Виды персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Виды персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

# Какая деятельность подлежит обязательному лицензированию и какими могут быть сами лицензии?

Начнем с того, что лицензирование представляет собой способ регулирования деятельности организации, характеризующийся установлением правового режима осуществления отдельных видов деятельности. Основные виды лицензий, выдаваемых регулирующими органами Лицензия ФСБ (государственная тайна) Если организация проводит работы с использованием сведений, представляющихгосударственную тайну , необходимо получить лицензию ФСБ. Такая лицензия необходима организациям, вне зависимости от их организационно-правовых форм. Лицензия представляет собой официальный документ и действует в течение установленного срока, разрешая осуществлять на определенных условиях конкретный вид деятельности. Имея лицензию на Гостайну, организация, в том числе и поставщик облачных услуг, может выполнять следующее:

• осуществлять работы с использованием сведений, составляющих государственную тайну;
• осуществлять работы, связанные с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
• осуществлять мероприятия и/или оказывать услуги в области защиты государственной тайны.

Лицензия ФСБ на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных Помимо лицензии на Гостайну, ФСБ занимается выдачей лицензии на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных. Такая лицензия позволяет выполнять широкий перечень работ и оказывать услуги в отношении шифровальных (криптографических) средств. В таблице ниже представлен пример работ и услуг, которые можно выполнять при наличии такой лицензии. Список 1. Пример перечня работ/услуг, которые можно выполнять согласно лицензии

• Разработка шифровальных (криптографических) средств.
• Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Разработка средств изготовления ключевых документов.
• Модернизация шифровальных (криптографических) средств.
• Модернизация средств изготовления ключевых документов.
• Производство (тиражирование) шифровальных (криптографических) средств.
• Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Производство средств изготовления ключевых документов.
• Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
• Производство (тиражирование) шифровальных (криптографических) средств.
• Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Производство средств изготовления ключевых документов.
• Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
• Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.
• Работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией на эти средства.
• Ремонт шифровальных (криптографических) средств.
• Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Передача шифровальных (криптографических) средств.
• Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Передача средств изготовления ключевых документов.

# Какова ответственность в случае нарушения требований по защите ПДн?

Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность? Ответственность, за нарушение требований по защите ПДн Статья 24 закона № 152-ФЗ «О персональных данных» определяет вид ответственности за нарушение требований ФЗ, которая заключается в том, что лица, виновные в нарушении требований закона, несут

• гражданскую ответственность;
• уголовную ответственность;
• административную ответственность;
• дисциплинарную и иную ответственность, предусмотренную законодательством РФ.

Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:

• гражданские иски со стороны клиентов или работников;
• приостановление или прекращение обработки ПДн в организации;
• привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
• приостановление действия или аннулирование лицензий на основной вид деятельности организации;
• репутационные риски;
• риски недобросовестной конкуренции.

Персональные данные – использование на предприятии

В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).

Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.

Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.

В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.

Требования к процедуре

Общие требования устанавливает ст. 86 Трудового кодекса РФ и ст. 5 Закона о персональных данных:

• обработка персональных данных производится только с целью, связанной с трудовой деятельностью. Например, в целях трудоустройства, повышения квалификации, прохождении аттестации и т.п.
• персональные данные работодатель получает только от работника. Если эти сведения можно получить только от третьих лиц, то получите письменное согласие работника.
• работодатель обязан ознакомить работника с локальными актами, которые касаются работы с персональными данными. Это приказ об утверждении положения о персональных данных, о допуске к данным и т.п.
• хранятся данные только до достижения целей обработки (действие трудового договора и требования по срокам хранения личных дел)
• меры по защите персональных данных работодатель вырабатывает совместно с работниками

Огромное значение правильной обработки персональных данных является издание локальных актов работодателя. Образцы и примеры составления которых мы разместили на нашем сайте.

По общему правилу специальные и биометрические категории персональных данных работодатель не обрабатывает.

Защита служебной тайны

Очевидно, что служебная тайна нуждается в защите. Сформирован целый ряд механизмов, охраняющих служебную тайну от незаконного завладения ею третьими лицами, внесения в нее изменений, уничтожения.

Соглашение о неразглашении, отражение в трудовом договоре четко прописанных дополнительных условий и мер по сохранению служебной тайны, разработка отдельного ЛНА, касающегося служебной тайны – это правовые инструменты защиты конфиденциальной служебной информации. Кроме них могут предусматриваться еще технические средства защиты, в том числе и кодирование сведений.

Важную роль играет организация процесса сохранности служебной информации в коллективе: учет работников с особым доступом к таким сведениям, их обучение, особый порядок работы с деловыми бумагами и иными носителями информации, составляющими служебную тайну. Работник, допустивший утечку тайных служебных сведений, может быть уволен по ст. 81 ТК РФ п.6 (в).

КоАП РФ статьей 13.14 предусматривает штрафы за разглашение сведений с ограниченным доступом. В частности, если «утечка» произошла по вине должностного лица, штраф может составить от 4 до 5 тыс. рублей.

За разглашение служебной тайны может наступить и уголовная ответственность. Так, статьей 155 УК РФ предусмотрен штраф до 80 тыс. руб., арест до 4 месяцев за разглашение тайны усыновления, удочерения. При этом недобросовестный чиновник может быть лишен права занимать определенные должности на срок до 3 лет.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Персональные данные имеет множество видов тайн, за разглашение которых человек несет полную ответственность. Среди всех видов, выделяют следующие тайны: • Усыновление. Если судья выносит решение об усыновлении ребенка, он берет на себя ответственность за разглашение этой тайны. Такую тайну также должны хранить лица, проводившие государственную регистрацию усыновления и имеющие какие-либо сведения об этом. Детально о тайне усыновления можно узнать в статье 139 Семейного кодекса РФ. • Врачебная тайна. К ней относится любая информация, связанная со здоровьем человека: обращение за медицинской помощью, поставленный диагноз, обследование, лечение. По статье 61 законодательства Российской Федерации эту информацию нельзя разглашать другим людям без согласия этого самого человека. • Налог. К этой тайне чаще всего имеют отношение налоговые или таможенные организации, следователи и внутренние органы. Они не имеют права разглашать любые сведения о налогоплательщике. Налоговую тайну регулирует статья 102 Налогового Кодекса Российской Федерации. • Адвокатская тайна. С этой тайной мы сталкиваемся довольно часто, но не всегда понимаем, что к ней относится. Адвокатская тайна – любая информация между адвокатом и его доверителем. Это одна из обязанностей адвоката и один из принципов адвокатской деятельности (статья 3 Федерального Законодательства). • Тайна исповеди. Священнослужитель не может понести ответственность, если откажется рассказывать какую-либо информацию, касающуюся обстоятельств, которую он узнал от прихожанина на исповеди. Регулирует данную тайну пункт 7 статьи 3 Федерального Законодательства №125. Есть две тайны, которые не регулируются отдельными законами: личная (любая информация о человеке, которую тот хочет скрыть от посторонних) и семейная (информация о членах семьи, которую человек желает скрыть от других людей).

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

• Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
• Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
• Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
• Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
• Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

• исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
• в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
• направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Объект защиты информации – это информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

Под объектом защиты надо понимать не абстрактное понятие, а комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора, передачи, обработки и хранения информации.

К защите непосредственно информации можно отнести организационные меры и исследования в теоретических областях, разработку концепции защиты информации. Более конкретные действия направлены на носители. Так, регламентация работы с документами, электронными запоминающими устройствами, веществами, несущими в себе информацию, ставит целью сохранять в безопасности и оберегать от несанкционированного доступа именно сами эти документы, носители, вещества, с целью сохранения информации, содержащейся в них. Таким образом, можно сказать, что выделение носителя информации в качестве объекта защиты – необходимый шаг для последующего определения в качестве объекта защиты самой информации.

Так как носители представляют собой множество принципиально разных физических объектов, методы их защиты также разнообразны, и включают в себя разработку технических и программных средств защиты, разработку защищённых каналов передачи (к примеру, в случае рассмотрения в качестве объекта защиты электромагнитных волн и полей), разработку организационных мер и нормативных актов, обеспечивающих эффективность вышеуказанных средств защиты.

*16. Классификация защищаемой информации по материальным объектам.

В зависимости от природы и формы реализации материального объекта, информация сама по себе может представать в разных формах. Таким образом, можно провести классификацию информации по материальному объекту, на котором она представлена:

• При представлении на бумаге информация – последовательность сочетаний символов, равно как и при представлении в текстовом виде на любом другом носителе.

• При представлении информации в виде графиков, чертежей, прочих графических изображений, информация – сочетание простых геометрических примитивов, образующих у пользователя некоторые образы, ассоциирующиеся с явлениями, понятиями и данными.

• При хранении, передаче и обработке с помощью электронно-вычислительных средств информация представляет собой последовательность битов, то есть последовательность сочетаний интервалов высокого и низкого уровня напряжения. В такой форме информация, так или иначе, предстаёт при любом её использовании с помощью ЭВС.

• При передаче посредством электромагнитных волн информация представляет собой данные о частоте, амплитуде, фазе и модуляции волны, несущей данные.

• Если информацию несёт предмет или изделие само по себе, то, фактически, информацией являются конкретные результаты замеров параметров данного предмета или изделия. Аналогично, если информацию несёт вещество, она содержится в результатах замеров химических, физических, биологических свойств этого вещества.

• В случае, если носителем информации выступает человек, то она представляется в виде множества образов, возникающих в сознании этого человека. С помощью мыслительной деятельности человек может преобразовывать такую информацию в другие формы.

Информационные следы и персональные данные

Информация, которая связана с конкретным человеком, касающаяся, например, конкретных данных из его биографии, его национальность, место жительства, данные о различного рода болезнях, о профессиональных знаниях и способностях, о семейной жизни, привычках, хобби, нравственные, политические, сексуальные и религиозные пристрастия и многое другое — составляет значительную, а скорее всего даже большую часть циркулирующей в обществе информации.

Возможно, не все хотели бы делиться подобной информацией, однако в процессе своей жизнедеятельности человек так или иначе оставляет соответствующие «информационные следы» в отделах кадров, в социальных службах, органах исполнительной власти, в сфере услуг, различного рода организациях.

А как же иначе, если всегда и во все времена представители различных организаций, оказывающие те или иные услуги, в том числе и работодатели при приёме на работу, медицинские, финансовые организации и т.д. — собирают данные о личности потребителей своих услуг, о своих работниках. И, как правило, такие данные собираются максимально подробно. Оправданием для них выступает тот факт, что они хотят наиболее полно иметь представление о личности своих заказчиков/потребителей/клиентов.

Законно ли собирать данные людей? Что говорит об этом закон

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» не регламентирует объём той информации, которую можно считать персональными данными. В связи с чем на практике при сборе определённой информации, представители тех структур, в которые обратился потребитель, сами того нехотя, переходят ту невидимую грань, когда определённые запрашиваемые ими сведения являются персональными данными, которые нуждаются в особой правовой защите.

Часто от потребителя требуют сообщить достаточно исчерпывающую информацию, непосредственным образом относящуюся к его личности. Примером может стать примитивная анкета для получения бонусной или дисконтной карты, которую выдают сейчас практически все сферы услуг, будь то это простой продуктовый магазин, магазин детских товаров, зоомагазин, салон красоты, SPA-центр, медицинская клиника или дилерский центр по обслуживанию автовладельцев. Как правило, в таких анкетах стандартный набор вопросов, характер которых разнообразный — семейное положение, состояние здоровья, место жительства, данные, касающиеся имени и фамилии, количества детей в семье и их данные и т.д.

Вместе с тем зачастую запрашиваемая информация никаким образом не относится к непосредственной деятельности представителя той или иной услуги для потребителя. Тем самым представитель конкретной услуги переходит тонкую грань, отделяющую персональные данные от сведений, составляющих тайну частной жизни, личную или семейную тайну потребителя.

Проблема, касающаяся непосредственно объёма той информации, которую можно считать персональными данными, значима еще и потому, что в разных видах деятельности под персональными данными понимаются очень часто не совпадающие наборы данных. А разрозненность законодательной базы в данной области – также создаёт дополнительные трудности, при определении той информации, которая даёт возможность идентифицировать лицо. Так, например, в Федеральном законе от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» к персональным данным отнесены сведения, касающиеся инициалов лица-потребителя той или иной медицинской услуги, его пола, даты и места рождения, гражданства, сведения о документе, удостоверяющем личность, данные о страховом номере индивидуального лицевого счета в системе обязательного пенсионного страхования, сведения, касающиеся анамнеза, диагноза и т.п.

Персональными данными в соответствии с Федеральным законом от 15.11.1997 N 143-ФЗ «Об актах гражданского состояния» считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния. Максимально подробно регламентированы правоотношения относительно персональных данных работника в Трудовом кодексе РФ (глава 14). Вместе с тем объем персональных данных определяется здесь достаточно широко: это информация, которая требуется работодателю в связи с трудовыми отношениями и касающаяся конкретно-определённого работника. Однако трудовое законодательство содержит прямое указание на то, что требовать от лица, поступающего на работу, документы или данные помимо регламентированных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ – запрещено.

Какие существуют требования по обеспечению защиты ИСПД?

Для ИСПД четвертого класса все мероприятия, направленные на обеспечение защиты ПД, устанавливаются оператором.

Системы третьего класса должны пройти процедуру декларирования или аттестацию, а также получить лицензию ФСТЭК по техзащите конфиденциальных данных, если такие системы являются распределенными.

ИСПД второго класса должны обязательно проходить аттестацию, для них должны проводиться мероприятия, направленные на обеспечение защиты данных от побочных электромагнитных излучений и наводки. Соответственно, для реализации подобных мер могут потребоваться специальные средства защиты информации. Для распределенных систем также необходимо получать лицензию ФСТЭК.

ИСПД первого класса должны обязательно проходить аттестацию, и также подвергаются мероприятиям, направленных на защиту от побочных электромагнитных излучений и наводок. Обязательно получение лицензии ФСТЭК для осуществления деятельности по техзащите конфиденциальных сведений.

Классификация информационных систем персональных данных (ИСПД)

Для того чтобы классифицировать ИСПД, необходимо знать степень (категорию), к которой относятся данные и определить их объем.

По объему ПД системы делят на три типа:

1.

К первому относятся ИСПД, насчитывающие свыше 100 000 субъектов в пределах Российской Федерации.

2.

Ко второму – ИСПД, в которых ведется обработка ПД более 1 000 субъектов, которые живут в конкретном муниципальном образовании. Сюда также входят субъекты, занятые в экономике или конкретном органе государственной власти.

3.

К третьему – информационные системы с данными не более 1 000 СПД, занятых в конкретной компании.

Проанализировав исходные данные, можно присвоить системе соответствующий класс:

• В ИС первого класса нарушения безопасности хранения и обработки ПД опасны, поскольку могут привести к серьезным пагубным последствиям для их обладателей.
• Второй класс присваивают системам, нарушение обработки и хранения ПД в которых способно привести к ощутимым нежелательным последствиям.
• Третий объединяет ИСПД, нарушения в которых способны привести к незначительным последствиям.
• К четвертому принадлежат ИСПД, в которых в случае нарушения параметров безопасности обрабатываемым данным ничего не угрожает.

Классы принято условно обозначать буквой «К». Порядок проведения классификации ИСПД регламентирован приказом ФСТЭК.

Наказание за разглашение служебной информации

За разглашение информации, представляющих собой служебную тайну, предусмотрена административная или уголовная ответственность в зависимости от обстоятельств нарушения.

• Административная ответственность

Служебная тайна является информацией, не подлежащей разглашению. За нарушение конфиденциальности данных к административной ответственности привлекаются сотрудники. Согласно статье 15.21 КоАП РФ, в этих случаях назначается штраф. Его размер составляет от 30 000 до 50 000 рублей, а также отстранение от занимаемой должности на срок от года до двух лет.

• Уголовная ответственность

Уголовный кодекс имеет несколько норм по поводу несения ответственности за несоблюдение служебной тайны.

1. Раскрытие информации об усыновлении, за которое назначается штраф до 80 000 рублей, либо лишение свободы сроком до 4 месяцев.
2. Разглашении сведений о мероприятиях, предпринимаемых относительно судей участников уголовного дела. За это нарушение предусмотрены штрафы до 200000 рублей, либо лишение свободы сроком до 5 лет.
3. Раскрытие информации о мерах безопасности в отношении сотрудников правоохранительных органов. Наказание за это нарушение такие же, как и в предыдущем пункте.

ВАЖНО! Сотрудник, нарушивший служебную тайну, сразу же увольняется с занимаемой должности.

Похожие записи:

• ​Штраф за вождение в нетрезвом виде в 2023 году
• Работа за границей для русских: ТОП-32 вакансий для трудоустройства за рубежом
• Налог на имущество: как сэкономить