наличии личного согласия человека на совершение такого действия. Без согласия физического лица процедуру использования сведений можно проводить только на основании вынесенного решения суда.

Сюда относятся фото и видео субъекта.

Общедоступные данные

Неразглашение персональных данных

Сюда относятся данные, которые расположены в источниках открытого доступа. К таковым относятся справочники и адресные книги, когда материалы помещены там с согласия указанной личности. Невозможно контролировать доступ к этой информации, ее может узнать любой человек. Общедоступными сведения также становятся, если субъект самолично выложил их в открытом доступе, но даже тогда оператор обязан запрашивать разрешение на распространение.

По требованию субъекта эти сведения должны быть немедленно изъяты из общедоступных мест, если на это есть соответствующее решение суда или других органов, имеющих полномочия.

К общедоступным сведениям относятся:

  • Полные ФИО
  • Адрес
  • Дата рождения
  • Семейное положение
  • Образование физического лица
  • Другие сведения

Разновидности ПД

В Федеральном з-не № 152 обозначены конкретные виды ПД. Они могут классифицироваться по степени секретности, сложности их сбора, возможности применения третьей стороной. Их подразделяют на следующие виды:

  • общие;
  • биометрические;
  • специальные;
  • обезличенные.

Общие

К общим относят персональную информацию, составляющую базовые данные о ее носителе:

  • фамилию, имя, отчество;
  • место регистрации и жительства;
  • информацию из паспорта;
  • сведения об имеющемся образовании;
  • информацию о месте работы;
  • сведения о получаемых доходах и др.

Взятые по отдельности данные общего характера не все могут быть отнесены к информации о человеке, которая может считаться персональной. К примеру, в законе не содержится определенных трактовок относительно того, можно ли считать одной из составляющих ПД номер телефона физлица. Как разъясняют в Роскомнадзоре, эти данные не являются информацией, позволяющей произвести точную идентификацию человека, номер не персонален. Но при совместном использовании с фамилией, именем, данными о прописке он составляет ПД.

Информация о человеке, являющаяся общей, указана в паспорте, ее вносят в военный билет, в документ об образовании, а также в личную карту сотрудника предприятия, трудовую книжку и др. Чтобы использовать такие данные, не нужно брать у сотрудника письменное разрешение с целью их получить. Достаточно того, чтобы человек косвенно, путем проставления галочки в соответствующем поле, подтвердил право на такие действия со стороны получателя этой информации в письменно составленной или онлайн-анкете.

Получить такие ПД очень просто, а это зачастую приводит к проблемам: начинают рассылать навязчивые рекламные предложения или, еще хуже, пытаются шантажировать, подделывать заявки на получение займа и др.

От неразглашения личные данные каждого физлица, содержащие в себе определенные разновидности секретных сведений (об усыновлении, наличии заболеваний и др.), защищаются ст. 137 УК РФ.

Биометрические

Есть персональные данные, которые характеризуют носителя по биологическому и физиологическому принципу. К ним относят:

  • дактилоскопические;
  • анализ ДНК;
  • группу крови;
  • рост, цвет глаз, вес и др.

К биометрическим персональным данным причисляют информацию, получаемую в результате видео- и фотозаписи с участием человека. Данные биометрии наиболее часто востребованы во время проведения лечения, при оформлении на работу в госструктуры, при изготовлении загранпаспорта и визовых документов.

Специальные

К специальным ПД отнесены национальная принадлежность и раса, а также вероисповедание, убеждения философского характера, информация о судимостях, состоянии здоровья, предпочтениях в сексуальной, интимной жизни. Эти сведения можно найти в личных делах, медицинской документации и пр. Они необходимы во время проведения политических мероприятий, используются при вступлении в ряды вооруженных сил. Чтобы третьи лица могли получить доступ и воспользоваться этими ПД, необходимо получить разрешение их владельца.

Обезличенные

К обезличенным данным относят ПД, имеющие общую доступность. Их можно найти в адресных книгах, справочной документации, в средствах массовой информации. Информация, являющаяся общедоступной, может легко быть использована заинтересованными лицами. Общедоступными являются данные о материальном положении политических деятелей, представителей власти, чиновников, занимающих руководящие посты.

Оператор персональных данных

Организует требующуюся обработку, а также определяет фактические цели и содержание обработки данных.

Каждая организация, которая осуществляет сбор, хранение или уточнение имеющихся данных, является своего рода зарегистрированным оператором.

Некоторые организации, особенно, гсоударственные, по роду своей деятельности собирают и обрабатывают данные, принадлежащие их клиентам.

Оператор имеет полное право не уведомлять о проведенной обработке Роскомнадзор.

Оператор использует сведения без какого-либо уведомления:

  • Субъекта с непосредственным оператором связывают трудовые взаимоотношения.
  • Оператор получил личную информацию на основании зарегистрированного договора, одной из сторон — субъект.

Без предупреждения информация не распространяется и не передается посторонним третьим лицам.

  • Субъекты относятся к участникам общественных движений, а также религиозных организаций.
  • Данные полностью общедоступны.
  • Сведения содержат только ФИО субъекта.
  • Информация требуется только для однократного доступа субъекта на территорию, на которой находится оператор.

Обязанности оператора:

  • Контроль за безопасностью обработки данных.
  • Соблюдать уведомительный характер проведения обработки полученных персональных данных.
  • При получении личных данных, оператор должен получить письменное согласие субъекта на проведение грамотной обработки.
  • По первому требованию оператор предоставляет субъекту имеющиеся на текущий момент времени данные и вносит изменения.
  • Оператор предоставляет доказательство, что он получил согласие от субъекта на обработку данных.
  • По запросу специализированного органа, оператор дает имеющуюся информацию об определенном субъекте.

Категории ИСПДн

К основным данным персонального характера относятся ФИО, дата рождения, адрес проживания, имущественное состояние, наличие образования, принадлежность к какой-либо профессии. Операторами этих и многих других данных являются госорганы, муниципальные органы, физические и юридические лица, обрабатывающие ПД.

Субъектами ПД являются физические лица. Оператор обязан создать необходимые условия по защите этой информации в соответствии с нормами законодательства РФ.

Постановлением № 1119 от 1 декабря 2012 г. вместо применяемых в России ранее классов информационных систем персональных данных (ИСПДн) применяются уровни защищенности ПД. Этот документ определяет конкретные требования к защите ПД при работе с ними в информсистемах и к уровням их защищенности.

Уровень защищенности зависит от:

  • категорий данных;
  • актуальных угроз;
  • числа людей, обработка ПД которых осуществляется;
  • контингента граждан – субъектов этих данных.

Информсистемы ПД делятся на четыре категории:

  1. Биометрические содержат информацию о биологии и физиологии субъекта, с помощью которой становится возможной идентификация его персоны.
  2. Специальные включают в себя расовую и национальную принадлежность, политические предпочтения, религиозные или философские верования и убеждения, информацию о состоянии физического и психического здоровья, сексуальном выборе и жизни.
  3. К общедоступным отнесены сведения об основных персональных данных, являющихся достоянием широких масс благодаря легкодоступным источникам, в которых они хранятся и обрабатываются.
  4. Иные ИСПДн используют данные, отсутствующие в предыдущих группах.

Объемы обрабатываемых личных данных в ИСПДн делятся на две группы: до 100 000 человек и более 100 000.

По форме взаимодействия между оператором и субъектами работа с ПД делится на два вида:

  • работа с ПД сотрудников;
  • работа с ПД других людей.

К числу актуальных угроз безопасности ПД можно отнести намеренный или случайный несанкционированный доступ, в результате чего данные могут быть уничтоженными, сфальсифицированными, измененными, блокированными, скопированными, распространенными средствами массовой информации и т. п.

Возможность устанавливать типы существующих актуальных угроз предоставляется самому оператору с привлечением специалистов по информационной безопасности.

К актуальным типам угроз относят:

  • недокументированные возможности системного программного обеспечения ИСПДн, которые позволяют осуществлять несанкционированный вход;
  • недокументированные возможности прикладного ПО;
  • другие угрозы.

Биометрические данные

К информации такого рода относятся в первую очередь фото- и видеосъемка. Однако видео с камер охраняемой территории не относится к биометрическим сведениям, пока не используется для установления личности конкретного человека.

То же можно сказать о данных, находящихся в медицинской карте и истории болезни субъекта, так как медицинские учреждения не используют эту информацию в целях определения человека и не передают никому. Но как только эти материалы будут переданы по запросу в уполномоченные органы для оперативно-розыскной деятельности, они меняют свой статус.

Как классифицируются?

Сведения

Класс 1 означает информационные системы, которые, при нарушении заданной характеристики безопасности, приведут к значительным негативным последствиям для субъекта. Нарушения безопасности хранения данных в классе наоборот, не приведет к негативным последствиям.

Субъекты

Субъект – это физическое лицо, определенное и определяемое во время обработки персональных данных. В зависимости от цели создания системы различаются и категории.

Рассмотрим пример классификации субъектов на примере банка (без принадлежащих им данных, которые обрабатываются):

  • Клиенты. В эту категорию включены физические лица (вкладчики, заемщики) и юридические лица (руководители, заключившие догов с банком на предоставление услуг).
  • Работники. Весь персонал банка будет относиться к этой категории, а так же представители, оказывающие услуги на договорной основе.
  • Посетители. Сюда относятся должностные лица – представители государственных законодательных органов, судебной власти, общественных организаций, различных коммерческих и некоммерческих услуг.
  • Иные субъекты. К ним можно отнести акционеров банка или членов Совета Директоров.

Виды обработки

Под обработкой подразумевается любое действие (чтение, сбор, распространение, удаление, изменение) с персональными данными. Существует два вида обработки данных:

  1. Автоматизированный. Этот вид обработки осуществляется с применением вычислительно техники, под которыми подразумевают не только машины, но и сети или программное обеспечение. С помощью них могут осуществляться операции, изменение или удаление данных.

    Обработку нельзя считать автоматизированной только потому, что полученные персональные данные были сохранены или извлечены из информационной системы.

  2. Неавтоматизированный. Осуществляется в соответствии с . Производится при непосредственном участии человека.

    Полученная информация должна храниться на материальном носителе, при чем данные с несовместимыми целями обработки не имеют право находится в одном месте. Примером может быть выдача одноразового пропуска или талона к врачу.

Что такое персональные данные?

Как правильно интерпретировать данный термин? Перед тем как узнать, какие персональные данные относятся к специальным категориям, нужно понять, что это такое, и иметь четкое представление о том, что попадает под данное определение, а что нет.

Концепция этого понятия сложилась достаточно давно. Изначально в обиходе было другое выражение – «личностные данные». Однако сейчас при оформлении какой-либо документации, бланков или же информационных буклетов пользуются словом «персональные». Достаточно часто данное выражение сокращают до аббревиатуры «ПД». Согласно определению, к таким данным относится любая информация о человеке и сведения о нем. Все это предоставляется как юридическим, так и физическим лицам.

Иными словами, к персональным данным одинаково относятся как сведения о весе или цвете глаз, так и информация о национальности, образовании, месте работы и пр. А вот о хобби, вкусовых пристрастиях и каких-либо предпочтениях – нет.

Это означает, что как обычные, так и специальные категории персональных данных – это только объективная информация о человеке. То есть та, которая очевидна. К примеру, рассказ о том, что человек предпочитает на обед тарелку борща со сметаной, ни к какой из категорий относиться не может. А вот информация о росте, национальности, вероисповедании или цвете глаз, перенесенных заболеваниях и прочих подобных вещах – все это есть персональные данные.

Категории, определенные законом

В России действует закон № 152 «О персональных данных», утвержденный 27.07.06 г. В статье 10 данного нормативного акта говорится о категориях специального типа, а в ст. 11 сказано о применении биометрической информации о человеке. Нормами данного закона накладываются ограничения особого характера на возможности обработки этой информации. Предприятию-оператору персональных данных нужно придерживаться предписанных законом требований, касающихся ограничений их обработки. В противном случае оно будет наказано путем наложения административного взыскания с требованием выплаты довольно крупного штрафа. Об этом гласит статья 13.11, а также статья 5.27 Кодекса об административных правонарушениях.

В случае с проведением различных операций с использованием персональных данных важно различать их по категориям в соответствии с характером информации, которую они содержат. С учетом этого нужно выполнить определенные требования, изложенные в законе

На законодательном уровне установлены категории, являющиеся:

  • общедоступными;
  • специальными;
  • биометрическими;
  • другими данными.

Категории персональных данных закон не описывает и не выделяет. Некоторые уточненные формулировки имеются исключительно в отношении специальных категорий и биометрической информации. C 01.11.12 г., вступило в действие Постановление Правительства № 1119, в котором содержатся нормы по защите информации во время использования персональных данных в информационных системах.

Разработчики этого Постановления в пункте 5 указали, что есть несколько категорий, которые разделяют персональные данные на общедоступные, специальные, биометрические данные. Также отнесены в отдельную категорию «иные категории» ПД. Информация об этом содержится в абзаце 4 пункта 5 Постановления.

Исходя из сведений, содержащихся в тексте этого абзаца, можно сделать вывод, что «иными» являются категории ПД, входящие в группу данных о гражданине, отнести которые к трем другим категориям нельзя.
Роскомнадзор 27.07.17 г. издал специальные Рекомендации, в пункте 3.4 которых есть напоминание о требовании закона № 152, по которому во время получения ПД их категории должны соответствовать целям, установленным для обработки этих сведений.

Определенные категории персональной информации выделялись в приказе № 55/86/20, изданном ФСБ, ФСТЭК, Минсвязи совместно. Но в 2014 году с 11 марта этот нормативный документ был выведен из перечня действующих.

Сегодня продолжают функционировать Приказы, изданные ФСТЭК № 21 от 18.02.13 и ФСБ № 378 от 19.07.14, в которых нельзя найти более точные определения по разделению ПД по категориям.

Специальные данные

Исключение составляют случаи:

  1. Разрешение в письменной форме гражданина.
  2. Субъект выложил эти сведения в источники публичного доступа.

  3. Обработка информации нужна для установления диагноза или профилактики заболеваний.
  4. Сведения необходимы для предотвращения риска жизни и здоровья, при условии невозможности получения разрешения владельца.
  5. Обработка происходит по законам, регламентирующим трудовую деятельность, деятельность пенсионной системы РФ.
  6. Если гражданин состоит в общественном или религиозном обществе, а обработка предполагается их организационно-правовой формой. При этом сведения не распространяются за пределы объединения без письменного разрешения владельца.
  7. Если разглашение данных поможет защитить права владельца информации или иных лиц, а также совершить правосудие.
  8. Обработка происходит в рамках законов России, в частности регламентирующих безопасность и противодействие терроризму, коррупции и работу оперативно-розыскных органов.

Какими могут быть посягательства

Выделяют три актуальных типа угроз безопасности персональной информации, имеющей отношение к какой-либо ИСПД:

  1. Наличие в программном обеспечении незадекларированных возможностей, позволяющих использовать и обрабатывать информацию за пределами конкретной системы. Как правило, этот тип посягательств непосредственно связан с теми лицами, которым была предоставлена информация.
  2. Присутствие в ИСПД какого-либо дополнительного элемента, компонента, который обеспечивает утечку данных, впоследствии обрабатываемых и используемых на стороне.
  3. Наличие злого умысла и участие пресловутого человеческого фактора. То есть входящие в него разновидности посягательств никоим образом не связаны с самой системой и применяемыми в ней технологиями.

Как правило, описания типов угроз ассоциируются исключительно с виртуальными сетями, компьютерами и иными технологиями. Однако это не совсем верное понимание. Системой, при помощи которой обрабатываются персональные данные, может являться и что-то, что не имеет к ним отношения. Например, домашний шкаф, в котором лежат документы членов семьи, это тоже хранилище информации, нуждающееся в обеспечении защиты. Вероятные угрозы в данном случае попадают под третий тип посягательств.

Какая информация относится?

Специальные – это данные характеризующие взгляды, мировоззрение и убеждения, принадлежность к различным группам, то есть к перечню можно отнести информацию о национальности, расе, религии, философии и политических убеждениях. Такие данные позволяют сформировать представление о том, что из себя представляет человек.
Общие – сведения, которые являются общедоступными. Как правило они предоставлены самим человеком и распространяются с устного или письменного согласия

Справочники, страницы в интернете, книги могут содержать ФИО, адрес, номер телефона, дату рождения, место работы или учебы.
ВАЖНО! Согласно статьям 152 ФЗ «О персональных данных» в любой момент можно потребовать удаления личной информации из общедоступных источников.

Биометрические – это данные основанные на физиологических или биологических особенностях, которые позволяют идентифицировать личность. Они являются уникальными и не повторяются

К этой категории относятся фотографии человека, отпечатки пальцев, код ДНК, рисунок радужной оболочки глаза, голос и пр.

Иные – к этой категории относятся данные не вошедшие в предыдущие три. Сюда могут относиться медицинские, социальные и прочие показатели.

Персональные данные – использование на предприятии

В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).

Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.

Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.

В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.

Обработка ПД

Целью, которую преследует обработка и хранение ПД на предприятии, является необходимость правильно реализовать рабочую активность компании. Обработка ПД необходима для:

  • фиксации факта приема сотрудника на работу;
  • удостоверения оснований для продвижения по карьерной лестнице;
  • подтверждения оснований для выплаты зарплаты;
  • осуществления контроля выполнения производственных заданий и работ.

Работникам компании должна быть доступна информация о том, каким образом осуществляется хранение и обработка их личных данных, поэтому наниматель обязан ознакомить их с данной информацией. Подтверждением того, что сотрудники были уведомлены об этом, является личная подпись каждого из них.

Типы персональных данных на предприятии

На предприятии необходимо собрать два типа ПД:

  • требуемых для заключения трудового договора;
  • запрашиваемых и формируемых непосредственно работодателем.

ПД, которые хранятся на предприятии в личных делах по каждому работнику, обычно содержат данные:

  • о семейном статусе и отдельных членах семьи (иждивенцы, дети, возрастные данные, количество, данные о состоянии здоровья и др.);
  • копии документов по пенсионному государственному страхованию;
  • о конкретном сотруднике (паспортные данные, профессия, квалификационные характеристики и др.).

Наниматель должен создать и утвердить внутренний нормативный акт, который описывает порядок хранения ПД в виде Положения о ПД или Инструкции. Данные нормативы должны быть доведены до сведения работников, которые ответственны за сбор и обработку персональной информации. Они должны неукоснительно соблюдать все требования, изложенные в таких документах.

При соблюдении всех формальностей на предприятии по сбору, хранению и использованию ПД они будут максимально защищенными.

Ответственность за разглашение

152-й закон, который призван защищать персональные данные физических лиц, предусматривает исключительно административный вид ответственности в случае разглашения ПД на предприятии. Соответственно, если компания не способна предоставить своим наемным работникам полную защиту личных данных, работодатель может быть наказан только штрафом. Данное наказание выражается незначительными суммами.

Штраф, который должен быть наложен на работодателя при выявлении нарушений такого характера, может составить в пределах 5–10 тысяч рублей. Но это касается единичного нарушения. Обычно при проверках выявляют значительное количество такого рода проблем, соответственно, и суммы штрафов при этом растут.

Требования к защите личных данных для существующих уровней защищенности

ТребованияУровни
защищенности
1234
Запрет присутствия посторонних личностей в местах обработки ПД++++
Сохранность носителей данных++++
Составление руководством списка работников, которые имеют свободный доступ к личным данным++++
Использование сертифицированных, согласно законодательству, устройств защиты данных++++
Назначение ответственного сотрудника за надлежащее обеспечение защиты ПД+++
Ограничение доступности электронного журнала сообщений++
Если служебные полномочия сотрудника изменяются, то делается автоматическая запись в электронный журнал безопасности+
В составе учреждения, обрабатывающего ПД, должен быть отдел, занимающийся вопросами безопасности +

Если уровень защищенности ПД уже установлен, становится возможным подбор подходящих мер организационного и технического характера обеспечения безопасности ПД в соответствии с приказом № 21 от 18.02.2013 ФСТЭК РФ.

Требования приводятся в исполнение самим оператором, или к этой работе привлекаются по договорам юридические или физические лица, имеющие лицензию на технические способы защиты конфиденциальной информации. Оператор ИСПДн определяет уровень защищенности ПД и оформляет соответствующий акт.

Законодательное регулирование

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

К персональным данным (ПД) относят сведения, характеризующие прямо или косвенно субъекта – физическое лицо. По таким данным можно наиболее точно установить личность конкретного гражданина.

Конституция РФ (ст. 23–24) гарантирует физлицам право на соблюдение тайны их частной жизни, создает все необходимые предпосылки для неприкосновенности и необходимой защиты. Владельцу ПД принадлежит все, из чего состоит это понятие, в связи с этим такая информация не должна контролироваться третьими лицами или правительственными органами.

Физлица самостоятельно распоряжаются своими данными и вольны решать – воспрепятствовать их распространению или предоставить по требованию. Государство предоставляет определенные гарантии и защиту для получения этой возможности. В з-не № 152-ФЗ указаны условия, правила и круг лиц, которые могут использовать ПД кроме их владельца.

Носитель ПД может разрешить операторам получать и осуществлять обработку его личной информации. Это позволит на законных основаниях выполнять определенные действия с ней. Во время оформления заявлений на получение займа, при оформлении на работу, при проведении анкетирования физическое лицо самостоятельно предоставляет свое согласие, добровольно подписывая соглашение о разрешении проверять его личные данные.

Служебные лица могут воспользоваться доступом к определенному объему личной информации, необходимой для выполнения конкретных действий. У них нет права на хранение и применение ПД после достижения результата. В случае нарушения такого требования оператор отвечает за их намеренное разглашение.

В определенных случаях используется особое требование по работе с ПД, если они:

  • необходимы для решения вопросов семейного или личного характера (в случае если распространение данных не приводит к ущемлению прав других лиц);
  • находятся в архивной документации;
  • принадлежат к данным, составляющим государственную тайну;
  • должны быть предоставлены по судебному акту.
Поделитесь в социальных сетях:vKontakteFacebookTwitter
Напишите комментарий