Персональные данные: что это такое, как обрабатывать и защищать по закону

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: что это такое, как обрабатывать и защищать по закону». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Как получить согласие на обработку персональных данных

Обработка персональных данных — это любые действия с личной информацией:

• получение;
• структуризация;
• хранение на носителях — в электронных и бумажных архивах;
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание — устранение очевидной связи между человеком и его ПД;
• блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
• удаление и обновление;
• ликвидация без возможности восстановления.

• Персональные данные — это конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
• Оператор персональных данных собирает, обрабатывает и обеспечивает защиту информации.
• Перед обработкой персональных данных нужно уведомить Роскомнадзор о своем намерении.
• Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность — вплоть до уголовного преследования.

Лицензия ТЗКИ, выдаваемая ФСТЭК

Обратите внимание, что деятельность по технической защите конфиденциальной информации подлежит лицензированию. Наиболее востребованной для типовой организации, осуществляющей деятельность по защите конфиденциальной информации, является наличие лицензии ТЗКИ, выдаваемой ФСТЭК РФ. Согласно Постановлению Правительства Российской Федерации от 15 августа 2006 г. № 504: ТЗКИ (Техническая защита конфиденциальной информации) — это комплекс мероприятий и/или услуг по защите информации от несанкционированного доступа, включая технические каналы, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа.

# Что представляют собой уровни угроз и уровни защищенности ПДн?

При обработке ПДн в информационных системах существуют установленные требования по их защите. Требуемый уровень защищенности зависит от трех уровней актуальных угроз. Список 2. Три уровня актуальных угроз

• Угроза I уровня Угрозы, связанные с наличием недокументированных возможностей в используемом системном программном обеспечении
• Угроза II уровня Угрозы, связанные с наличием недокументированных возможностей в используемом прикладном программном обеспечении
• Угроза III уровня Угрозы, не связанные с наличием недокументированных возможностей в используемом системном и прикладном программном обеспечении

Согласно Постановлению Правительства РФ № 1119 от 1 ноября 2012 года, вместо классов информационных систем персональных данных устанавливаются 4 уровня защищенностиперсональных данных при их обработке в информационных системах, а также требования для каждого из них. Информационная система может быть отнесена к тому или иному уровню защищенности в зависимости от:

• типа персональных данных, обрабатываемых информационной системой;
• типа актуальных угроз;
• количества обрабатываемых субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

Список 3. Категории обрабатываемых персональных данных 1-й уровень защищенности

• Для информационной системы актуальны угрозы 1-го типа, и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных.
• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

2-й уровень защищенности

• Для информационной системы актуальны угрозы 1-го типа, и информационная система обрабатывает общедоступные персональные данные.
• Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает биометрические персональные данные.
• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

3-й уровень защищенности

• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает биометрические персональные данные.
• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

4-й уровень защищенности

• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает общедоступные персональные данные.
• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Обработка персональных данных

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

В свою очередь, обработка может осуществляться тремя путями:

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Блок 1. «Любая информация»

Персональными данными могут считаться любые сведения о субъекте:

• объективные (имя лица, номер телефона, адрес электронной почты);
• субъективные (субъективные оценки, мнения относительно конкретного лица).

На практике субъективные персональные данные активно используются в финансовом секторе (например, банк определяет уровень платежеспособности клиента) или в трудовых отношениях (оценка эффективности работы конкретного работника (KPI).

В то же время необязательно, чтобы информация была правдивой. Если у контролера данных есть возможность идентифицировать лицо по сведениям, которые не соответствуют действительности, они все равно составляют персональные данные по GDPR.

Персональные данные могут быть выражены в форме:

• букв (имя человека);
• цифр (идентификационный код лица);
• графики (рисунок (картина), что позволяет идентифицировать его автора)
• фото (фото в паспорте);
• звука (запись телефонного разговора с работником банка);
• видео (запись с камер видеонаблюдения).

Еще одним отличием персональных данных от иной информации является то, что появляется возможность их перехода в разряд общедоступных. Обратившись к ст. 8 ФЗ «О персональных данных» мы можем понять, что относится к общедоступным персональным данным. Речь в частности идёт о тех данных, «доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности». Примером таких данных могут служить справочники, частные объявления и т.п. Аналогичные положения содержаться в Указе Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера», в котором говориться о том, что не являются конфиденциальными сведения, которые распространяются в средствах массовой информации.

Но здесь следует обратить внимание на весьма интересную позицию, которая сложилась в судебной практике относительно данных пользователей социальных сетей, таких как, например, «ВКонтакте», «Одноклассники», Instragram, Twitter. Пользователи данных интернет-сетей при регистрации оставляют немало своих личных данных, непосредственным образом относящихся к данным персонального характера. Примечательно и то, что при регистрации у таких пользователей не получается согласие на дальнейшую обработку соответствующих данных. И несмотря на то, что такие данные пользователей зачастую не скрыты и находятся в открытом доступе для других пользователей конкретно-определённой социальной сети, суды полагают, что не являются общедоступными обрабатываемые организациями персональные данные, которые находятся в открытых источниках, а именно социальных сетях. Данное обстоятельство предопределяет вывод, согласно которому важно получить согласие граждан на использование таких данных.

Категории персональных данных

Условная классификация делит персональные данные по следующим типам.

Общедоступные

Эти данные можно найти в открытых источниках, размещенных там с согласия субъекта. Например, в телефонном справочнике. Это может быть дата рождения, номер телефона или ФИО субъекта.

Специальные

Эти данные касаются характеристик человека, не отражаемых в официальных документах: раса, национальность, мировоззрение субъекта и т.п.

Биометрические

ПДн входят в эту категорию, если эти данные описывают биологические особенности человека, по которым его можно идентифицировать. Например, радужка глаза, голос или ДНК. К слову, фото и видео с субъектом будут считаться биометрическими только в том случае, если они применяются для его идентификации.

Иные

Эта категории для остальных ПДн, которые нельзя приписать к предыдущим категориям. Социальная группа субъекта — это иные ПДн.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

• Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
• Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

• считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
• считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Однако оба довода являются спорными.

Можно ли обрабатывать персональные данные без согласия людей?

Законодательство допускает обработку ПДн без согласия субъекта в следующих случаях:

• если лицо является участником судебного разбирательства;
• если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
• для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
• если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
• собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
• лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
• данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
• информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии, что это не нарушает права и законные интересы гражданина.

Я просто торгую товаром в интернете, а не шлю СМС-рассылки и не передаю данные покупателей куда-либо. Разве я могу быть оператором персональных данных? Кого законодатель включает в категорию операторов персональных данных?

На все эти вопросы нам однозначно отвечает ФЗ-152. Оператор персональных данных —государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Соответственно, обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Очевидно, что любые действия с чужими персональными данными будут являться обработкой, а тот кто совершает эти действия – оператор. Даже если он не занимается рассылками и никуда не передаёт свою клиентскую базу.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

Персональные данные – использование на предприятии

В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).

Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.

Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.

В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.

Похожие записи:

• Информация о Курганском городском отделе
• Какие привилегии распространяются на пенсионеров санкт-петербурга
• Формы отчетности в пенсионный фонд в 2024 году