Персональные данные: защита без нападений. Часть 1
Наверное, нет таких предпринимателей, которых бы не пугали Роскомнадзором в 2017 году. Защищать персональные данные своих сотрудников и клиентов прошлым летом ринулись многочисленные предприниматели и в особенности интернет-предприниматели. И тому была веская причина — ответственность за нарушение порядка обработки персональных данных была серьезно ужесточена — теперь есть ответственность в виде штрафа за неопубликование Политики обработки персональных данных. При этом дела передали рассматривать от прокуратуры в Роскомнадзор, который куда более оперативно стал проводить проверки и рассматривать жалобы.
Что такое персональные данные?
Если вы зададите такой вопрос Роскомнадзору (а его не задавал только ленивый), то получите типовой ответ из Закона о персональных данных, что ПДн — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а также их совокупность». Исходя из этого мы можем сделать вывод, что ПДН — это практически любая информация, а чаще её совокупность (например, ФИО и дата рождения), с помощью которой определяется или может быть определено конкретное физическое лицо.
Поскольку законодательство не содержит конкретного перечня персональных данных, к таковым может быть отнесена любая информация о гражданах, в частности:
- фамилия, имя, отчество;
- пол, возраст;
- образование, квалификация и т.п.;
- контактная информация (адрес, номер телефона и т.п.);
- семейное положение, наличие детей;
- факты биографии;
- СНИЛС;
- дата и место рождения;
- адрес;
- email;
- финансовое положение, включая сведения о зарплате (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
- фотография и видеозапись, позволяющие установить личность человека (Разъяснения Роскомнадзора);
- ссылка на персональный сайт;
- ссылка на профиль в социальных сетях.
При этом само по себе ФИО или email ещё не будут персональными данными, т.к. не позволяет определить конкретное лицо, а вот вместе с дополнительными сведениями — об адресе, дате рождения или месте работы — уже будут являться ПДн. В отношении email есть интересная позиция: если адрес электронной почты содержит имя и фамилию гражданина, то он сам по себе тоже является персональными данными.
Отдельный вопрос, являются ли файлы файлы cookies (в которых собираются поведенческие сведения о пользователи конкретного ПК: посещенные сайты, длина сессий, аутентификационный идентификатор и т.п.), данные о поведении пользователя на сайте, IP-адрес и сведения о геопозиции персональными данными? Роскомнадзор считает эти данные персональными и не только в совокупности с ФИО или фотографией пользователя, но и сами по себе. В действительности cookies и IP-адрес лишь передают сведения о конкретном ПК или ином устройстве, выходящем в интернет, но не обязательно о конкретном пользователе. IP-адрес ещё менее «надёжно» определяет пользователя, так как компьютеры и прокси могут совместно использоваться несколькими пользователями, а один компьютер может использовать разные IP-адреса в разных сессиях (динамический IP-адрес).
Есть несколько примеров, когда суды принимали решение признать персональным данными только имя в онлайн-форме на сайте (к примеру, постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288 в отношении тамбовской юридической фирмы). Ориентироваться на такую судебную практику не стоит:
- При желании можно найти решения суда, подтверждающие практически любую позицию, но это не значит, что эта позиция верна.
- Постановление Тамбовского областного суда — яркий пример судебного акта, который должен был быть отменён как незаконный и необоснованный, однако «нарушитель» не стал его обжаловать в Верховный суд РФ. Ведь очевидно, что имя не позволяет определить конкретное лицо с необходимой степенью достоверности.
К «неперсональным данным» относятся:
- ИНН, так как он включен в ЕГРЮЛ и свободно доступен;
- рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте);
- видеозапись в публичных местах и на охраняемой территории;
- образцы почерка (подписи) и фотография гражданина в его личном деле у работодателя согласно позиции Роскомнадзора, что «поскольку. личность уже определена и чьи персональные данные уже имеются в распоряжении оператора».
Однако если они будут использованы для идентификации человека, то сразу же становятся ПДн и более того специальной категорией — биометрическими ПДн.
Кто является оператором персональных данных?
Многие до сих пор считают, что операторы персональных данных — это какие-то компании, оперирующие огромными массивами данных о гражданах, но никак не они сами. На самом деле нет бизнеса, который бы не являлся оператором персональных данных, ведь при наличии хотя бы одного работника, пусть даже это и сам владелец бизнеса, вы уже являетесь оператором.
Вы проводите семинар и просите слушателей оставить свои контактные данные (ФИО, email, название компании, должность, телефон и т.п.) в этом случае кем бы вы не являлись обычным гражданином или предпринимателем — вы оператор персональных данных, который:
- собирает (как раз на семинаре);
- систематизируете и записываете (вы делает отдельный файл в Excel со списком участников данного мероприятия);
- накапливает (будете собирать в этот же файл или другой ПДн слушателей с других своих семинаров) и хранит;
- уточняет (слушатель сообщил вам, что сменил номер телефона или место работы);
- извлекаете сведения для передачи в сервис почтовых рассылок;
- после неудачной доставки некоторым из пользователей, у которых не удалось уточнить их email вы их просто блокируете или удаляете.
Все эти действия и называются обработкой.
Часто считают, что оператором ПДн становятся только в случаях подачи уведомления в Роскомнадзор, однако Закон о персональных данных связывает статус оператора как раз именно с началом обработки ПДн, а не с подачей уведомления регулятору. Поэтому разработка мер защиты ПДн — это задача каждого юридического лица, ИП и даже гражданина, который их обрабатывает. Естественно, интерес у контролирующих органов к обычным гражданам куда меньше, чем к бизнесу, который к тому же планово проверяется. Но не стоит думать, что Роскомнадзор не может проверить гражданина, который владеет сайтом и собирает через него заказы или обращения.
Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
Когда надо получать согласие на обработку персональных данных?
Во-первых, надо чётко понимать, будет ли собираемая совокупность данных являться персональными. Во-вторых, для каждой группы граждан, данные которых собираются, должны быть определены цели такой обработки.
К примеру, при размещении на сайте формы подписки на рассылку, в которой будет только email и впоследствии не будет дополнительно требоваться ФИО, согласие на обработку ПДн не требуется. Многие сайты стараются получать согласия во всех случаях сбора данных о пользователе, т.к. нельзя исключать, что Роскомнадзор может изменить свой подход к ситуации.
Когда не нужно согласие на обработку персональных данных?
Если целью является исполнение требования какого-либо закона, то получать согласие на обработку ПДн не требуется, однако если компания преследует какие-то иные коммерческие или некоммерческие цели, то такое согласие необходимо.
К примеру, работодатель в соответствии с Трудовым Кодексом РФ выполняет ряд действий с ПДн работников, акционерные общества, страховые и кредитные организации размещают в силу закона на своих сайтах сведения об аффилированных лицах и входящих в состав управляющих органов без какого-то согласия с их стороны.
Но для того, чтобы установить систему контроля доступа и использовать отпечатки пальцев или радужку глаз, просто изображение гражданина — потребуется письменное согласие работника или иного лица, которого вы будете идентифицировать.
Такое согласие не требуется в случаях, когда обработка персональных данных:
- необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
- осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, естественно при условии, что ПДн не передаются дальше;
- осуществляется для статистических или иных научных целей при условии обязательного обезличивания;
- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (к примеру, при экстренной госпитализации или ЧС);
- необходима для доставки почтовых отправлений, осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
- осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется в отношении данных, подлежащих опубликованию в соответствии с законодательством в отношении государственных и муниципальных служащих, а также кандидатов на выборные должности.
Защита персональных данных
Ключевым моментом, связанным с вопросом персональных данных, является именно их защита — на это нацелены все усилия государства и построена вся логика работы с этими данными. Конкретные действия по защите определяет сам оператор (тот, кто обрабатывает ПДн) кроме единственного вопроса — назначения ответственного за организацию обработки ПДн, что он должен сделать сразу и безусловно.
Такие меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними. Если проверяющие посчитают, что такие меры были недостаточными, то последует штраф и предписание, за неисполнение которого также предусмотрен ещё один штраф. И так до того момента, пока вы не выполните всё ожидаемое от вас даже если вам это будет мешать вести бизнес.
Все мероприятия делятся на два вида:
- Юридические — по созданию комплекта документов.
- Технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. К примеру, установить антивирус, файерволл, пароль на ПК, иногда установить шифрование, обучить сотрудников.
В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе или закрывающемся шкафу или комнате, иметь замки в офисе, охранную систему).
Для защиты электронных данных вам потребуется определить, какой у вас тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности. От уровня защищенности будет зависеть конкретный комплекс мер, которые вы должны принять.
Специальные требования по защите ПДн предусмотрены для отдельных категорий операторов, к примеру, органов власти. Компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR), в том числе если они продают товары гражданам Евросоюза, должны учитывать также требования этого регламента.
Производить видеозапись или фотографирование клиентов, в т.ч. пациентов не запрещено, если целью является контроль за оказанием услуг или их улучшение (фото- и видеофиксация, создание обучающих видео), однако Роскомнадзор придерживается позиции, что в «целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер».
Совет: установите в Политике по обработке персональных данных (является обязательным документом для всех, кто вообще обрабатывает их) порядок и сроки хранения фото- и видеозаписей с изображением сотрудников и клиентов, приведите в соответствие с ними настройки вашей техники, ограничьте доступ к этим записям лиц, не имеющих служебной необходимости их просматривать.
Минимальный комплект документов для законной обработки персональных данных:
Что, собственно, такое персональные данные?
Представьте, что вы нашли трёх друзей, которые родились с вами в один и тот же день. У вас одинаковая дата рождения, одинаковый пол, и вы можете определёнными усилиями сменить имена в рамках закона. В итоге получится четверо одинаковых людей. Будет ли набор «Ф. И. О. + дата рождения + пол» персональными данными?
Ответ, как это ни странно, — да.
При этом под персональными данными понимается такой набор информации, который так или иначе позволяет идентифицировать физическое лицо — субъекта персональных данных. То есть однозначно указывает на конкретного человека.
Ранее в законодательном определении содержалось указание на конкретные примеры, которые каждый в отдельности или в совокупности с другой информацией составляли персональные данные. В текущей же редакции ст. 3 Федерального закона № 152-ФЗ примеров персональных данных не приводится, т. к. законодатель сделал упор на «духе закона», прямо оговорив, что к таким данным относится «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу», отдав решение этого вопроса на откуп судебной практике.
Поэтому давайте разбирать на примерах, что есть ПДн, а что — нет.
Простые случаи
Для начала — есть категория «сырых» данных, которые позволяют однозначно определить личность конкретного человека. Например, это номер паспорта или набор из Ф. И. О., пола и даты рождения.
Персональные данные, например:
- Номер паспорта
- Ф. И. О. + пол + дата рождения
- Отпечаток пальца
- Любимое блюдо
- Место работы
- Личные качества (характер нордический, самоотвержен)
- Количество детей
Правило номер один: если смешать ту информацию, которая сама по себе образует персональные данные, и ту, что их не образует, в одну базу данных, то получится база персональных данных. Например:
- Номер паспорта + место работы = персональные данные
- Медицинский диагноз + любимое блюдо + фотография = персональные данные
- Ф. И. О. + пол + дата рождения + место работы + отпечаток пальца = персональные данные.
Уточнение про «голые» ПДн
Некоторые персональные данные не позволяют случайному человеку установить вашу личность, но позволяют установить вашу личность, например, правоохранительным органам. Так, номер мобильного телефона физического лица привязывается к его Ф.И.О. и номеру паспорта, то есть он является «чистыми» персональными данными. Использовать его отдельно и смешивать номер телефона с какой-либо другой информацией о его владельце — значит получать наборы персональных данных. То же самое может относиться к номеру кредитки, номеру страхового удостоверения, номеру медполиса и так далее.
В случае же если абонентский номер привязан к юридическому лицу, то он сам по себе не является персональными данными, т. к. не позволяет идентифицировать конкретного сотрудника юрлица, пользующегося данным номером.
Более сложные случаи
Не всегда в основе персональных данных лежит что-то, что делает весь набор сразу ПДн. Например, если в наборе есть номер паспорта — это точно ПДн, что бы ещё там ни лежало. Но иногда ни одна часть набора не является ПДн в изолированном виде, но всё вместе позволяет вам точно определить человека.
Например, медицинский диагноз, как правило, не является персональными данным в отрыве от Ф. И. О. (а вот результат анализа кода ДНК является персональными геномными данными, кстати). Расовая принадлежность сама по себе — не персональные данные. Место работы само по себе — не персональные данные.
Однако может так оказаться, что набор «место работы + раса + диагноз» — это персональные данные. Например, когда на автозаправке работает только один однорукий китаец.
Что самое интересное, если изначально на автозаправке работало два одноруких китайца, а потом один уволился, набор данных, по логике, не был персональным, а потом стал. Равно как когда вы были одним таким в наборе «Ф. И. О. + пол + дата рождения», а потом уговорили друзей поменять имена, по идее, набор перестал быть ПДн. На практике же это не так.
Чтобы понять, является ли ваш набор данных персональными, надо учесть следующее:
- Посмотреть судебную практику: если было решение о том, что подобный набор является ПДн, то и ваш набор с очень высокой вероятностью — ПДн.
- Экспертизы, определяющей, ПДн это или нет, пока нет. Вы можете обратиться за разъяснениями в Роскомнадзор. Однако с некоторой вероятностью вы получите ответ: «Если можно определить человека однозначно — это ПДн».
- И, наконец, окончательным определением будет судебное решение, но, как правило, до него лучше не доводить, а продумывать заранее, всё же можно определить человека или нет.
Интересные моменты
Копия паспорта — это ПДн. Потому что из изображения можно однозначно извлечь числа, которые точно являются ПДн сами по себе.
Фотография с паспорта, фотография с улицы, видеоизображение — это уже дискуссионный вопрос. Дискуссионный он потому, что не всегда можно однозначно понять, позволяет ли, например, конкретная фотография установить личность (где проходит та же граница качества съёмки?). Если это 3000 пикселей по узкой стороне и съёмка на паспорт — очевидно, это ПДн. А если эта же картинка хранится в размере 32х32 px? А если это не фото с паспорта, а фото в толпе на улице?
Пока чёткого определения нет. Оценки экспертные: например, когда вы проходите паспортный контроль, сотрудник ФСБ (пограничник) смотрит на ваше лицо, смотрит на фото в паспорте или визе и решает, похожи вы или нет. Если с его точки зрения достаточно похожи — значит, экспертное решение вынесено положительно. Примерно так же проходит идентификация по фото: суд привлечёт эксперта, а эксперт решит, можно или нет.
Что ещё забавнее, гражданин может прекратить обработку своих ПДн, то есть в теории можно вылавливать все свои фотографии в толпе и настаивать, что это хранение и обработка без вашего согласия. Исключениями из данной ситуации являются случаи, когда:
- использование изображения осуществляется в государственных, общественных или иных публичных интересах;
- изображение получено при съёмке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях);
- гражданин позировал за плату.
Изображение человека является ПДн. Обычно речь про фото, но не про портрет. Тем не менее по этому портрету можно установить человека, поэтому непонятно, как его хранить и обрабатывать.
Ещё один спорный случай — это почта. Однозначно понятно, что info@domain.ru в изолированном виде (без Ф. И. О., например) — это не ПДн, потому что там может оказаться кто угодно, включая робота. А вот если это ivanpetrov1990@mail.ru? Или billgates@microsoft.com? Скорее всего — не ПДн, нужны ещё наборы. Кроме того, по аналогии с телефонным номером всё зависит от того, на кого зарегистрирована почта: на юрлицо или гражданина.
Биометрические данные — индивидуальная форма черепа и ушей — однозначно являются персональными данными, как и отпечаток пальца. Это накладывает серьёзные ограничения на системы распознавания лиц — надо заручаться согласием даже на хранение хэша от биометрических замеров.
Чем регулируется
Федеральное законодательство:
- «Об утверждении перечня сведений конфиденциального характера» — Указ Президента РФ от 06.03.1997 № 188 определяет, что к персональным данным также относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
- 149-ФЗ «Об информации, информационных технологиях и защите информации» — базовый закон, устанавливающий общие вещи.
- «О персональных данных» от 27.07.2006 № 152-ФЗ — в нём задаётся фреймворк того, что такое ПДн, как их обрабатывать (кстати, хранение и передача — это подвиды обработки).
Особенно интересны цитаты:
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — большой набор организационных и технических требований по защите информации, а также правила создания систем защиты персональных данных. Вкратце — смотрите пост про то, как мы проходили сертификацию и как мы помогаем аттестовываться.
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» — очень полезный документ, который содержит не только требования по защите ПДн, но и позволяет определить класс необходимых к применению криптосредств.
- «Об утверждении требований и методов по обезличиванию персональных данных» — Приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 № 29935) и «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 “Об утверждении требований и методов по обезличиванию персональных данных”» утв. Роскомнадзором 13.12.2013, что перестаёт делать ПДн собственно ПДн при обезличивании, например, для целей Data Mining.
Конечно, список далеко не полный, выше приведены только основные документы. Ещё есть информационные сообщения и документы по моделированию угроз безопасности информации от ФСТЭК России, методические рекомендации и документы по формированию предположений о возможностях нарушителей от ФСБ России, документы Минкомсвязи и прочее.
Что это значит?
Когда вы строите ИТ-инфраструктуру, надо понимать, являются ли ваши данные персональными или нет. Классов персональных данных уже нет, есть таблица вот отсюда (в посте больше про сертификацию). Если ваши данные всё же персональные, то надо понять, что у вас за типы данных, какие угрозы для них возможны и сколько у вас будет записей. Дальше из таблицы вычисляется нужный уровень защищённости — и для этого уровня реализуются меры защиты в соответствии с требованиями законодательства.
Следуя духу закона и правоприменительной практике, почти во всех ситуациях можно определить, речь идёт про ПДн или нет. Крайне редкие случаи обычно рассматриваются отдельно юристами, которые выполняют оценку и делают запросы в контролирующие органы.
Персональные данные: что это такое
Если у вас есть сайт с формой заявки или регистрации, вы становитесь оператором персональных данных (ПДн). О том, что это означает и как корректно действовать, чтобы избежать проблем, расскажем в статье.
Что такое ПДн
Это такая информация, которая напрямую относится к конкретному лицу, с помощью которой его можно идентифицировать. К таким данным относятся ФИО, дата и место рождения, место проживания, телефон, e-mail, фотография человека и др. Соответственно, если ваш сайт использует данные геолокации, если там есть регистрация через e-mail или форма заявки, куда следует вводить номер телефона, то это всё будет считаться сбором персональных данных. Также это значит, что на вас распространяется закон 152-ФЗ «О персональных данных».
Вот основной список ПДн с сайта Роскомнадзора:
Помимо этого, персональными считаются такие данные, как национальность, религия, политические воззрения, регистрация по месту жительства, медицинская информация, биометрия (отпечатки пальцев, звук голоса), судимости, номер СНИЛС, ИНН, куки.
Здесь очень важен один момент. Исходя из определения, к персональным данным относится та информация, которая позволяет идентифицировать человека. То есть адрес, включающий город, улицу и дом, является абстрактными данными, а вот если Иван Макарович Фёдоров проживает по определённому адресу, тогда мы имеем дело с персональными данными. Людей с одинаковым ФИО много, а вот любое уточнение, которое указывает именно на этого человека, уже переводит данные в категорию персональных.
Существует несколько типов персональных данных. Подробнее об этом мы писали в нашей статье. Если коротко, то их 4:
- общедоступные;
- специальные;
- биометрические;
- иные.
Участники процесса
В законе о персональных данных фигурируют две сущности: субъект и оператор.
Первый из них, субъект, — это тот, чьи данные обрабатываются. Например, это может быть физическое лицо, зарегистрированное на сайте.
Оператором может быть физ. Лицо или организация, которая собирает, хранит и обрабатывает ПДн. Оператором, в том числе, является компания, в которой трудоустроены работники.
Работа с ПДн
Операторы ПДн выполняют следующие действия с данными:
По закону 152-ФЗ его можно осуществлять только с согласия с субъекта. Для оффлайн процессов нужно подписать соответствующий документ, а в онлайне согласие можно получить подтверждающим действием (например, поставить галочку в специальной форме).
Согласие включает описание того, какие именно данные будут собраны, зачем и как будут использоваться. Всё это должно быть прописано в политике конфиденциальности, а под каждой формой сбора информации присутствовать галочка, подтверждающая, что пользователь прочёл «Политику конфиденциальности и даёт согласие на сбор и обработку.
Обработка
Сюда входят практически все действия, которые выполняются с персональными данными. Сбор, запись, хранение, изменение, анализ и тому подобное. Обработка бывает:
- Автоматизированная (компьютерами и другой вычислительной техникой),
- Неавтоматизированная (человеком)
- Смешанная (человек + вычислительная техника)
Заниматься обработкой ПДн можно только в случае согласия субъекта.
Хранение
Данные могут храниться в бумажном виде, на серверах, в облаке. По закону нужно хранить только необходимое для цели количество данных и делать это не дольше, чем требуется. После нужно удалить все данные.
Если данные неактуальны или собраны не в полном объёме, их следует удалить.
Также нельзя объединять ПДн, которые были собраны для разных целей.
Защита
Всю ответственность за хранимые персональные данные несёт оператор. Поэтому базы должны быть защищены. А именно, соответствовать уровню защищенности обрабатываемых данных (УЗ) для конкретной категории ПДн.
За невыполнение требований закона 152-ФЗ несёт ответственность оператор данных.
Кратко и доступно: что такое персональные данные, их хранение и обработка
Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.
Что относится к персональным данным
Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.
Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.
То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.
Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:
Не ПДн | ПДн |
ivan999@mail.ru | ФИО: Иванов Иван Иванович, email: ivan999@mail.ru |
30% опрошенных женаты | Иванов Иван Иванович женат |
Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.
Какие бывают виды персональных данных
В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.
Общие персональные данные
К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.
Специальные персональные данные
Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.
Биометрические персональные данные
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.
А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.
Иные персональные данные
В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.
Иные данные сложнее всего отличить от специальных. Разница следующая:
- Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
- Иные данные — это просто дополнительная информация, они часто могут меняться.
Кто такие оператор и субъект персональных данных
В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.
Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:
- Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
- Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.
Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.
В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.
Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.
Как оператор обязан защищать персональные данные
Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:
- Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
- Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
- Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
- В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.
Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.
В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.