Группа персональных данных

Полезная информация в статье: "Группа персональных данных" с полным раскрытием темы. Если все же вы не нашли ответа на интересующий вопрос, то можно всегда обратиться к дежурному специалисту.

Защита персональных данных. Соответствие СЭД 152-ФЗ

Периодически из уст заказчиков слышен вопрос: «Удовлетворяет ли ваша система требованиям закона о персональных данных и в тендерных документациях мелькают требования реализации проекта по защите данных. Но для чего реально необходима эта магическая аббревиатура ИСПДн заказчику, он не всегда в состоянии корректно объяснить. Углубимся в вопрос.

1. Требования к системе СЭД по защите ПДн

1.1. Немного законодательства

Итак, начнем с самого начала. Попробуем понять откуда «растут ноги»?

26 января 2007 г. вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», который определил необходимость защиты персональных данных субъектов (далее ПДн) в целях зашиты прав и свобод человека и гражданина. За невыполнение требований данного закона предусмотрена административная и уголовная ответственность как для юридических, так и физических лиц (сотрудников и руководителей организаций), а деятельность самой организации может быть приостановлена по требованию Роскомнадзора. Таким образом, операторы информационных систем персональных данных (далее ИСПДн) обязаны защищать переданные им ПДн от угроз, реализация которых может повлечь за собой ущерб владельцам этих данных.

Напомним, что такое персональные данные. В соответствии с законом, определение звучит так: «Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». То есть, если идти от обратного, то только та совокупность данных, которая позволяет определить конкретный субъект, является персональной.

1.2. СЭД и ПДн: есть ли взаимосвязь?

Имеет СЭД отношение к проблеме обеспечения защиты ПДн?

Ответ – да. Если СЭД содержит в своем составе справочники сотрудников предприятия и контрагентов, и эти данные хранятся в системе таким образом, что может быть определен конкретный субъект, это означает, что она содержит ПДн. Плюс в СЭД также могут храниться и обрабатываться различные анкеты, характеристики, персональные дела, истории болезней и т.д. – а эти документы в том числе относятся к определенной категории ПДн. Ситуация «усугубляется», если компания ориентирована на работу с физическими лицами и СЭД вовлечена в сферу их обслуживания. Это касается органов государственной власти, где ведется непосредственная работа с населением; медицинские и образовательные учреждения; телекоммуникационные компании; кредитные организации и т.д. – операторы ПДн.

Статья 19 152 ФЗ «О персональных данных» устанавливает, что: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Отметим, что в законе прямо не указываются какими конкретными средствами и методами обеспечения безопасности ПДн должен пользоваться оператор. До 1 июля 2011 года мы руководствовались постановлениями правительства РФ за номерами 781, 512 и 687, так называемых «приказом Трех» и приказом ФСТЭК № 58. После чего был принят 261-ФЗ и «Старая» часть 3 ст. 19 «растеклась» по нескольким частям нового закона, изменившись до неузнаваемости.

Ч. 3 ст. 19: «Правительство Российской Федерации, с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных, устанавливает:

уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

Вот мы с вами впервые столкнулись с термином «Уровень защищенности ПДн». Что это и с чем его «едят»?

1.3. Определение уровня защищенности ПДн

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных. Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

● 1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

● 2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

● 3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

● 4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

● обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);

● обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

● менее 100 000 субъектов;

● более 100 000 субъектов;

И наконец, типы актуальных угроз:

● угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;

● угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;

● угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому предприятие может как провести работы по определению уровня защищенности самостоятельно (за исключением аттестации, для которой требуется специальная лицензия), так и привлечь внешних консультантов.

Читайте так же:  Апелляционная жалоба на административное постановление суда

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности ПДн в соответствии со следующей таблицей:

Таблица 1. Определение уровня защищенности ПДн

1.4. Сертифицированный продукт: нужен или нет.

Подведем итоги в рамках первой части нашего исследования.

Если в СЭД будут храниться ПДн, значит необходима сертификация данной системы. Как правило, в сертификации продукта заинтересован сам разработчик данного софта, а заказчику остается только приобрести сертифицированный экземпляр продукта. Сертификат на конкретную версию или поколение выдает ФСТЭК России на строго определенный срок. Фактически данный сертификат удостоверяет, что система СЭД соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации». Кстати, чтобы Заказчику провести аттестацию СЭД, помимо приобретения сертифицированного экземпляра продукта, может также потребоваться сертификат на встроенные в него средства защиты информации. На что именно и какого уровня, зависит от необходимого уровня защищенности ИСПДн, к которой отнесена СЭД.

Отмечу один существенный недостаток во всем этом: процедура сертификации продукта процесс длительный. Т.е. к моменту, когда будет сертифицирована одна версия системы, она уже успеет морально устареть. Хотя этот вопрос все же разрешим: разработчик СЭД может сертифицировать сразу целое поколение. Это будет означать, что реальную сертификацию в ФСТЭК проходит первая версия системы из всего поколения, но, если заказчику потребуется поставка более свежей версии, то после ее установки и настройки достаточно будет всего лишь дополнительно провести процедуру инспекционного контроля.

Инспекционный контроль осуществляется с целью установления того, продолжает ли ИСПДн соответствовать требованиям, на соответствие которым она была сертифицирована. Как правило, если настройка не затронула механизм разграничений прав доступа, шифрования, ведения логов и прочее в сравнении с ранее сертифицированной версией продукта, то сертификация системы заказчика пройдет без всяких проблем и в кратчайшие сроки.

2. Виды работ. Перечень ИСПДн

Напоминаю, что в первой части нашего исследования мы разбирались с сертификацией СЭД-системы. В результате мы с вами подходим к очень важному для нас выводу: сама СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в 152 ФЗ, на который ссылается большинство Заказчиков. На самом деле СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем. Поэтому просто приобретение сертифицированной версии продукта СЭД для заказчика будет недостаточно. Дополнительно потребуется проведение ряда работ, которых мы рассмотрим во второй части нашего исследования.

СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем.

2.1. Перечень требований к ИСПДн

Прежде всего давайте разберемся, какие требования должны соблюдаться?

Перечень требований, предъявляемый к используемым техническим средствам и программном продукту СЭД на предприятие, выполнение которых необходимо для нейтрализации угроз безопасности ПДн, определяется в зависимости от уровня защищенности ПДн. Данный перечень требований можно представить в следующей таблице:

Таблица 2. Перечень требований, предъявляемый к ИСПДн

Регулярный контроль за выполнением требований

Контроль за выполнением требований организуется и проводится оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые сами оператором или его уполномоченным лицом.

Физ.безопасность и контроль доступа

Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих в них права доступа

Обеспечение сохранности носителей персональных данных

Источник: http://ecm-journal.ru/docs/Zashhita-personalnykh-dannykh-Sootvetstvie-SEhD-152-FZ.aspx/?from=fb

Категории персональных данных

Разделение на категории персональных данных позволяет правильно и законно обрабатывать информацию. Ведь персональные данные – это любая информация, которая прямо или косвенно относится к конкретному лицу. Это сведения о фамилии, имени, отчестве, дате рождения, адресе, семейном положении, месте рождения, профессии, паспортные данные, сведения доходах и т.п. Среди таких данных Закон выделяет такие, обращение с которыми производится по отличному от общих правил порядку.

Категории персональных данных в законе

Порядок обращения с персональными данными и общую терминологию содержит Закон о защите персональных данных от 27.07.2006 года № 152-ФЗ. Этот закон называет и категории персональных данных:

  • общие категории – перечень открытый. Это любые данные, которые прямо или косвенно относятся к определенному человеку. Поэтому в каждом случае вопрос о том, являются ли данные персональными, решается индивидуально. И зависит от взаимосвязи человека с конкретной информацией.
  • специальные категории. Статья 10 Закона относит сюда сведения о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Причем не только сами такие сведения, но имеющие отношение к этой группе.
  • биометрические персональные данные. Им посвящена статья 11 Закона. Это такие данные, которые характеризуют физиологические и биологические особенности человека (самый яркий пример – отпечатки пальцев, анализы ДНК). При этом таковыми они являются только в случае, если оператор использует эти данные для установления личности субъекта РФ (например, новый способ входа в личный кабинет в банках с помощью сканирования лица).

Что учесть при работе с отдельными категориями

Персональные данные любой категории относятся к конфиденциальным сведениям. А это значит, что обработка, хранение такой информации осуществляется по определенным правилам.

По общему правилу, требуется согласие субъекта персональных данных. При этом оно должно быть конкретным и информированным. В то же время, отдельное согласие не обязательно, когда человек заполнил электронную форму в интернете о себе. Ведь такая анкета по своей сути уже выражает согласие на обработку информации. Не обязательно такое согласие, если взаимодействие осуществляется в рамках договора, соглашения. А гражданин может отозвать свое согласие. Даже из общедоступных источников (например, адресная книга и т.п.).

Обработка отдельных категорий

По общему правилу обработка такой категории персональных данных, как специальные, запрещена. Но из любого правила есть исключения. Они касаются случаев, когда сам субъект дал согласие на обработку данных. Он мог сам сделать их общедоступными (разместил в социальных сетях и т.п.). И тогда их использование не считается обработкой.

Читайте так же:  Срок исковой давности по кредиту наследников

Можно обрабатывать такие данные, если эти действия осуществляются для защиты жизни и здоровья гражданина и т.п. (ч. 2 ст. 10 Закона). Допускается работа с такими данными для реализации международных договоров, если данные получены в ходе Всероссийской переписи населения. Или в медико-профилактических целях, для диагностики диагноза. Разумеется, обрабатывать такие данные можно в целях противодействия экстремизму, терроризму, коррупции и т.п. – субъектам, которым это разрешено на основании закона.

Обработка биометрических данных возможна только с согласия самого гражданина. Либо тогда, когда такое право устанавливает закон, международное соглашение. Например, все осужденные проходят обязательную дактилоскопическую регистрацию. Как и граждане, которые призываются на военную службу. Сотрудники полиции и т.п. Кстати, фотографии и видеозапись тоже относятся к биометрическим персональным данным.

Источник: http://iskiplus.ru/kategorii-personalnyx-dannyx/

Роскомнадзор создал в регионах группы для работы с персональными данными

Связное надзорное ведомство создало специальные рабочие группы, которые будут помогать организациям создавать документы в соответствии с законом о персональных данных.

В настоящий момент группы созданы в Северо-Кавказском федеральном округе, Южном федеральном округе и Уральском федеральном округе. В дальнейшем рабочие группы будут созданы и в других федеральных округах.

В Северо-Кавказском федеральном округе работники Роскомнадзора разработают механизмы по выявлению, предотвращению и пресечению неправомерной обработки персональных данных.

В Южном федеральном округе разработают классификатор угроз в области персональных данных для операторов и граждан, а также методические разъяснения по вопросам обработки биометрических, общедоступных и специальных категорий персональных данных.

В Уральском федеральном округе Роскомнадзор займётся повышением уровня образовательного и кросс-культурного воспитания несовершеннолетних в интернете.

Предварительные итоги работы подобных групп будут подведены к концу 2019 года.

Помимо этого, любая организация сможет отослать в Роскомнадзор документы для оценки на соответствие закону о персональных данных. Это можно будет сделать как по электронной почте, так и передав документы на бумаге или электронном носителе лично. Проанализировав документы, Роскомнадзор сделает заключение о соответствии их закону о ПД.

Уже утверждённые документы или локальные акты к рассмотрению приниматься не будут.

Источник: http://nag.ru/news/newsline/105340/roskomnadzor-sozdal-v-regionah-gruppyi-dlya-rabotyi-s-personalnyimi-dannyimi.html

№ 11. Уровни защищенности персональных данных

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Видео (кликните для воспроизведения).

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Источник: http://data-sec.ru/personal-data/protection-level/

Виды персональных данных

Защита персональных данных
с помощью DLP-системы

П редоставлять свои персональные данные и давать согласие обрабатывать их зачастую нужно в самых различных инстанциях – в банках, кредитных организациях, во время внесения информации в регистрационные формы на некоторых интернет-ресурсах. Многие, не задумываясь, соглашаются указывать личные данные, не догадываясь при этом о последствиях, которые могут произойти при использовании этой информации недобросовестными лицами. Поэтому важно знать, какие виды персональных данных существуют, кому и при каких обстоятельствах можно их предоставлять, чтобы не попасть в очень неприятную историю.

Законодательное регулирование

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

К персональным данным (ПД) относят сведения, характеризующие прямо или косвенно субъекта – физическое лицо. По таким данным можно наиболее точно установить личность конкретного гражданина.

Конституция РФ (ст. 23–24) гарантирует физлицам право на соблюдение тайны их частной жизни, создает все необходимые предпосылки для неприкосновенности и необходимой защиты. Владельцу ПД принадлежит все, из чего состоит это понятие, в связи с этим такая информация не должна контролироваться третьими лицами или правительственными органами.

Читайте так же:  Соответствие между территориальной и альтернативной подсудностью

Физлица самостоятельно распоряжаются своими данными и вольны решать – воспрепятствовать их распространению или предоставить по требованию. Государство предоставляет определенные гарантии и защиту для получения этой возможности. В з-не № 152-ФЗ указаны условия, правила и круг лиц, которые могут использовать ПД кроме их владельца.

Носитель ПД может разрешить операторам получать и осуществлять обработку его личной информации. Это позволит на законных основаниях выполнять определенные действия с ней. Во время оформления заявлений на получение займа, при оформлении на работу, при проведении анкетирования физическое лицо самостоятельно предоставляет свое согласие, добровольно подписывая соглашение о разрешении проверять его личные данные.

Служебные лица могут воспользоваться доступом к определенному объему личной информации, необходимой для выполнения конкретных действий. У них нет права на хранение и применение ПД после достижения результата. В случае нарушения такого требования оператор отвечает за их намеренное разглашение.

В определенных случаях используется особое требование по работе с ПД, если они:

  • необходимы для решения вопросов семейного или личного характера (в случае если распространение данных не приводит к ущемлению прав других лиц);
  • находятся в архивной документации;
  • принадлежат к данным, составляющим государственную тайну;
  • должны быть предоставлены по судебному акту.

Разновидности ПД

В Федеральном з-не № 152 обозначены конкретные виды ПД. Они могут классифицироваться по степени секретности, сложности их сбора, возможности применения третьей стороной. Их подразделяют на следующие виды:

Общие

К общим относят персональную информацию, составляющую базовые данные о ее носителе:

  • фамилию, имя, отчество;
  • место регистрации и жительства;
  • информацию из паспорта;
  • сведения об имеющемся образовании;
  • информацию о месте работы;
  • сведения о получаемых доходах и др.

Взятые по отдельности данные общего характера не все могут быть отнесены к информации о человеке, которая может считаться персональной. К примеру, в законе не содержится определенных трактовок относительно того, можно ли считать одной из составляющих ПД номер телефона физлица. Как разъясняют в Роскомнадзоре, эти данные не являются информацией, позволяющей произвести точную идентификацию человека, номер не персонален. Но при совместном использовании с фамилией, именем, данными о прописке он составляет ПД.

Информация о человеке, являющаяся общей, указана в паспорте, ее вносят в военный билет, в документ об образовании, а также в личную карту сотрудника предприятия, трудовую книжку и др. Чтобы использовать такие данные, не нужно брать у сотрудника письменное разрешение с целью их получить. Достаточно того, чтобы человек косвенно, путем проставления галочки в соответствующем поле, подтвердил право на такие действия со стороны получателя этой информации в письменно составленной или онлайн-анкете.

Получить такие ПД очень просто, а это зачастую приводит к проблемам: начинают рассылать навязчивые рекламные предложения или, еще хуже, пытаются шантажировать, подделывать заявки на получение займа и др.

От неразглашения личные данные каждого физлица, содержащие в себе определенные разновидности секретных сведений (об усыновлении, наличии заболеваний и др.), защищаются ст. 137 УК РФ.

Биометрические

Есть персональные данные, которые характеризуют носителя по биологическому и физиологическому принципу. К ним относят:

  • дактилоскопические;
  • анализ ДНК;
  • группу крови;
  • рост, цвет глаз, вес и др.

К биометрическим персональным данным причисляют информацию, получаемую в результате видео- и фотозаписи с участием человека. Данные биометрии наиболее часто востребованы во время проведения лечения, при оформлении на работу в госструктуры, при изготовлении загранпаспорта и визовых документов.

Специальные

К специальным ПД отнесены национальная принадлежность и раса, а также вероисповедание, убеждения философского характера, информация о судимостях, состоянии здоровья, предпочтениях в сексуальной, интимной жизни. Эти сведения можно найти в личных делах, медицинской документации и пр. Они необходимы во время проведения политических мероприятий, используются при вступлении в ряды вооруженных сил. Чтобы третьи лица могли получить доступ и воспользоваться этими ПД, необходимо получить разрешение их владельца.

Обезличенные

К обезличенным данным относят ПД, имеющие общую доступность. Их можно найти в адресных книгах, справочной документации, в средствах массовой информации. Информация, являющаяся общедоступной, может легко быть использована заинтересованными лицами. Общедоступными являются данные о материальном положении политических деятелей, представителей власти, чиновников, занимающих руководящие посты.

Персональные данные – использование на предприятии

В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).

Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.

Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.

В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.

Обработка ПД

Целью, которую преследует обработка и хранение ПД на предприятии, является необходимость правильно реализовать рабочую активность компании. Обработка ПД необходима для:

  • фиксации факта приема сотрудника на работу;
  • удостоверения оснований для продвижения по карьерной лестнице;
  • подтверждения оснований для выплаты зарплаты;
  • осуществления контроля выполнения производственных заданий и работ.

Работникам компании должна быть доступна информация о том, каким образом осуществляется хранение и обработка их личных данных, поэтому наниматель обязан ознакомить их с данной информацией. Подтверждением того, что сотрудники были уведомлены об этом, является личная подпись каждого из них.

Типы персональных данных на предприятии

На предприятии необходимо собрать два типа ПД:

  • требуемых для заключения трудового договора;
  • запрашиваемых и формируемых непосредственно работодателем.

ПД, которые хранятся на предприятии в личных делах по каждому работнику, обычно содержат данные:

  • о семейном статусе и отдельных членах семьи (иждивенцы, дети, возрастные данные, количество, данные о состоянии здоровья и др.);
  • копии документов по пенсионному государственному страхованию;
  • о конкретном сотруднике (паспортные данные, профессия, квалификационные характеристики и др.).
Читайте так же:  Компенсация морального вреда гражданский кодекс

Наниматель должен создать и утвердить внутренний нормативный акт, который описывает порядок хранения ПД в виде Положения о ПД или Инструкции. Данные нормативы должны быть доведены до сведения работников, которые ответственны за сбор и обработку персональной информации. Они должны неукоснительно соблюдать все требования, изложенные в таких документах.

При соблюдении всех формальностей на предприятии по сбору, хранению и использованию ПД они будут максимально защищенными.

Ответственность за разглашение

152-й закон, который призван защищать персональные данные физических лиц, предусматривает исключительно административный вид ответственности в случае разглашения ПД на предприятии. Соответственно, если компания не способна предоставить своим наемным работникам полную защиту личных данных, работодатель может быть наказан только штрафом. Данное наказание выражается незначительными суммами.

Штраф, который должен быть наложен на работодателя при выявлении нарушений такого характера, может составить в пределах 5–10 тысяч рублей. Но это касается единичного нарушения. Обычно при проверках выявляют значительное количество такого рода проблем, соответственно, и суммы штрафов при этом растут.

Но финансовые затраты – это не основное последствие неправильного использования и хранения ПД. Такие факты сказываются на репутационных показателях компании. Если сотрудники соглашаются на обработку персональной информации, они должны быть уверены, что предприятие гарантирует ее правильное хранение и использование.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/vidy-personalnyh-dannyh/

Категории персональных данных

Защита персональных данных
с помощью DLP-системы

П редприятия, начинающие заниматься обработкой персональной информации, касающейся их сотрудников или клиентов, должны соблюдать все установленные законом требования, регламентирующие такую деятельность. Чтобы все операции, выполняемые с применением персональных данных, находились в правовом поле, необходимо выделить их в отдельные категории.

Категории, определенные законом

В России действует закон № 152 «О персональных данных», утвержденный 27.07.06 г. В статье 10 данного нормативного акта говорится о категориях специального типа, а в ст. 11 сказано о применении биометрической информации о человеке. Нормами данного закона накладываются ограничения особого характера на возможности обработки этой информации. Предприятию-оператору персональных данных нужно придерживаться предписанных законом требований, касающихся ограничений их обработки. В противном случае оно будет наказано путем наложения административного взыскания с требованием выплаты довольно крупного штрафа. Об этом гласит статья 13.11, а также статья 5.27 Кодекса об административных правонарушениях.

В случае с проведением различных операций с использованием персональных данных важно различать их по категориям в соответствии с характером информации, которую они содержат. С учетом этого нужно выполнить определенные требования, изложенные в законе.

На законодательном уровне установлены категории, являющиеся:

  • общедоступными;
  • специальными;
  • биометрическими;
  • другими данными.

Категории персональных данных закон не описывает и не выделяет. Некоторые уточненные формулировки имеются исключительно в отношении специальных категорий и биометрической информации. C 01.11.12 г., вступило в действие Постановление Правительства № 1119, в котором содержатся нормы по защите информации во время использования персональных данных в информационных системах.

Разработчики этого Постановления в пункте 5 указали, что есть несколько категорий, которые разделяют персональные данные на общедоступные, специальные, биометрические данные. Также отнесены в отдельную категорию «иные категории» ПД. Информация об этом содержится в абзаце 4 пункта 5 Постановления.

Исходя из сведений, содержащихся в тексте этого абзаца, можно сделать вывод, что «иными» являются категории ПД, входящие в группу данных о гражданине, отнести которые к трем другим категориям нельзя.
Роскомнадзор 27.07.17 г. издал специальные Рекомендации, в пункте 3.4 которых есть напоминание о требовании закона № 152, по которому во время получения ПД их категории должны соответствовать целям, установленным для обработки этих сведений.


Определенные категории персональной информации выделялись в приказе № 55/86/20, изданном ФСБ, ФСТЭК, Минсвязи совместно. Но в 2014 году с 11 марта этот нормативный документ был выведен из перечня действующих.

Сегодня продолжают функционировать Приказы, изданные ФСТЭК № 21 от 18.02.13 и ФСБ № 378 от 19.07.14, в которых нельзя найти более точные определения по разделению ПД по категориям.

Особенности категорий

В ФЗ № 152 и в других нормативах можно найти определения, указывающие, какие из данных можно отнести к общедоступным. Это информация, присутствующая в открытых местах, доступных для ознакомления всеми желающими – неограниченным количеством лиц. К примеру, такие сведения содержатся в телефонных справочниках или других документах, в которые информация заносится по согласию субъекта этих персональных данных.

К такой персональной информации можно отнести:

  • Ф. И. О. субъекта;
  • сведения о дате и месте рождения;
  • домашний адрес;
  • номера телефонов, электронной почты;
  • профессию субъекта ПД и др.

Носитель этих данных имеет право требовать, чтобы их удалили из источников, доступных для ознакомления всеми желающими. Исключить эту информацию можно также в соответствии с решением судебных органов или органов государственного управления.

Если компанией запланировано вести обработку биометрических данных или использовать сведения, которые относятся к специальной категории, нужно получить письменное одобрение этих действий от их носителей. Дать согласие на работу с другими ПД субъект, которому они принадлежат, может в любой подходящей для этого форме, позволяющей удостовериться, что такое одобрение было получено. Применять эти данные можно только в соответствии с целью, для которой они были истребованы.

Биометрической считают информацию, которая характеризует человека и позволяет установить его личность. Получить согласие на обработку этих сведений нужно в случаях, если предприятие ведет видеонаблюдение или нужно производить фотографирование.

Не нужно просить разрешения у носителя персональных данных, если проведение видео- и фотофиксации осуществляется в пределах, определенных органами правосудия или по требованию закона о соблюдении безопасности, о государственной службе и др. Об этом говорится в ст. 11 закона № 152.

Специальная персональная информация описывается в ст. 10 этого закона. Особые данные, в соответствии с его нормами, являются группой информации, которая не позволяет по общим характеристикам узнать их субъекта. Подробно об этом указано в ст. 10 ч. 1 закона.

Специальными можно считать сведения, которые характеризуют человека по расовым и национальным признакам, политическим взглядам, религиозным, философским убеждениям. Также к этим данным относят те из них, которые характеризуют физическое лицо в плане гендерной принадлежности и сексуальной ориентации.

Читайте так же:  Жалоба прокурору на судью

В ч. 2 п. 10 закона содержится требование, когда обрабатывать такие сведения допускается. Подобные действия могут выполняться, если субъект в письменном виде дал свое согласие на обработку спецданных или самостоятельно сделал их публикацию в источниках информации общедоступного типа.

Возможна обработка специальных данных в случае выполнения требований законов России, международных договоренностей, органов правосудия.

Также возможна обработка такого рода ПД, если необходимость появилась при защите здоровья, жизни субъекта этих данных или прочих людей, для профилактики или лечения.

Данные проходят обработку в религиозных и общественных организациях, которые могут их использовать в пределах ведения своей деятельности. Как только цель, для которой понадобились специальные данные, была достигнута, их использование нужно немедленно прекратить. Это требование изложено в ст. 10 ч. 4 закона № 152.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/kategorii-personalnyh-dannyh/

Классы защиты персональных данных

Защита персональных данных
с помощью DLP-системы

П араметры защиты персональных данных (ПД) – это некоторая совокупность определенных условий по соблюдению требований правовых норм, позволяющая эффективно защитить информационные системы, содержащие, перерабатывающие и использующие эту информацию, от несанкционированного доступа.

Категории ИСПДн

К основным данным персонального характера относятся ФИО, дата рождения, адрес проживания, имущественное состояние, наличие образования, принадлежность к какой-либо профессии. Операторами этих и многих других данных являются госорганы, муниципальные органы, физические и юридические лица, обрабатывающие ПД.

Субъектами ПД являются физические лица. Оператор обязан создать необходимые условия по защите этой информации в соответствии с нормами законодательства РФ.

Постановлением № 1119 от 1 декабря 2012 г. вместо применяемых в России ранее классов информационных систем персональных данных (ИСПДн) применяются уровни защищенности ПД. Этот документ определяет конкретные требования к защите ПД при работе с ними в информсистемах и к уровням их защищенности.

Уровень защищенности зависит от:

  • категорий данных;
  • актуальных угроз;
  • числа людей, обработка ПД которых осуществляется;
  • контингента граждан – субъектов этих данных.

Информсистемы ПД делятся на четыре категории:

  1. Биометрические содержат информацию о биологии и физиологии субъекта, с помощью которой становится возможной идентификация его персоны.
  2. Специальные включают в себя расовую и национальную принадлежность, политические предпочтения, религиозные или философские верования и убеждения, информацию о состоянии физического и психического здоровья, сексуальном выборе и жизни.
  3. К общедоступным отнесены сведения об основных персональных данных, являющихся достоянием широких масс благодаря легкодоступным источникам, в которых они хранятся и обрабатываются.
  4. Иные ИСПДн используют данные, отсутствующие в предыдущих группах.

Объемы обрабатываемых личных данных в ИСПДн делятся на две группы: до 100 000 человек и более 100 000.

По форме взаимодействия между оператором и субъектами работа с ПД делится на два вида:

  • работа с ПД сотрудников;
  • работа с ПД других людей.

К числу актуальных угроз безопасности ПД можно отнести намеренный или случайный несанкционированный доступ, в результате чего данные могут быть уничтоженными, сфальсифицированными, измененными, блокированными, скопированными, распространенными средствами массовой информации и т. п.

Возможность устанавливать типы существующих актуальных угроз предоставляется самому оператору с привлечением специалистов по информационной безопасности.

К актуальным типам угроз относят:

  • недокументированные возможности системного программного обеспечения ИСПДн, которые позволяют осуществлять несанкционированный вход;
  • недокументированные возможности прикладного ПО;
  • другие угрозы.

Уровни защищенности ИСПДн

Всего существует четыре уровня защищенности (УЗ) ПД.

  • если существуют угрозы I типа и информсистема работает со специальными, биометрическими или иными категориями ПД;
  • если существуют угрозы II типа и информсистема работает со специальными категориями ПД свыше 100 тысяч граждан.

УЗ-2 устанавливается при угрозах типов:

  • I и работе с общедоступными личными данными;
  • II и работе с личными данными служащих оператора или при работе со специальной категорией ниже 100 тысяч человек;
  • II и работе с использованием биометрических личных данных;
  • II и обработке общедоступных личных данных при количестве от 100 тысяч человек (без персонала оператора);
  • II и работе с другими видами ПД с количеством от 100 тысяч человек (без учета работников оператора);
  • III и работе со специальной категорией более чем 100 тысяч человек (не считая персонала оператора).

УЗ-3 устанавливается при наличии угроз следующих типов:

  • II, включая работу с ПД общедоступного характера с количеством людей до 100 тысяч человек;
  • II с работой с другими категориями до 100 тысяч человек;
  • III с обработкой специальных категорий до 100 тысяч человек;
  • III с использованием биометрических ПД;
  • III с работой с другими категориями, превышающими 100 тысяч человек (кроме персонала оператора).

УЗ-4 устанавливается при угрозах:

  • III типа и работе с общедоступной информацией;
  • III типа и обработке других категорий меньше 100 тысяч человек.

Требования к защите личных данных для существующих уровней защищенности

Требования Уровни
защищенности
1 2 3 4
Запрет присутствия посторонних личностей в местах обработки ПД + + + +
Сохранность носителей данных + + + +
Составление руководством списка работников, которые имеют свободный доступ к личным данным + + + +
Использование сертифицированных, согласно законодательству, устройств защиты данных + + + +
Назначение ответственного сотрудника за надлежащее обеспечение защиты ПД + + +
Ограничение доступности электронного журнала сообщений + +
Если служебные полномочия сотрудника изменяются, то делается автоматическая запись в электронный журнал безопасности +
В составе учреждения, обрабатывающего ПД, должен быть отдел, занимающийся вопросами безопасности +

Если уровень защищенности ПД уже установлен, становится возможным подбор подходящих мер организационного и технического характера обеспечения безопасности ПД в соответствии с приказом № 21 от 18.02.2013 ФСТЭК РФ.

Требования приводятся в исполнение самим оператором, или к этой работе привлекаются по договорам юридические или физические лица, имеющие лицензию на технические способы защиты конфиденциальной информации. Оператор ИСПДн определяет уровень защищенности ПД и оформляет соответствующий акт.

Проверка выполнения предусмотренных норм безопасности должна осуществляться не реже одного раза в три года.

Видео (кликните для воспроизведения).

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/klassy-zashchity-personalnyh-dannyh/

Группа персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here