Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных.
Презентация
ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.
Данные должны однозначно идентифицировать человека. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.
То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.
Виды ПДн
В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.
Общие ПДн
К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.
Биометрические ПДн
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности.
Специальные ПДн
Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Эти данные можно узнать лично у человека или сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан никуда публиковать.
Иные ПДн
В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в группах по интересам, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.
Оператор и субъект ПДн
Оператор ПДн — организация, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:
- Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
- Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.
Субъект персональных данных — человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.
В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.
Защита ПДн
Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:
Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.
Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
Критерии по обработке ПДн
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
- обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
- обработка персональных данных субъектов, не являющихся работниками вашей организации.
По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
- менее 100 000 субъектов;
- более 100 000 субъектов.
Угрозы ИСПДн
Как происходит определение уровня защищенности персональных данных?
На показатель, кроме категории обрабатываемых личных сведений граждан, влияют и другие параметры:
- Форма взаимоотношений между оператором и владельцами ПДн. Информационная система может предполагать обработку данных персонала организации или ИП (имеются ввиду как штатные, так и внештатные сотрудники, с которыми подписаны контракты) либо использовать сведения субъектов, не связанных с организацией трудовым договором.
- Типы актуальных УБ.
В расчет берутся не все существующие угрозы, а только те, которые можно реализовать в рамках конкретной ИС. Выделяют угрозы 1, 2 и 3 типа. Первый связан с НДВ в системном программном обеспечении, второй — с не декларируемыми возможностями прикладного софта, а третий — вообще не имеет отношения к НДВ используемого ПО. - Количество субъектов, личные данные которых копируются, обновляются, распространяются, блокируются и удаляются.
Действующее законодательство предусматривает разделение на ИСПДн, обрабатывающие информацию менее 100 тысяч или более 100 тысяч граждан.
Уровни обозначаются УЗ1, УЗ2, УЗ3 и УЗ4, при этом самым высоким (то есть требующим наиболее серьезной защиты) является первый, а самым низким — четвертый.
Чтобы определить уровень защищенности ИСПДн, необходимо воспользоваться таблицей. И на основании анализа обрабатываемой информации — экспертным методом определить необходимый уровень защищенности.
Такие дела.