- Какие сведения являются такой информацией?
- У граждан
- У юридических лиц?
- Что не входит в ПД?
- Что может быть отнесено в данную категорию при выполнении определенных условий?
- Что является персональными данными по закону
- Меры защиты и ответственность
- Персональные данные и Интернет
- Какая информация относится к персональным данным?
- Что не является персональными данными?
- Классификация информационных систем персональных данных (ИСПД)
- Какие существуют требования по обеспечению защиты ИСПД?
- Как защитить ИСПД?
- В каких случаях необходимо проходить аттестацию и сертификацию?
- Персональные данные: подробное руководство и шаблоны документов
- Типы ПД
- Оператор и субъект персональных данных – кто есть кто
- Как получить согласие на обработку персональных данных
- Когда согласие не нужно
- Обязательства оператора по защите персональных данных
- Уведомление в Роскомнадзор
- Обязательные документы
В начале жизни каждый человек получает имя и свидетельство о рождении. Спустя годы, он получает внутренний паспорт, ИНН, страховое свидетельство и другие документы, в которых содержатся его персональные данные.
Во время получения каждого из вышеперечисленных документов мы соглашаемся на обработку наших персональных данных. И зачастую многие даже не подозревают об этом, так как не читают документы перед тем, как их подписывать.
Какие сведения являются такой информацией?
Согласно Федеральному закону №-152 ФЗ «О персональных данных» вступившего в силу 27 января 2007 года, целью которого является обеспечение защиты прав и свобод человека, персональными данными (далее ПДн) считается абсолютно любая информация, имеющая отношение к определяемому или определенному физическому лицу.
Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.
Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:
- фамилия, имя, отчество;
- место жительства или регистрация;
- дата и место рождения;
- семейное, социальное или имущественное положение;
- сведения об образовании, доходах, профессии и пр.
Существует несколько видов ПДн, которые разделяются по степени информативности.
- К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
- Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
- К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
- К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.
У граждан
Персональными данными физических лиц считаются:
- ;
- дата рождения;
- идентификационный номер;
- место рождения;
- гражданство;
- информация о регистрации по месту жительства или месту проживания;
- свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
- сведения о семейном положении (о супруге, детях и родителях);
- информация об образовании;
- информация о роде занятий;
- о пенсии;
- о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
- о налоговых обязательствах;
- об исполнении воинской обязанности.
У юридических лиц?
Также в некоторых случаях учитываются ПДн руководителя юридического лица.
Что не входит в ПД?
В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».
Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.
Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.
Что может быть отнесено в данную категорию при выполнении определенных условий?
- Номер телефона может иметь отношение к персональным данным лишь в том случае, если он закреплен за конкретным физическим лицом по договору с оператором связи или находится в открытом доступе с указанием имени владельца. В таких случаях номер мобильного относится к прямо или косвенно определенному физическому лицу.
- В примерно таком же положении находиться и email адрес.
Большинство людей прописывают в адресе слова и символы, которые ничего не значат. Вследствие этого, по этому электронному адресу невозможно идентифицировать человека.
В соответствии с законодательством Российской Федерации все персональные данные должны быть защищены и находиться в закрытом доступе, не считая тех случаев, когда они становятся общедоступными с письменного согласия субъекта.
Защитой, хранением и обработкой персональных данных занимается определенный круг лиц.
Например: государственные и муниципальные службы, начальник, специалисты отдела кадра и т.д. Следует быть предельно внимательным, вручая свои персональные данные тем или иным людям и уделить достаточное время этому пункту в договорах, перед тем как поставить подпись.
Что является персональными данными по закону
П ерсональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.
В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.
С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок. Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.
Меры защиты и ответственность
В ч.1 и ч. 2 статьи 13 № 323-ФЗ указано, что личные сведения гражданина не могут быть разглашены без его согласия. Особенно строгие меры защиты приняты в отношении врачебной тайны, которую запрещается раскрывать даже в случае смерти субъекта.
Статья 137 УК РФ настоящего закона вводит уголовную ответственность за несанкционированный сбор и разглашение информации о личной жизни субъекта персональных данных. Распространение сведений возможно только при письменном согласии лица.
Также является незаконным разглашение информации в публичных выступлениях, в публикуемых художественных произведениях и СМИ.
Закон запрещает распространение персональных данных в рамках служебного положения.
Федеральный закон № 323 четко провозглашает, что за разглашение персональных данных любое лицо может быть привлечено к уголовной ответственности. Специалисты в области IT-безопасности обращают пристальное внимание на предоставление социальным сетям, мобильным приложениям и различным сервисам возможности сбора данных.
При сохранении возможности настройки приватного доступа к отдельной информации в социальных сетях проблема защиты персональных данных фактически остается нерешенной. Кража общедоступных сведений считается распространенным явлением. Кроме того, любые данные, размещенные в соцсетях, постоянно обрабатываются веб-сервисами.
Любое физическое лицо вправе сделать запрос через оператора персональных данных на запрет обработки информации.
Персональные данные и Интернет
Ценные данные предоставляются через IP или веб-службы. Данные сведения позволяют компаниям, связанным с рекламной деятельностью, структурировать информацию и передавать ее третьим лицам. Получить доступ к данным такие компании могут с помощью специализированного программного обеспечения.
Персонализация веб-страниц преследует цель подробного изучения интересов пользователей и потенциальных клиентов. С помощью программного обеспечения специалисты могут отслеживать активность каждого пользователя, находящегося на веб-ресурсе, что помогает определить область его интересов. Отслеживание активности пользователя позволяет повышать конверсию продаж.
Какая информация относится к персональным данным?
Закон № 152 указывает, что к ПД можно отнести любые данные, с помощью которых определяется физическое или юридическое лицо. Зачастую предоставление ПД необходимо для оформления документов, в том числе гражданского паспорта, ИНН и т.д.
Закон позволяет вести обработку персональных данных физическим, юридическим лицам, муниципальным органам и государственным учреждениям.
К перечню основных персональных данных относятся:
- ФИО субъекта;
- место постоянного (временного) проживания;
- дата рождения;
- любые данные о семейном, финансовом положении;
- любые данные, связанные с родом деятельности, заработком, образованием.
Все персональные данные принято делить на четыре группы:
1. К первой относятся сведения общего характера, – национальность, приверженность к религии, наличие инвалидности и т.п. Такую информацию часто вносят при заполнении анкет для приема на работу, она также может содержаться в медицинских справках.
2. Ко второй относятся данные, позволяющие выполнить идентификацию лица. К ним причисляют ФИО, адрес, занимаемую должность, место работы и т.д.
3. Третья группа ПД включает биометрику: снимок сетчатки глаза, отпечатки пальцев, данные анализа ДНК.
4. В четвертую входят общедоступные персональные данные. Это сведения, которые не позволяют идентифицировать лицо. Согласно закону, их нельзя причислять к конфиденциальным данным. Например, уровень дохода представителей муниципалитетов, государственных учреждений.
Персональными данными физических лиц по закону считаются:
- ФИО;
- ИНН и дата рождения;
- гражданство согласно гражданскому паспорту и место рождения;
- данные о регистрации и фактическом месте жительства;
- данные о родственниках и супругах;
- данные о дееспособности, свидетельство о смерти;
- сведения о наличии образования;
- сведения о пенсионных доходах;
- данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
- данные о налоговых платежах;
- информация о воинской обязанности.
Персональными данными юридических лиц по закону считаются:
- наименование юрлица;
- юрадрес и организационно-правовая форма;
- местоположение юрлица;
- ОГРН;
- ИНН и КПП;
- номер расчетного счета.
К данному перечню также можно причислить сведения о руководителе.
Что не является персональными данными?
Развитие Интернета привело к доступности данных. Веб-поиск позволяет каждому желающему найти интересующую информацию о конкретном лице. Однако согласно закону № 152-ФЗ любой оператор, ведущий обработку ПД, не имеет права разглашать данные без согласия субъекта.
Оператором признается лицо или государственный (муниципальный) орган, который производит обработку персональных данных. По согласию ОПД может передавать информацию сторонним лицам для проведения обработки (ч. 3 ст. 6).
Оператор отвечает перед субъектом за действия, совершаемые с персональными данными сторонними лицами. В свою очередь, они не несут ответственности перед субъектом, но отвечают перед оператором.
Много вопросов вызывают такие сведения, как IP-адрес, электронный ящик, номер телефона. Можно ли отнести их к персональным данным, если зачастую такие сведения остаются общедоступными? Если обратиться к статье ФЗ-152, можно сделать следующие выводы:
- Номер телефона можно причислить к персональным данным, так как с его помощью достаточно легко идентифицировать абонента, используя дополнительные средства. В соответствии с определением ПД, номер телефона не может быть разглашен без согласия субъекта.
- Адрес электронного ящика по аналогии также может быть причислен к ПД. Однако если в адресе не фигурирует ФИО субъекта, такая информация считается обезличенной.
- Фото и видео являются персональными данными, если с их помощью можно установить личность субъекта. При этом, согласно статье 152.1 ГК РФ, фотографии и видео могут публиковаться на массовых и публичных мероприятиях.
- Логины и пароли не входят в категорию персональных данных, однако могут быть причислены к коммерческой тайне.
Классификация информационных систем персональных данных (ИСПД)
Для того чтобы классифицировать ИСПД, необходимо знать степень (категорию), к которой относятся данные и определить их объем.
По объему ПД системы делят на три типа:
1. К первому относятся ИСПД, насчитывающие свыше 100 000 субъектов в пределах Российской Федерации.
2. Ко второму – ИСПД, в которых ведется обработка ПД более 1 000 субъектов, которые живут в конкретном муниципальном образовании. Сюда также входят субъекты, занятые в экономике или конкретном органе государственной власти.
3. К третьему – информационные системы с данными не более 1 000 СПД, занятых в конкретной компании.
Проанализировав исходные данные, можно присвоить системе соответствующий класс:
- В ИС первого класса нарушения безопасности хранения и обработки ПД опасны, поскольку могут привести к серьезным пагубным последствиям для их обладателей.
- Второй класс присваивают системам, нарушение обработки и хранения ПД в которых способно привести к ощутимым нежелательным последствиям.
- Третий объединяет ИСПД, нарушения в которых способны привести к незначительным последствиям.
- К четвертому принадлежат ИСПД, в которых в случае нарушения параметров безопасности обрабатываемым данным ничего не угрожает.
Классы принято условно обозначать буквой «К». Порядок проведения классификации ИСПД регламентирован приказом ФСТЭК.
Какие существуют требования по обеспечению защиты ИСПД?
Для ИСПД четвертого класса все мероприятия, направленные на обеспечение защиты ПД, устанавливаются оператором.
Системы третьего класса должны пройти процедуру декларирования или аттестацию, а также получить лицензию ФСТЭК по техзащите конфиденциальных данных, если такие системы являются распределенными.
ИСПД второго класса должны обязательно проходить аттестацию, для них должны проводиться мероприятия, направленные на обеспечение защиты данных от побочных электромагнитных излучений и наводки. Соответственно, для реализации подобных мер могут потребоваться специальные средства защиты информации. Для распределенных систем также необходимо получать лицензию ФСТЭК.
ИСПД первого класса должны обязательно проходить аттестацию, и также подвергаются мероприятиям, направленных на защиту от побочных электромагнитных излучений и наводок. Обязательно получение лицензии ФСТЭК для осуществления деятельности по техзащите конфиденциальных сведений.
Как защитить ИСПД?
Для обеспечения защиты ИСПД необходимо сделать следующее:
- Уведомить уполномоченные органы о намерении проводить обработку ПД.
- Собрать исходные данные.
- Присвоить класс.
- Спрогнозировать угрозы для структуры и составить модель.
- Спроектировать систему защиты ПД.
- Выполнить реализацию и интеграцию системы.
- Выполнить все требования к инженерной защите, охране, пожарной безопасности, экологические требования и т.д.
- Пройти аттестацию.
- Позаботиться о квалификации персонала, который будет вести обработку ПД.
В каких случаях необходимо проходить аттестацию и сертификацию?
Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс. Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов.
Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия. Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.
Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.
Персональные данные: подробное руководство и шаблоны документов
В случае утечки персональных данных репутация и деятельность компании могут сильно пострадать, поэтому ответственный предприниматель всячески их оберегает с самого начала работы. Обращение с конфиденциальной информацией регламентирует законодательство.
Рассказываем, что такое обработка персональных данных, как собирать информацию без риска наложения санкций надзорными органами, и какую ответственность влечет нарушение правил.
Типы ПД
Личностные сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории такой информации – общую, специальную, биометрическую, иную.
Оператор и субъект персональных данных – кто есть кто
Субъект персональных данных – конкретный человек, личность которого указанная информация помогает идентифицировать.
Оператор – лицо, занимающееся обработкой ПД. Им могут быть:
- организация – государственная, общественная, коммерческая;
- частный предприниматель;
- физическое лицо – например, владелец сайта, использующий ПД посетителей ресурса для оценки активности, рассылки, анализа половозрастной структуры пользователей и просто хранящий эти сведения.
Отсутствие такой организации или частного лица в соответствующем реестре Роскомнадзора, которое дает им право осуществлять обработку ПД, не освобождает от административной и уголовной ответственности.
Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод от Calltouch .
Он отсечет спам , нецелевые обращения и предоставит данные об активности клиентов. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.
Автоматически выявляет некачественные звонки, которые не приводят к продажам, а просто расходуют бюджет.
- Выявляет и тегирует сомнительные звонки от недобросовестных рекламных подрядчиков или спам
- Позволяет учитывать в отчетах только качественные обращения
- Упрощает контроль подрядчиков
Как получить согласие на обработку персональных данных
Обработка ПД – любые действия с личной информацией о человеке:
- получение (сбор персональных данных);
- структуризация;
- хранение на любых носителях (в электронных и бумажных архивах);
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание – устранение очевидной связи между человеком и его ПД;
- блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
Обработка персональных данных проводится только с разрешения их владельца. Чтобы получить согласие субъекта и соблюсти закон, нужно:
- Уведомить Роскомнадзор о своих планах начать обработку персональных данных (за исключением ряда случаев, о которых мы расскажем ниже).
- Составить текст соглашения и разместить его в общем доступе на сайте или бумажном бланке, снабдив чекбоксом для отметки о разрешении клиента на обработку ПД.
- Предупредить посетителей интернет-ресурса о сборе cookie и иных метаданных (местоположения, IP-адреса) для его полноценной работы. Предупреждение обычно оформляют в виде всплывающего окна с предложением согласиться на обработку или покинуть сайт.
- Разместить на сайте ссылку на документ, отражающий политику конфиденциальности компании или правила работы с ПД.
Устное разрешение на обработку персональных данных не допускается. Нельзя получить его и по умолчанию. Например, то, что клиент совершил покупку на сайте, не говорит о его согласии на обработку ПД.
Для сбора биометрической информации предусматривают техническую возможность письменного разрешения – чекбокс в этом случае не подойдет.
Когда согласие не нужно
В разрешении на обработку ПД нет необходимости, если их субъект:
- Является участником договора.
- Подвергается судебному разбирательству.
- Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).
Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:
- сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
- фото или видео с общественных мероприятий или полученные на платной основе;
- ИНН без привязки к другой информации;
- государственные номера транспортных средств.
- данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
- информация, предназначенная для передачи только внутри компании (группы компаний)
Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.
Обязательства оператора по защите персональных данных
Оператор персональных данных обязан:
- не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта персональных данных, не допускать утечки;
- изменять или удалять сведения по требованию субъекта персональных данных;
- размещать и хранить архив с информацией на российских серверах.
Для защиты ПД применяют организационные меры и технические средства – противовирусное программное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.
При низком уровне защиты личная информация граждан может попасть в руки преступников – воров, мошенников, шантажистов. Оператор за халатное отношение к своим обязанностям будет отвечать перед законом.
Уведомление в Роскомнадзор
Чтобы уведомить Роскомнадзор о намерении вести деятельность по обработке персональных данных, заполните электронную форму на сайте ведомства или портале «Госуслуги». Заполненный и распечатанный документ можно отправить в бумажном виде – почтой по адресу местного отделения Роскомнадзора. Сведения об организации или частном лице будут добавлены в реестр в течение месяца.
Отправлять уведомление в регулирующий орган не обязательно, если обработка ПД применяется в следующих случаях:
- оформление разового пропуска на территорию предприятия;
- исполнение предписаний трудового законодательства при условии только внутреннего использования информации (без передачи в иные организации, например, банки);
- заключение договоров с сотрудниками и клиентами без передачи информации третьим лицам;
- работа с информацией только на бумажных носителях;
- использование ПД участников в рамках одной общественной или религиозной организации.
Перед подачей уведомления нужно оповестить персонал, оснастить помещение и вычислительную технику средствами защиты информации, подготовить необходимую документацию.
Обязательные документы
В список необходимых документов входят:
- Политика конфиденциальности – документ, регламентирующий работу со всей информацией, требующей защиты (деловой перепиской, договорами, внутренней документацией).
- Правила работы с персональными данными – частный случай политики конфиденциальности, касающийся только ПД. Нередко первый и второй документы объединяют в один, это не противоречит закону.
- Согласие на обработку персональных данных – форма для заполнения клиентом. Она содержит наименования (ФИО) и адреса оператора (или лица, действующего по его поручению) и субъекта ПД. Также в ней представлен перечень персональных данных и методов их обработки, на которые клиент дает согласие. Обязательно указывают цель сбора информации, срок действия согласия, способы его отзыва.
- Обязательство о неразглашении ПД – документ, подписанный всеми сотрудниками, имеющими доступ к конфиденциальной информации о клиентах.
- Приказ о назначении ответственного за работу с ПД – внутренний документ, который часто требуют представители Роскомнадзора при проверках. Ответственным чаще всего назначают специалиста из отдела IT или службы безопасности.
Документы разрабатывают индивидуально, с участием юрисконсульта. Шаблон формы согласия клиента и рекомендации по составлению Правил доступны на сайте Роскомнадзора . За отсутствие обязательной документации при проверке, контролирующие органы (Роскомнадзор, ФСТЭК, ФСБ России) могут взыскать штраф.
Бизнес
Что такое скрайбинг, и как его использовать в бизнесе
Что такое скрайбинг, и как его использовать в бизнесе