Какие сведения являются персональными – имя, год рождения гражданина, что еще может быть такой информацией и какие сведения не являются ПД?
Персональные данные: закон, обработка, типы, виды
Что такое персональные данные в фокусе трудового законодательства? Это основа информационных отношений, которые возникают непосредственно между работником и работодателем.
Нельзя представить себе функционирование бухгалтерии и отдела кадров, не имеющих доступа непосредственно к персональным данным сотрудников компании.
Де факто обработка подобной информации являет собой работу этих отделов.
Закон о персональных данных
Разные нормативно-правовые акты несут в себе определение персональных данных работника. Ознакомимся подробнее с соотношением их положений для того, чтобы выяснить, какие сведения являются персональными данными работников.
Правовой основой по их защите выступают нормы Конституции РФ и закона «О персональных данных».
Начнем с Конвенции Совета Европы, которая ратифицирована Россией в 2005 году – «О защите физических лиц при автоматизированной обработке персональных данных». Этот документ любую информацию касательно определенного физического лица относит к личным данным.
Такое лицо выступает субъектом персональных данных, а непосредственно к подобной информации причисляют: его ФИО, дату и место рождения, место проживания, семейный и общественный статус, данные об образовании, доходах и пр.
Согласно анализу норм Закона «Об информации» подразумевает под персональными данными информацию с ограниченным доступом. Всеобщая декларация прав человека гласит, что “подвергаться произвольному вмешательству в его личную и семейную жизнь не может никто”.
Для того чтобы избежать мошенничества со стороны распадающейся или уже распавшейся фирмы, предусмотрена специальная процедура проверки организации на банкротство.
Проверка контрагента по ИНН онлайн доступна любому желающему. О том, с помощью каких ресурсов можно проверить контрагентов читайте в этой статье.
Персональные данные гражданина призваны проводить идентификацию его личности, а персональные данные работника дают ему характеристику в качестве сотрудника в определенной организации. Таким образом, к данным работника причисляют исключительно сведения, относящиеся к его способностям касательно выполнения трудовых функций.
Частная жизнь гражданина является его конституционным правом, а персональные данные имеют к ней самое непосредственное отношение.
Указ Президента РФ 1997 года определяет конфиденциальный характер персональных сведений, что означает их недоступность для масс общественности.
Трудовой кодекс РФ дает наиболее узкое трактование – под «персональными данными работника» подразумеваются сведения, в связи с трудовыми отношениями, необходимые работодателю и которые касаются конкретного сотрудника.
Обработка персональных данных
Далее рассмотрим предназначение ПД, исходя из норм трудового законодательства.
Персональные данные являются необходимой информацией для реализации трудовой деятельности, поскольку относятся к деловым качествам сотрудников.
Они проходят обработку в регламентированных законом целях, среди которых:
- прием на работу и продвижение по карьерной лестнице;
- контроль объема выполняемой работы и ее качества;
- реализация выплаты заработка и др.
Закон устанавливает определенные методы защите персональных данных, согласно которым предусмотрен соответствующий правовой режим.
Например, в ст. 65 ТК РФ в списке документации, которую обязан представить работник при трудоустройстве, не указывается анкета, что означает, отсутствие у работодателя права требования представления этих данных.
Работники вправе получать полную и достоверную информацию касательно использования их персональных данных в рамках ТК. В следствии этого, руководство (оператор) в обязательном порядке должно проводить их ознакомление с такой информацией.
Сотрудники под роспись знакомятся с документацией, регламентирующей порядок обработки их персональных данных и собственных полномочиях в этой сфере.
Таким образом, определенный порядок доступа сотрудников к своим персональным данным нужно фиксировать в локальных нормативно-правовых актах. Предусмотренный порядок должен давать гарантии свободы доступа работников к их данным.
Кроме того, в связи с нарушениями положений, которые устанавливают их обработку и защиту, руководство вправе привлекать виновников к материальной и дисциплинарной ответственности, а государственные органы — к гражданской, административной и уголовной.
Защите персональных данных ТК выделяет целую отдельную главу, а судебные споры касательно разглашении личных данных зачастую заканчиваются решениями в пользу работников.
Типы персональных данных
Определяя объем и содержание персональных данных сотрудников, работодателям следует опираться на Конституцию РФ, Трудовой Кодекс и прочие федеральные законы.
Для организации трудовых процессов работодателем обрабатываются 2 типа документов.
К первому типу принадлежат задокументированные сведения, которые подает работник в связи с подписание трудового договора (трудовая книжка, паспорт, свидетельство пенсионного госстрахования, документы воинского учета, диплом, сертификаты касательно наличия специальных знаний и пр.).
Документация второго типа формируется непосредственно самим работодателем (приказы о поступлении работника, распоряжения о его перемещении, поощрения, личная карточка, расчетные документы и т.д.).
Критерии классификации | Категория ПД | Характеристика сведений |
По степени доступа | Общедоступные | Субъект ПД дал согласие на доступ к ним неограниченного круга лиц или информация общедоступна согласно законодательству |
Конфиденциальные | Все ПД, кроме тех, касательно которых законом установлено обратное или в отношении которых субъект ПД согласился на распространение | |
По направлению | Специальные | Национальная и расовая принадлежность, политические взгляды, состояние здоровья, религиозные убеждения, судимость, личная жизнь |
Обычные | Все ПД, кроме тех, которые отнесены к специальным | |
По содержанию | Биометрические | Данные, которые характеризуют физиологию человека и позволяют установить его личность – отпечатки пальцев, радужка сетчатки, анализ ДНК, почерк и т.д. (точный перечень отсутствует). |
Не биометрические | Сведения, которые не относятся к биометрическим данным |
Виды персональных данных
Все сведения касательно работника в рамках трудового процесса можно рассматривать в двух аспектах.
Семейное положение и сведения о членах семьи сотрудника – количество и возраст детей, возможное наличие иждивенцев (преимущества при решении вопроса о сохранении рабочего места), а также об их здоровье (ребенок-инвалид и др.).
Сведения о конкретном работнике – паспортные данные, состояние здоровья, профессия и обстоятельства, дающие возможность предоставления ему предусмотренных законом компенсаций (донорство, участие в ВОВ, инвалидность).
Работодатель разрабатывает локальный нормативно-правовой акт, в котором предусматривает сведения, имеющие отношение к персональным данным, порядку их использования и хранения. Таким актом может быть, к примеру, Положение о защите персональных данных работников.
Для перехода на УСН в налоговую следует направить заявление в формате № 26.2-1, которая утверждена от 2 ноября 2012г. и является единственной формой, а ранее для перехода на УСН следовало подавать заявление, которое было утверждено 13 апреля 2010г.
Законодательство дает организациям и индивидуальным предпринимателям право перехода на режим ЕНВД в течение календарного года. Необходимо лишь соответствовать некоторым условиям о которых можно узнать тут.
Существуют категории сотрудников, для которых подобные положения утверждаются приказами госорганов. К примеру, полный перечень персональных данных работника предусмотрен в Положении о защите персональных данных сотрудников Федерального фонда обязательного медстрахования.
Так, к персональным данным этих сотрудников относятся данные, содержащиеся в их личных делах, а именно:
- паспортные реквизиты;
- ксерокопия свидетельства пенсионного госстраха;
- ксерокопия диплома, при необходимости – иной документации, свидетельствующей о наличии у работника специальных знаний;
- другая документация.
Таким образом, под персональными данными сотрудников в соответствии с законодательством подразумеваются сведения, которые требуются руководству и имеют отношение к каждому конкретному сотруднику согласно трудовым отношениям.
Работодателем может собираться и проводится обработка исключительно той информации, которая имеет непосредственную связь с его трудовым правоотношением, поскольку это необходимо для реализации трудовой деятельности.
Читайте так же:
- Оператор персональных данных Вот уже несколько лет, как только и говорят о защите персональных данных, которая оказалась наиболее важной и в бухгалтерском учете, и при рассмотрении заявок на кредит и т.п. Но что […]
- Обработка персональных данных Сегодня просто невозможно вообразить деятельность любой организации без обработки информации. Каждое предприятие собирает, хранит и использует различные сведения о работниках, партнерах […]
tvoi.biz
Что относится к персональным данным с точки зрения российского регулятора (персональные данные в облаке, часть 1)
Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.
Что такое ПДн
Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.
Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».
Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица. Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен. Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».
На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте». То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.
Как быть, если отсутствует однозначность определений
В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:
Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.
Для лучшего понимания ситуации рассмотрим пример:
Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.
Зачем Роскомнадзор вводит понятие “идентификатора”
И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:
идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:- Номер и серия паспорта.
- Страховой номер индивидуального лицевого счета (СНИЛС).
- Идентификационный номер налогоплательщика (ИНН).
- Биометрические данные.
- Банковский счет, номер банковской карты.
Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:
- Фамилия, имя, отчество, дата рождения, место прописки.
- Фамилия, имя, отчество, дата рождения, должность.
- Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.
При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные. Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, [email protected]). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.
Файлы cookie и персональные данные
Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска. Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.
Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.
Решение проблемы
Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.
Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:
- Операционная система.
- Часовой пояс и время браузера в 24-часовом формате.
- Язык браузера.
- Глубина цвета и разрешение экрана.
- Поддерживает ли браузер и/или включен JavaScript.
- Версия JavaScript, поддерживаемая браузером.
- Тип соединения, используемый для передачи данных.
- Размер окна браузера.
Новый европейский регламент GDPR
Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон. И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что
В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.
Остались вопросы?
Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.iaas-blog.it-grad.ru
Что такое персональные данные?
Ликбез по персональным данным
История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В России данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2006 году Государственной думой РФ был принят базовый закон — Федеральный закон № 152-ФЗ «
Согласно базовому закону персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.
Существует четыре вида персональных данных, которые разделяются по степени информативности:
Первый вид — специальные категории персональных данных, которые включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта.
Второй вид содержит информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения, например, ФИО, адрес и сведения о заработках.
Персональные данные третьего вида — это информация, позволяющая только определить субъекта, то есть, например, фамилия, имя и дата рождения.
К четвертому виду относятся общедоступные или обезличенные персональные данные. Общедоступными являются ПДн, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной и муниципальной власти, либо ПДн, доступ к которым предоставлен с разрешения самого субъекта. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.
Данная статья отредактирована с учетом изменений Федерального закона «О персональных данных», вступивших в силу 27 июля 2011 года.
Понравилось? Расскажите друзьям:
data-sec.ru
Персональные данные – что это такое?
Последнее обновление:12 мая 2016Все вопросы, связанные с персональными сведениями о частных лицах, регламентируются Федеральным законом № 152-ФЗ “О персональных данных”. Им определяется получение, хранение (систематизирование), обработка, использование и защита персональной информации, а также ее классификация. В этой обзорной статье мы дадим базовую информацию о персональных данных и о том что к ним относится.
Персональные данные – что это?
Говоря о частных лицах, под “персональными данными” понимается вся возможная информация, которая либо прямо, либо косвенно относится к определенному физическому лицу (согласно терминологии закона – субъекту персональных данных).
Согласие на получение и последующую обработку персональных данных частное лицо может предоставить только самостоятельно, выразив это в письменной форме. При этом разрешение на любое использование личных данных может быть оформлено и как отдельным документом, так и быть пунктом договора (например, кредитного или депозитного). Обратите внимание – любая онлайн-заявка на кредит будет недействительна при отсутствии вашего согласия (обычно требуется поставить галочку возле соответствующего пункта).
Получение либо использование любой персональной информации о частном лице без наличия на то письменного или иного согласия является незаконным. Также неправомерными считаются и случаи обработки персональных сведений после получения от частного лица заявления на отзыв согласия на такую обработку. Тем не менее существуют исключения. Например, персональные данные могут быть получены без согласия человека для работы государственных органов, а для соблюдения обязательств по действующим договорам обработка персональной информации может быть продолжена и после отзыва согласия на ее использование.
Виды персональных данных
Согласно вышеуказанному закону, все персональные данные (ПД) разделяются на 4 категории:
- общие;
- биометрические;
- специальные;
- общедоступные (либо обезличенные).
Самым значимым видом сведений о частном лице являются общие персональные данные – именно они несут основную информацию о человеке. К этому типу относят практически все данные личного характера – ФИО, данные паспорта, ИНН, образование, семейное положение, номер страхового пенсионного свидетельства, номер мобильного, домашнего или рабочего телефона, уровень дохода клиента, информация о трудовой занятости и прочее. Сведения общего характера чаще всего заполняются согласно предоставленным документам, но могут быть зафиксированы и со слов самого физического лица.
Согласие на получение общих персональных данных чаще всего необходимо предоставлять для обслуживания в кредитных организациях, у оператора сотовой связи, интернет провайдера и даже в розничных магазинах (например, для оформления дисконтной карты и последующего получения информации о различных скидках или акциях).
К биометрическим персональным данным в основном относят сведения, необходимые для проведения каких-либо медицинских процедур или установления личности человека по физиологическим параметрам. Это может быть группа крови, рост, вес, дактилоскопические данные, результаты анализов ДНК. В некоторых случая к биометрическим сведениям относят и фотографии частного лица. Исключение – фото и видео, полученные во время проведения публичных либо массовых мероприятий.
Согласие на обработку биометрической персональной информации чаще всего необходимо оформлять для проведения медицинского обследования или лечения.
Под специальными ПД понимается информация, которая говорит о расовой принадлежности частного лица, религиозных взглядах либо философских суждениях, о состоянии психологического и физического здоровья. Такие данные заполняются согласно медицинским справкам или со слов самого частного лица.
Информация специального характера может потребоваться при трудоустройстве на новое место работы или, например, при участии в политической деятельности.
Выделяется еще один вид персональных данных – сведения, которые являются изначально общедоступными или обезличенными, а, значит, не могут быть скрыты. К такому общедоступному типу персональной информации относится, например, доходы сотрудников государственных и муниципальных органов. Обезличенные же сведения не принадлежат какому-либо конкретному субъекту персональной информации и находятся в свободном для всех доступе.
.
www.privatbankrf.ru
Персональные данные (Краткий FAQ) / Хабр
Что такое персональные данные?
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:
— его фамилия, имя, отчество,
— год, месяц, дата и место рождения,
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
– другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.
Что такое оператор и субъект персональных данных?
Оператор персональных данных – это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных – это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.
Как классифицировать информационную систему персональных данных?
Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I. Определить категорию обрабатываемых персональных данных:
• категория 4 – обезличенные и (или) общедоступные персональные данные;
• категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II. Определить объем персональных данных, обрабатываемых в информационной системе:
• объем 3 – в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;
• объем 2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
• объем 1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):
• класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
• класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
• класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
• класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
Объем / Категория |
Объем 3 (<1 000, организация) |
Объем 2 (1 000-100 000, отрасль, город) |
Объем1 (>100 000, субъект Федерации) |
Категория 4 (обезличенные, общедоступные) |
Класс 4 |
Класс 4 |
Класс 4 |
Категория 3 (идентификационные) |
Класс 3 |
Класс 3 |
Класс 2 |
Категория 2 (идентификационные и еще) |
Класс 3 |
Класс 2 |
Класс 1 |
Категория 1 (медицинские, социальные) |
Класс 1 |
Класс 1 |
Класс 1 |
См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20.
Судный день отсрочен до 1 января 2011 года
Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.
ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
Обязательные требования по защите информационных систем персональных данных
Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации
Порядок действий по защите информационной системы персональных данных
Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
2) Предпроектное обследование информационной системы — сбор исходных данных;
3) Классификация системы обработки персональных данных;
4) Построение частной модели угроз с целью определения их актуальности для информационной системы;
5) Разработка частного технического задания на систему защиты персональных данных;
6) Проектирование системы защиты персональных данных;
7) Реализация и внедрение системы защиты персональных данных;
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
9) Аттестация (сертификация) по требованиям безопасности информации;
10) Повышение квалификации сотрудников в области защиты персональных данных;
11) Сопровождение (аутсорсинг) системы защиты персональных данных.
Когда аттестация и сертификация обязательна?
Аттестация информационных систем по требованиям безопасности информации обязательна:
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;
– в остальных случаях — для ИСПДн 1, 2 и 3 классов.
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации…», п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации…», пп. 4.2, 4.3).
Примечание:
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.
ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Ответственность за нарушения по обработке персональных данных
Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:
— гражданскую,
– уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
— дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).
Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки
habr.com
Какие сведения относятся к персональным данным
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 703-45-38. Это быстро и бесплатно! Что может быть отнесено в данную категорию при выполнении определенных условий?
- Номер телефона может иметь отношение к персональным данным лишь в том случае, если он закреплен за конкретным физическим лицом по договору с оператором связи или находится в открытом доступе с указанием имени владельца. В таких случаях номер мобильного относится к прямо или косвенно определенному физическому лицу.
- В примерно таком же положении находиться и email адрес. Большинство людей прописывают в адресе слова и символы, которые ничего не значат.
Заработная плата – это персональные данные или нет?
[info]Не имеет значения, какой именно способ хранения информации используется, работодатель, так или иначе, обязан получить согласие сотрудника на обработку его личной информации. Вывод Персональные данные — конфиденциальная информация, которая может быть собрана работодателем с целью идентификации личности сотрудника, а также для определения уровня квалификации работника и его профессионального потенциала. [/info]
[attention]Существует несколько способов хранения и обработки личной информации (она может быть зафиксирована на бумаге или электронных носителях, в зависимости от предпочтений сотрудников отдела кадров и возможностей предприятия). Защита персональных данных должна стать первоочередной задачей соответствующего отдела, так как это право сотрудника, которое гарантируется ему Конституцией Российской Федерации. [/attention]
Важно хорошо знать свои права, чтобы иметь возможность защитить себя в спорной ситуации.
Понятие и виды персональных данных
К данным общего доступа могут относиться (с учетом пункта 1) следующее:
- ФИО;
- Год и место рождения;
- местожительство и др.
При утрате индивидуальности ПД в разрешении их владельца во внесение сведений в общий доступ нет необходимости. Все сведения изымаются из общего доступа ПД по требованию самого владельца или по решению суда, а также других госорганов.
к содержанию ↑ Информационная система персональных данных (ИС) – система, которая представляет из себя соединение ПД, расположенных в базе данных, и различных видов оборудования, благодаря которым реальностью становится обработка ПД с употреблением средств автоматизирования. Очень важным понятием является «оператор».
Обработка персональных данных сотрудника — сроки и виды
Особые правила применяются, когда ПД:
- получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
- содержатся в архивных документах;
- составляют гостайну;
- собираются по судебному акту.
Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника.
Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.
Что является персональными данными
Содержание:
- Что относится к персональным данным?
- Физического лица
- Работника
- Муниципального служащего
- Гражданского служащего
- Виды
- Специальные категории
- Какие являются общедоступными?
- Информационная система персональных данных и оператор — что это?
- Средства защиты и охраны персональных данных
- Образец согласия на предоставление персональных данных
- Отказ в предоставлении третьим лицам
- Изменение персональных данных работника
- Заявление работника о внесении изменений в документы
- Приказ о внесении изменений в документы
- Уведомление об обработке персональных данных
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Что является персональными данными по закону?
Если такая информация требуется от третьих лиц, то на это нужно письменное согласие сотрудника. При этом работодатель должен сообщить ему о целях, предполагаемых источниках и способах получения персональных данных, последствиях отказа работника дать письменное согласие на их получение и т.
д. (п. 3 ст. 86 ТК РФ). Исключение составляет общедоступная информация (ст. 8 Закона № 152-ФЗ). Ее можно взять из открытых источников: адресных книг, телефонных справочников и т.
д. Обратите внимание, что письменное согласие работника требуется не только для получения, но и для передачи его персональных данных третьим лицам. Оно обязательно в каждом случае, когда происходит такая передача.
Какие сведения относятся к персональным данным
[important]Сегодня очень много говорится о защите персональных данных, даже существуют нормативные документы, в которые периодически вносятся поправки и изменения. Но до сих пор многих из нас интересует вопрос: что же все-таки является персональными данными по закону? Необходимая защита В первую очередь разберемся с вопросом, зачем необходима такая защита? Согласитесь, мало кому из нас было бы приятно, если бы наши данные были в открытом доступе, даже несмотря на то, что большинство из нас самостоятельно выкладывает их в социальных сетях. [/important]
Но одно дело Одноклассники или Facebook — информацию, которую мы там предоставляем, невозможно проверить. Кроме того, мы имеем возможность вместо ФИО писать ники, а информацию о дате рождения, месте проживания и пр.
можем просто игнорировать. Заполняя различные анкеты в госучреждениях, торговых точках и т.
Какие сведения относятся к персональным данным
Здесь обработка проходит согласно функционирующим ФЗ. Обработка ПД при политических выступлениях или при продвижении каких-либо товаров, услуг или работ.
Ограничения, контролируемые ФЗ: несмотря на приобретение информации из источников, которые являются публичными, нужно указание на соглашение владельца, изложение которого возможно и не в письменном виде. к содержанию ↑ Специальные категории Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред.
Какие сведения относятся к персональным данным работника
Все, что не относится к специальным данным.Содержание
- Биометрические. Характеризуют физиологию.
- Не биометрические. Данные, которые не относятся к биометрическим.
Виды персональных данных На какие типы подразделяются персональные данные? Что к ним относится? Важно понимать, что вся информация, которая хранится на предприятии в отношении определенного сотрудника, может быть рассмотрена с двух разных точек зрения.
Правила хранения персональных данных На каждом предприятии обязательно должны быть разработанный специальные правила, регламентирующие то, как хранятся и используются персональные данные сотрудников. Существует несколько вариантов того, как именно описанный документ может быть оформлен.
Это может быть как отдельное положение, так и раздел, включенный в локальные Правила внутреннего распорядка. Каждый сотрудник имеет право принимать участие в процессе разработки и проведения мероприятий по защите персональных данных.
Именно поэтому всех работников необходимо тщательно ознакомить с описанным документом. Потребуется составить перечень персональных данных и список сотрудников, а также сформировать шаблон документа.
Его должны подписать все, кто работает на предприятии. Физическое хранение Существуют разные способы хранения данных.
Содержание
- Персональные данные: что это, нормативная база
- Классификация персональных данных
- Общие персональные данные
- Биометрические ПД
- Специальные ПД
- Обезличенные ПД
Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие.
Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам. Персональные данные: что это, нормативная база Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис — ФЗ № 152 от 27.01.2006 г. Закон разъясняет, что такое персональные данные, что к ним относится.
jurist-company.com
что это такое, виды обработки информации, какие относятся к общим или специальным сведениям?
Как классифицируются?
Сведения
- По категориям. Бывают специальные, общие, биометрические и иные. Подробно каждая категория будет рассмотрена ниже.
- По объему. Существует три вида объема данных. Различаются они по количеству субъектов, одновременно обрабатываемых в пределах одной информационной системы: менее 1 тыс. человек, от 1 тыс. до 100 тыс. и более 100 тыс.
- По результатам анализа данных. Определяют четыре класса. Чем выше негативные последствия при нарушении заданной характеристики безопасности персональных данных, тем ниже класс в этой группе.
Класс 1 означает информационные системы, которые, при нарушении заданной характеристики безопасности, приведут к значительным негативным последствиям для субъекта. Нарушения безопасности хранения данных в классе наоборот, не приведет к негативным последствиям.
Субъекты
Субъект – это физическое лицо, определенное и определяемое во время обработки персональных данных. В зависимости от цели создания системы различаются и категории.
Рассмотрим пример классификации субъектов на примере банка (без принадлежащих им данных, которые обрабатываются):
- Клиенты. В эту категорию включены физические лица (вкладчики, заемщики) и юридические лица (руководители, заключившие догов с банком на предоставление услуг).
- Работники. Весь персонал банка будет относиться к этой категории, а так же представители, оказывающие услуги на договорной основе.
- Посетители. Сюда относятся должностные лица – представители государственных законодательных органов, судебной власти, общественных организаций, различных коммерческих и некоммерческих услуг.
- Иные субъекты. К ним можно отнести акционеров банка или членов Совета Директоров.
Виды обработки
Под обработкой подразумевается любое действие (чтение, сбор, распространение, удаление, изменение) с персональными данными. Существует два вида обработки данных:
- Автоматизированный. Этот вид обработки осуществляется с применением вычислительно техники, под которыми подразумевают не только машины, но и сети или программное обеспечение. С помощью них могут осуществляться операции, изменение или удаление данных.
Обработку нельзя считать автоматизированной только потому, что полученные персональные данные были сохранены или извлечены из информационной системы.
- Неавтоматизированный. Осуществляется в соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. N687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Производится при непосредственном участии человека.
Полученная информация должна храниться на материальном носителе, при чем данные с несовместимыми целями обработки не имеют право находится в одном месте. Примером может быть выдача одноразового пропуска или талона к врачу.
Какая информация относится?
- Специальные – это данные характеризующие взгляды, мировоззрение и убеждения, принадлежность к различным группам, то есть к перечню можно отнести информацию о национальности, расе, религии, философии и политических убеждениях. Такие данные позволяют сформировать представление о том, что из себя представляет человек.
- Общие – сведения, которые являются общедоступными. Как правило они предоставлены самим человеком и распространяются с устного или письменного согласия. Справочники, страницы в интернете, книги могут содержать ФИО, адрес, номер телефона, дату рождения, место работы или учебы.
- Биометрические – это данные основанные на физиологических или биологических особенностях, которые позволяют идентифицировать личность. Они являются уникальными и не повторяются. К этой категории относятся фотографии человека, отпечатки пальцев, код ДНК, рисунок радужной оболочки глаза, голос и пр.
- Иные – к этой категории относятся данные не вошедшие в предыдущие три. Сюда могут относиться медицинские, социальные и прочие показатели.
Заключение
Защита персональных данных человека – первоочередная задача. Приведенная выше классификация была разработана ведущими специалистами и успешно применялась на протяжении нескольких лет. Многие сотрудники, занимающиеся обработкой системы данных, до сих пор успешно используют ее в работе
Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас:
+7 (495) 212-90-15 (Москва)
+7 (812) 332-54-12 (Санкт-Петербург)
Это быстро и бесплатно!
101million.com