Конфиденциальная информация и персональные данные в чем разница
Перейти к содержимому

Конфиденциальная информация и персональные данные в чем разница

  • автор:

Виды персональных данных

Виды персональных данных

Процветание бизнеса тесно связано с тем, насколько серьезно организация подходит к обеспечению информационной безопасности. Особое значение имеет определение и нейтрализация угроз безопасности, касающихся несанкционированного доступа к личной информации клиентов и партнеров. Персональные данные — это виды сведений, которые дают возможность косвенно либо напрямую идентифицировать гражданина и в отдельных случаях получить о нем дополнительную информацию.

Осуществляя любой вид обработки ПДн, предприниматель, компания либо муниципальный/государственный орган обязаны придерживаться прописанных в ФЗ-152 требований, в частности, продумать систему защиты от НСД и последующего несанкционированного использования. В зависимости от того, какие виды ПДн вы обрабатываете, нужны будут определенные СЗИ, поэтому важно разобраться с актуальной классификацией. Обращаем внимание, что под персональными данными понимаются данные, касающиеся конкретного человека. То есть абстрактный адрес электронной почты либо мобильный номер к таковым не относятся, поскольку не представляется возможным определить, чьи они. Четко проследить разницу можно на примере опросов — если вы просите сообщить имя и фамилию либо семейное положение, то речь идет о ПДн, соответственно нужно просить согласие на обработку, а в случае анонимного анкетирования такой необходимости не возникает.

Категории и виды ПДн

В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:

  1. Общедоступные — те, которые опубликованы в открытых источниках с согласия владельца (если субъект хочет удалить сведения, он может подать заявление оператору либо обратиться в суд). К таким относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, образование.
  2. Специальные — ПДн, которые касаются сексуальной жизни субъекта, его политических, философских и религиозных воззрений, а также расовой и половой принадлежности. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
  3. Биометрические — любые биологические либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Оператору для обработки подобных ПДн нужно предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Однако если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических ПДн (в зависимости от ситуации их можно определить как специальные либо общедоступные).
  4. Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.

Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:

  • сведения в муниципальных и государственных ИС;
  • личные сведения в полностью автоматизированных системах;
  • ПДн, необходимые для агитации политических сил, раскрутки товаров и услуг;
  • трансграничная передача данных (когда информация передается за пределы страны).

Какие можно выделить типы персональных данных?

Кроме описанных видов ПД, классифицировать личные сведения граждан можно на основании положений ТК, Конституции Российской Федерации и других ФЗ. Например, при организации трудовых процессов происходит обработка двух типов документов:

  1. Подаваемые сотрудниками в момент приема на работу и подписания соглашения с работодателем. Речь идет о трудовой книжке, дипломах об окончании учебных заведений, паспорте, сертификатах, подтверждающих специальные знания, документах о постановке/снятии с воинского учета и т.д.
  2. Формируемые непосредственно работодателем в отношении персонала. К данному типу относятся внутренние приказы (о зачислении, о выдаче премиальных средств), расчетная документация, персональная карточка.

Есть еще несколько способов разделения персональных данных по разным критериям:

  • по содержанию — биометрические и не биометрические;
  • по направлению — обычные и специальные;
  • по степени доступа — конфиденциальные и те, которые находятся в общем доступе.

Зачем проводить классификацию ПДн?

Проанализировать виды персональной информации и понять, какие именно сведения вы используете в своей деятельности, очень важно. От этого зависит список законодательных требований к защите ИС, и, соответственно, затраты на внедрение средств профилактики и реагирования на УБ. Кроме того, это позволит избежать нарушений и штрафных санкций со стороны контролирующих органов, а также завоевать репутацию надежной компании, что положительно скажется на уровне дохода.

Что такое персональные данные

author__photo

Утечка персональных данных — это удар по репутации, который может поставить под вопрос работу компании. Предприниматель должен следовать закону и оберегать конфиденциальную информацию.

Рассказываем, какие данные считаются персональными, как правильно их собирать, обрабатывать и хранить. А еще — кто такой субъект персональных данных и каковы его обязанности.

Что такое персональные данные

Персональные данные (ПД) — уникальная информация, по которой идентифицируют личность. Перечень персональных данных:

  • фамилия, имя, отчество;
  • страна, город;
  • дата рождения;
  • фото- и/или видеоизображение человека;
  • адрес проживания;
  • телефонный номер;
  • email;
  • сведения об образовании, трудовом стаже, текущей работе и доходах;
  • информация о семейном положении, составе семьи, в том числе подробные сведения о ее членах;
  • расовая и национальная принадлежность;
  • информация о религиозных, политических и других убеждениях;
  • данные о состоянии здоровья;
  • документы — серия и номер общегражданского и заграничного паспортов, отметки о пересечении государственной границы, СНИЛС.

Согласно №152-ФЗ «О персональных данных», под такими сведениями подразумевают информацию, привязанную к фамилии, имени, отчеству, адресу и телефонному номеру частного лица. Обезличенные данные — без подобной привязки — не относят к персональным.

Виды персональных данных

Сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории личной информации.

Общие ПД. Это базовые сведения о гражданах, большая часть которых отражена в паспорте. Их используют при устройстве на работу, обучении, прохождении армейской службы и вносят в соответствующие документы — военный билет, диплом об образовании, трудовую книжку, личную карточку сотрудника.

Для получения и использования общих ПД не нужно письменное разрешение человека — достаточно «галочки» в графе обычной или онлайн-анкеты. Такая форма согласия делает эту информацию общедоступной.

Специальные ПД. Это закрытая информация о частном лице:

  • национальность;
  • политические убеждения;
  • вероисповедание;
  • состояние здоровья;
  • сексуальные предпочтения.

Распространение таких сведений может нанести человеку ущерб — большинство из них берут с письменного разрешения. Ограничения на использование информации о судимости еще жестче — ее обрабатывают на основании закона вне зависимости от согласия гражданина.

Биометрические ПД. Это биологические характеристики человека:

  • внешний облик — рост, вес, цвет глаз и волос;
  • голос;
  • отпечатки пальцев (дактилоскопические данные);
  • результаты ДНК-анализа потожировых следов, слюны;
  • группа и резус-фактор крови.

Биометрические ПД хранят для идентификации. Например, в банке сотрудник фотографирует клиента, чтобы система безопасности распознала его в случае утери карты или мошенничества.

Речевая аналитика Calltouch — система распознавания речи. С ее помощью вы узнаете пол, тип обращения клиента и получите текстовую расшифровку разговора с ним. Исследуете целевую аудиторию и оцените качество работы клиентского сервиса. Вы поймете, какие звонки приводят к продажам, сможете скорректировать скрипты колл-центра и рекламную стратегию — и увеличить приток покупателей.

  • Автотегирование звонков
  • Текстовая расшифровка записей разговоров

Иные ПД. Сведения, не попадающие в описанные выше категории. Это дополнительные характеристики человека: социальный статус, трудовой стаж, размер заработной платы, отпускные периоды. Большая часть таких сведений может меняться.

Оператор и субъект персональных данных

Субъект — конкретный человек, личность которого идентифицируют по персональным данным.

Оператор — тот, кто занимается обработкой ПД. Им могут быть:

  • организация — государственная, общественная, коммерческая;
  • частный предприниматель;
  • физическое лицо — например, владелец сайта изучает обезличенные ПД пользователей для оценки активности, рассылки, анализа половозрастной структуры.

Оператор должен быть зарегистрирован в реестре Роскомнадзора.

Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод Calltouch. Он поможет отсечь спам и нецелевые обращения, отметив их специальным тегом. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.

  • Выявляет и тегирует сомнительные звонки от недобросовестных рекламных подрядчиков или спам
  • Позволяет учитывать в отчетах только качественные обращения
  • Упрощает контроль подрядчиков

Чек-лист по обработке ПД

Если вы собираетесь обрабатывать персональные данные пользователей, следуйте алгоритму:

  1. Назначьте ответственного за организацию процесса.
  2. Разработайте политику конфиденциальности и опубликуйте ее на сайте. Утвердите локальные акты.
  3. Позаботьтесь о том, чтобы сервер для хранения ПД находился в России.
  4. Подготовьте оборудование и безопасное программное обеспечение.
  5. Подайте уведомление в Роскомнадзор и дождитесь ответа.
  6. Определитесь с перечнем сведений для сбора и хранения информации. Проверьте по официальным источникам, какие документы являются персональными данными.
  7. Получите согласие пользователя на обработку ПД.

Как получить согласие на обработку персональных данных

Обработка персональных данных — это любые действия с личной информацией:

  • получение;
  • структуризация;
  • хранение на носителях — в электронных и бумажных архивах;
  • анализ;
  • использование в коммерческой, социальной, государственной деятельности;
  • передача другим владельцам или предоставление доступа к базе;
  • обезличивание — устранение очевидной связи между человеком и его ПД;
  • блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
  • удаление и обновление;
  • ликвидация без возможности восстановления.

Персональные данные обрабатывают только с разрешения их владельца. Чтобы законно получить согласие:

  1. Уведомите Роскомнадзор о своих планах обрабатывать персональные данные. О случаях, когда уведомление не требуется, расскажем ниже.
  2. Составьте текст соглашения и разместите его в общем доступе на сайте или бумажном бланке. Снабдите документ чекбоксом для отметки о согласии на обработку ПД.
  3. Предупредите посетителей о сборе куки-файлов и иных метаданных (местоположения, IP-адреса) во всплывающем окне на сайте.
  4. Разместите ссылку на документ с политикой конфиденциальности компании или правилами работы с ПД.

Устное разрешение на обработку персональных данных не имеет силы. Нельзя получить его и по умолчанию. Например, покупка на сайте не означает автоматическое согласие клиента на обработку ПД.

Если вы собираете биометрическую информацию, вам понадобится специальное оборудование и письменное согласие субъекта. Чекбокс в этом случае не подойдет.

Бизнес

Учет рабочего времени сотрудников на предприятии: зачем нужен и как правильно его вести

Учет рабочего времени сотрудников на предприятии: зачем нужен и как правильно его вести

Обязательства оператора по защите персональных данных

Оператор персональных данных обязан:

  • Не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта, не допускать утечки.
  • Изменять или удалять сведения по требованию субъекта персональных данных. Удаление нужно подтверждать актом об уничтожении данных, выгрузкой из журнала ПД,
  • Размещать и хранить архив с информацией на российских серверах.
  • Оценивать ущерб от возможной утечки личных данных и оформлять их в виде акта. Требования — в приказе Роскомнадзора N 178 от 27.10.2022.
  • Сообщать в Роскомнадзор об утечке персональных данных — форма есть на официальном сайте ведомства.
  • Уведомлять Роскомнадзор о передаче ПД за границу — по ст. 12 N 152-ФЗ.

Для защиты ПД применяют организационные меры и технические средства — противовирусное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.

При низком уровне защиты личная информация граждан может попасть в руки преступников. За халатное отношение к своим обязанностям оператор будет отвечать в суде.

Уведомление в Роскомнадзор

Чтобы уведомить Роскомнадзор о намерении обрабатывать персональные данные, заполните электронную форму на сайте ведомства или портале «Госуслуги». В Роскомнадзор нужно сообщать об изменении названия или адреса оператора персональных данных, объема ПД и целей их обработки.

Заполненный документ отправьте онлайн или почтой по адресу местного отделения Роскомнадзора. Сведения о заявителе добавят в реестр в течение месяца.

Через сайт можно отправить уведомление о трансграничной передаче данных или их утечке.

Уведомлять Роскомнадзор не обязательно, если ПД обрабатывают для:

  • оформления разового пропуска на территорию предприятия;
  • исполнения предписаний ТК — только если информацию используют внутри предприятия и не передают в иные организации, например банки;
  • заключения договоров с сотрудниками и клиентами без передачи информации третьим лицам;
  • работы с данными только на бумажных носителях;
  • использования ПД участников в одной общественной или религиозной организации.

Перед подачей уведомления оповестите персонал, оборудуйте помещение и компьютеры средствами защиты информации, подготовьте документацию.

Обязательные документы и шаблоны

В список необходимых документов входят:

  • Политика конфиденциальности. Регламентирует работу со всей конфиденциальной информацией — деловой перепиской, договорами, внутренней документацией.
  • Правила работы с персональными данными. Их часто объединяют с политикой конфиденциальности — это не противоречит закону.
  • Согласие на обработку персональных данных. Форма для заполнения клиентом. Она содержит наименования (ФИО) и адреса оператора или действующего по его поручению лица, а также данные субъекта ПД. Обязательно указывают цель сбора информации и методы ее обработки, срок действия согласия, способы его отзыва.
  • Обязательство о неразглашении ПД. Это документ, подписанный всеми сотрудниками, которые имеют доступ к конфиденциальной информации о клиентах.
  • Приказ о назначении ответственного за работу с ПД. Этот внутренний документ часто требуют представители Роскомнадзора при проверках. Ответственным обычно назначают специалиста из отдела IT или службы безопасности.

Документы разрабатывают с участием юрисконсульта. Шаблон формы согласия клиента и рекомендации по составлению правил работы с ПД доступны на сайте Роскомнадзора.

Бизнес

Что такое незаконное использование товарного знака

Что такое незаконное использование товарного знака

Чем грозит нарушение закона

Любое нарушение правил использования персональных данных — это огромный риск для компании. Виды ответственности:

  • Административная — статья 13.11 КоАП РФ «Нарушение законодательства в области ПД».
  • Уголовная — статьи 137, 140, 272 УК РФ.
  • Гражданско-правовая — статьи 15, 151 ГК РФ.
  • Дисциплинарная — статьи 90, 81 ТК РФ.

Наказание зависит от обстоятельств нарушения и тяжести последствий. Возможные санкции:

  • предупреждение;
  • штрафы до 300 тысяч рублей, по административным статьям — до 75 тысяч рублей;
  • арест до шести месяцев;
  • исправительные работы до одного года;
  • принудительные работы до пяти лет;
  • лишение свободы до пяти лет.

Дополнительно суд обязывает возместить пострадавшему материальные убытки и компенсировать моральный вред. По месту работы применяют замечание, выговор или увольнение.

Коротко о главном

  • Персональные данные — это конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
  • Оператор персональных данных собирает, обрабатывает и обеспечивает защиту информации.
  • Перед обработкой персональных данных нужно уведомить Роскомнадзор о своем намерении.
  • Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность вплоть до уголовного преследования.

Если пользователь регистрируется или авторизуется на сайте, вводит любую личную информацию, согласие обязательно.

Да, если вы обрабатываете данные в электронном виде (на сайте). Если информацию вносят вручную на бумажных носителях, уведомление не требуется.

Любые действия с информацией о человеке: сбор, хранение, анализ, использование передача, обновление, блокировка, удаление.

В разрешении на обработку ПД нет необходимости, если субъект:
— участвует в договоре как выгодоприобретатель или поручитель;
— привлекается к участию в суде;
— не может физически предоставить согласие в экстренных ситуациях, например находится без сознания.
Не нужно получать согласие на обработку информации, которая не относится к ПД или не используется для коммерции. А именно:
— сведения, собранные для личных нужд человека — списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
— фото или видео с общественных мероприятий или полученные на платной основе;
— ИНН без привязки к другой информации;
— государственные номера транспортных средств.
— данные для проведения научных исследований, творческой деятельности, если они не нарушают прав и интересов граждан;
— информация для передачи только внутри компании.
Закон не дает исчерпывающего определения ПД — при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий

Персональные данные

Персональные данные человека – нематериальный объект, представляющий высокую ценность для широкого круга желающих его получить: от злоумышленников до коммерческих организаций. Чтобы обеспечить защитные меры для личной информации законодателями России принят 152-ФЗ «О персональных данных». Там представлены базовые положения, принципы безопасности личных данных, сформулированы основополагающие термины, очерчен круг объектов, субъектов, подпадающие под действие этого закона.

Что такое персональные данные, какова их классификация, кто вправе их обрабатывать, как они защищаются? Давайте разбираться.

Подробнее о формулировке

Под ответом на вопрос «что такое персональные данные человека» согласно документу № 153-ФЗ имеются ввиду любые сведения, которые относятся к конкретным физ. лицам. Этим общим понятием очерчена большая группа сведений – от фамилий, имен и отчеств до номеров ИНН.

Информацию излагают в любом виде – текстовом, звуковом или визуальном (аудиозаписи, фотографии, видеоролики, фото негативы, снимки или графики, изготовленные на специальном медицинском оборудовании).

Исходя из формулировки, персональными можно считать только такие сведения, которые прямо указывают на конкретного человека. Например, адрес электронной почты, номер телефона без идентификации регистрации, можно назвать персональной информацией лишь с оговорками. С другой стороны, точно такие же сведения для сотрудника, специалиста, имеющего доступ к базе данных, дадут возможность для идентификации владельца.

Классификация

В зависимости от доступности персональные данные делят на:

  • общедоступные;
  • конфиденциальные.

Закон № 153-ФЗ четко указывает, какие сведения относятся к первой категории: содержащиеся в справочниках, сборниках, каталогах, где такая информация находится с ведома человека и его разрешения. В общем доступе могут находиться ФИО, № телефона, домашний адрес – то, что человек сам считает возможным сообщить о себе.

К конфиденциальным относят данные, подлежащие защите от несанкционированного доступа, т.е. те, которые их владелец не желает выставлять на всеобщее обозрение. В эту группу может входить информация, которая с согласия собственника может быть включена в общедоступные источники – контактные сведения, привязанные к конкретному лицу. Например, к конфиденциальной информации относят также данные о банковских операциях, судимостях и т.п.

По характеру содержащихся сведений данные бывают:

  • общими;
  • специальными;
  • биометрическими;
  • иными.

В общую категорию включают данные, которые по согласованию с лицом становятся общедоступными: ФИО, адрес, место работы, семейное положение, № телефона, идентификатор популярных мессенджеров, электронная почта. Общедоступные сведения могут быть дополнены фотографией.

От других категорий общая отличается тем, что сведения из нее станут известными неопределенному кругу лиц из общедоступных источников: из соц. сетей, от друзей, знакомых, из визиток или резюме.

Специальные

Какие бывают персональные данные в этой категории? Информация, раскрывающая подробности личной жизни человека: отношение к религии, расовая принадлежность, наличие наследственных заболеваний, интимная жизнь, привлечение к административной, уголовной ответственности и т.д. Такие данные большинство людей старается сохранять конфиденциальными и не раскрывать посторонним. Например, информация о судимости, ставшая известной определенному человеку или неограниченному кругу людей, может причинить моральный вред ее владельцу. Сведения об имеющихся банковских вкладах, кредитах могут поменять отношение или повлиять на решение заинтересованных лиц, организаций.

Биометрические

Отпечатки пальцев, рисунок радужной оболочки глаза, генотип, группа крови – информация, входящая в биометрическую группу. К ней же относятся общие сведения, характеризующие другие физические особенности человека: рост, вес, цвет глаз, кожи.

Часть такой информации хранится, в том числе, в биометрических паспортах и используется для идентификации личности.

Что входит в персональные данные человека, не подпадающие под другие категории? Любая информация, которая также характеризует конкретную личность: членство в клубах, добровольных сообществах и т.п.

Напомним, что ФС РФ, обеспечивающая надзор в сфере связи, выпустила разъяснения, о том, что информация из специальной и/или биометрической категории считается персональными данными лишь тогда, когда используется в случае установления личности. Применение фото, рентген-снимков, других сведений как дополнительных или для строго ограниченных манипуляций (лечение, групповое фото или съемка в общественных зонах без фокусирования на человеке) не делает эти сведения личными.

Какие персональные данные нельзя разглашать? Любые! Все без разрешения владельца, данного в письменной форме.

Обработка персональных данных: что это?

Согласно № 153-ФЗ речь идет про любые манипуляции где задействованы средства IT-автоматизации или нет. Сюда относятся:

  • хранение;
  • систематизация;
  • уничтожение, удаление;
  • запись;
  • сбор, накопление;
  • передача;
  • блокировка;

В № 153-ФЗ четко изложены принципы, используемые на практике операторами при работе с персональной информацией.

  • Законность и справедливость. Любая деятельность, имеющая отношение к обработке конфиденциальных сведений, производится для всех категорий лиц строго в рамках законодательства;
  • Наличие строго ограниченных целей. Собирать информацию с иными целями, не оговоренными оператором, запрещено;
  • Точность, актуальность, достаточность. Обязанность обработчика данных – своевременно вносить изменения, если для этого есть поводы и законодательные рекомендации;
  • Срочность. Закон обязывает хранить сведения для идентификации в строго оговоренных временных рамках, описанных законом или до тех пор, пока не будут достигнуты идентификационные цели.

Примеры обработки данных:

  • сотрудник интернет-магазина попросил заполнить форму для продолжения коммуникации, указать свои ФИО и телефонный номер – сбор.
  • по запросу полиции получена информация о привлечении гражданина к административной ответственности – сбор, передача.
  • На здании у входных дверей установлена система видеонаблюдения с функцией распознавания лиц: подключенная техника собирает, хранит и систематизирует изображения.

Кто обладает правом выступать оператором персональных данных?

Согласно законодательным актам, функции операторов разрешено выполнять большинству организаций и физических лиц. Главное условие – наличие добровольного разрешения владельца на получение и обработку личной информацией. Случаи и перечень получателей, кому можно передавать персональные данные, перечислены в статьях 6, 10 закона от 27.07.2006 №152-ФЗ.

За рядом отдельных случаев, обозначенных ч.2 ст.22 153-ФЗ, перед началом своей деятельности оператору предписано выслать уведомительное письмо в Федеральную службу по надзору в сфере связи для постановки на учет в специальный реестр, где по состоянию на начало 2022 года зарегистрированы более 435 тыс. субъектов.

Уведомление посылать не нужно, если обработка информации производится:

  • в виде фамилии, имени и отчества без дополнительных идентифицирующих признаков;
  • без применения автоматизированных систем;
  • субъектами, включенными в реестр;
  • при контрольно-пропускном режиме и т.д.

В обязанности оператора входят:

  • назначение лиц, которые будут отвечать и следить за обработкой конфиденциальных сведений;
  • Выдача владельцу по первому требованию личных сведений, если персональная информация не была направлена от самого субъекта, источников, из которых пришли персональные сведения, цели их обработки;
  • выполнение всех требований законодательства в ходе ведения деятельности;
  • выяснение причин, устранение последствий разглашения, неправомерного использования конфиденциальных сведений;
  • проведение защитных мер для поддержания высокого уровня безопасности информации (при необходимости).

Разрешение человека на пользование его персональными сведениями, защитные мероприятия

Защитные действия в отношении вверенной личной информации осуществляет оператор: перед их принятием от гражданина получают одобрение на обработку. Под согласием понимается добровольное, заинтересованное принятие решения физическим лицом на использование личных сведений. Согласие получают непосредственно от самого гражданина (его дать может также законный представитель) письменно или в другой форме, не запрещенной законодательством. Например, на интернет-сайтах необходимо поставить «галочку» в специальном окошке, обозначающей, что посетитель добровольно соглашается на принятие его ФИО, телефона для контакта.

Бездействие человека, его молчание не означают разрешение, поэтому распоряжаться сведениями в этих случаях запрещено. За владельцем закреплено право отозвать по первому желанию свое согласие, но оператор продолжит работу с информацией, не требующей соглашения ее владельца.

Гражданин имеет право заявить об отказе от обработки, при этом отдельная группа операторов (магазины, поставщики услуг) не вправе отказать ему в обслуживании.

Безопасность работы с конфиденциальными сведениями

В понятие защиты персональных данных законодатели вкладывают превентивное выявление уязвимостей систем, тандем IT-инфраструктуры с механизмами безопасности, специализированным ПО, организационными, правовыми действиями. Мероприятия должны исключать несанкционированное или случайное получение защищаемой информации, разглашение, повреждение, другие вредоносные действия.

К организационно-правовым мерам относят разработку, внедрение рабочих инструкций, политик безопасности, назначение ответственных за их соблюдение сотрудников. Технические меры: установка специального ПО (антивирусы, фаерволлы, DLP-системы), СКУД, видеонаблюдение.

Особенности защиты персональных данных заключаются в комплексном применении техники (физические серверы, облачные хранилища) внедрение правовых норм, предусматривающих ответственность за нарушение законодательства в отношении конфиденциальности информации.

Ответственность за разглашение

Утечка данных, содержащих личную информацию, влечет наказание согласно административному, гражданскому, уголовному кодексам. Санкции ст.13.11 КоАП РФ в зависимости от статуса нарушителя (физическое, юридическое лицо, индивидуальный предприниматель), повторности, вида правонарушения предусматривают штрафы от 10 000 до 18 000 000 рублей.

Уголовное законодательство более строго относится к нарушителям, посягнувшим на неприкосновенность личной жизни. Осужденному по ст.137 УК РФ грозит штраф до 350 000 рублей, принудительные работы, запрет на занятие определенными видами деятельности или запрет на определенные должности, или тюремное заключение сроком до 6 лет.

Кроме привлечения к административному и уголовному видам наказания, виновное лицо может быть наказано материально посредством подачи гражданского иска в суд общей юрисдикции.

Государство, осознавая ценность персональных данных, поддерживает и исполняет меры по их защите на законодательном уровне. Состояние безопасности конфиденциальной информации зависит от выполнения норм законов, внедрения современной IT-инфраструктуры и программного обеспечения. Нарушения в сфере личной жизни граждан жестко наказываются материально и уголовно.

Кратко и доступно: что такое персональные данные, их хранение и обработка

Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:

Не ПДн ПДн
ivan999@mail.ru ФИО: Иванов Иван Иванович, email: ivan999@mail.ru
30% опрошенных женаты Иванов Иван Иванович женат

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Похожие публикации:
  1. Глава по бк что это
  2. Как считается транзит по свх
  3. Как часто проводится инструктаж по охране труда
  4. Какую периодичность проверки соответствия схем электроснабжения фактическим эксплуатационным с

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *