Категории обрабатываемых персональных данных

Информационная поддержка по вопросу: "Категории обрабатываемых персональных данных" описанное с профессиональной точки зрения. Мы постарались полностью осветить тематику. Если возникли дополнительные вопросы, то обращайтесь к дежурному специалисту.

Статья 10. Специальные категории персональных данных

Статья 10 . Специальные категории персональных данных

ГАРАНТ:

См. комментарии к статье 10 настоящего Федерального закона

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 2 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

2) персональные данные сделаны общедоступными субъектом персональных данных;

Информация об изменениях:

Федеральным законом от 25 ноября 2009 г. N 266-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 2.1

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

Информация об изменениях:

Федеральным законом от 27 июля 2010 г. N 204-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 2.2

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;

Информация об изменениях:

Федеральным законом от 21 июля 2014 г. N 216-ФЗ в пункт 2.3 части 2 статьи 10 настоящего Федерального закона внесены изменения, вступающие в силу с 1 января 2015 г.

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 3 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 6 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 7 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Информация об изменениях:

Федеральным законом от 23 июля 2013 г. N 205-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 7.1

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 8 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 9, распространяющимся на правоотношения, возникшие с 1 июля 2011 г.

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

Информация об изменениях:

Федеральным законом от 4 июня 2014 г. N 142-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 10, вступающим в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ в часть 4 статьи 10 настоящего Федерального закона внесены изменения, распространяющиеся на правоотношения, возникшие с 1 июля 2011 г.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

Читайте так же:  Мглу перевод из другого вуза

Источник: http://base.garant.ru/77688035/3d3a9e2eb4f30c73ea6671464e2a54b5/

Классификация ИСПД

На начальном этапе построения СЗПД определяется класс для каждой ИСПД в конкретной организации. От класса ИСПД зависит, какие требования по обеспечению безопасности должны выполняться для заданной ИСПД, следовательно, выбор мер, способов защиты и их стоимость . Классификация ИСПД проводится в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 18.02.2009 г. «Об утверждении порядка проведения классификации информационных систем персональных данных» (утратил силу 31 декабря 2013 г.).

Классификация ИСПД проводится на этапе ее создания или в ходе эксплуатации, но обязательно до построения СЗПД. В общем случае все информационные системы , обрабатывающие персональные данные , подразделяются на 2 класса в зависимости от характеристик безопасности обрабатываемых данных:

Типовые информационные системы – системы, где требуется обеспечить только конфиденциальность обрабатываемых персональных данных.

Специальные информационные системы – системы, где требуется обеспечить хотя бы одну из характеристик безопасности, отличную от конфиденциальности (например, целостность или доступность). К специальным информационным системам должны быть отнесены:

  1. ИСПД, связанные с обработкой ПД о состоянии здоровья субъектов ПД;
  2. ИСПД, принимающие решения на основании исключительно автоматизированной обработки ПД. При этом принятые решения могут повлечь за собой юридические последствия для субъекта ПД или иным способом затронуть его законные права и интересы.

Согласно предлагаемой в Приказе методике ИСПД классифицируется в зависимости от количества субъектов, чьи данные обрабатываются, и типа обрабатываемых персональных данных.

В зависимости от объема обрабатываемых в ИСПД данных XНПД выделяют следующие категории ИСПД:

1 категория – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПД или персональные данные субъектов ПД в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 категория – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов ПД или персональные данные субъектов ПД, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

3 категория – в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов ПД или персональные данные субъектов ПД в пределах конкретной организации.

Таким образом, данная категория ИСПД определяется на основании количества субъектов ПД, чьи данные обрабатываются в системе.

Определяются следующие категории обрабатываемых в информационной системе персональных данных (ХПД):

категория 1 – персональные данные , касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 – персональные данные , позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 – персональные данные , позволяющие идентифицировать субъекта персональных данных;

категория 4 – обезличенные и (или) общедоступные персональные данные .

По результатам анализа вышеперечисленных данных определяется класс ИСПД в соответствии с таблицей 6.1.

Таблица 6.1. Определение класса информационной системы
ХНПД Категория 3 Категория 2 Категория 1
ХПД
категория 4 К4 К4 К4
категория 3 К3 К3 К2
категория 2 К3 К2 К1
категория 1 К1 К1 К1

Рассмотрим, что значит каждый класс ИСПД в отдельности:

  • класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПД;
  • класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов ПД;
  • класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПД;
  • класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПД.

Наивысшим считается класс 1. Если в составе ИСПД выделяют несколько подсистем, то класс ИСПД в целом будет соответствовать наиболее высокому классу входящих компонентов.

Таким образом, чем выше класс ИСПД, тем выше требования по обеспечению безопасности персональных данных.

Порядок определения класса для специальных систем несколько отличается от типовых. Класс специальных ИСПД определяется на основе частной модели угроз организации в соответствии с методическими документами ФСТЭК. Отнесение информационной системы к специальной позволяет существенно снизить затраты на построение СЗПД, так как оператор в данном случае может обоснованно выбрать минимальное количество актуальных угроз, от которых необходима защита ПД. Например, если в системе есть сведения о доходах человека (например, 1С), такая система может быть отнесена к специальной, так как затрагиваются законные интересы человека. То же самое относится к информации об инвалидности, расовой принадлежности и пр. Отнесение ИСПД к специальной на практике является достаточно спорным моментом.

Класс ИСПД может быть пересмотрен:

  • по решению оператора после проведения анализа и оценки угроз безопасности с учетом особенностей или (и) изменений информационной системы;
  • по результатам испытаний по контролю за выполнением требований по обработке ПД.

ИСПД также классифицируются по структуре, по наличию подключений к сетям общего пользования, по режиму обработки ПД, по разграничению прав доступа. Приведенные классификации отображены схематически на рисунке 6.1.

Классификация ИСПД — не формальная процедура, так как на основании класса системы будут определяться меры и способы защиты персональных данных , существенно отличающиеся друг от друга. Более того, для 1 и 2 класса систем обязательно лицензирование используемых технических средств защиты, а сами ИСПД должны быть аттестованы. Результат классификации оформляется соответствующим актом оператора.

Читайте так же:  Доверенность согласие на выезд ребенка

При классификации информационных систем на практике выявляется множество факторов, впоследствии влияющих на построение СЗПД. Например, если в информационной системе помимо стандартных данных о сотрудниках, таких как ФИО, адрес и телефон, хранятся фотографии, значит, система обрабатывает биометрические ПД. А если наряду со стандартной информацией обрабатывается дата рождения, можно сказать, что ИСПД содержит дополнительную информацию о субъекте и отнести ее не к классу 3, а к классу 2.

При внимательном анализе на предпроектном этапе построения СЗПД, можно оптимизировать некоторые моменты обработки ПД. Так, например, если в системе учета кадров вместо ФИО использовать табельный номер работника, речь будет идти об обработке обезличенных персональных данных, требования к безопасности которых минимальны. Оптимизация представления данных в системе может повлиять на проектирование СЗПД и существенно сократить затраты в конечном итоге.

Источник: http://www.intuit.ru/studies/courses/697/553/lecture/12450

№6. Классификация информационных систем персональных данных отменена

Внимание!

C 11 марта 2014 года классификация ИСПДн отменена (приказ ФСТЭК РФ №151, ФСБ РФ №786, Минкомсвязи РФ №461 от 31.12.2013)

До 11 марта 2013 г. все организации, в том числе государственные и муниципальные органы, которые осуществляют обработку персональных данных, обязаны были провести классификацию информационных систем, а также определить цели и содержание такой обработки. Классификация проводилась с целью определения способов и методов, которые необходимо применить для защиты персональных данных. Классификация проводилась как на стадии создания информационной системы, так и на стадии ее модернизации.

Для проведения классификации создавалась комиссия, в состав которой входили специалисты по защите информации и другие сотрудники, непосредственно отвечающие за безопасность персональных данных. Процедура проведения классификации устанавливалась так называемым «приказом трех» (Совместный приказ ФСТЭК, ФСБ и Мининформсвязи РФ от 13.02.2008), который в настоящее время отменен.

В ходе проведения классификации члены комиссии должны были осуществить анализ собранной информации (исходных данных) об информационной системе, таких как:

  • количество субъектов, персональные данные которых обрабатываются (объем);
  • категория персональных данных;
  • характеристики безопасности персональных данных;
  • структура информационной системы (автономные, локальные или распределенные системы);
  • наличие подключений к сетям общего пользования, в том числе сети Интернет;
  • режим обработки (может быть однопользовательский и многопользовательский);
  • наличие разграничения прав доступа к персональным данным в информационной системе;
  • территориальное расположение элементов информационной системы (могут быть расположены в пределах РФ либо за пределами РФ частично или полностью).

По результатам анализа комиссия должна была определить класс информационной системы при помощи следующей таблицы:

Категория обрабатываемых персональных данных (ПДн) Количество субъектов ПДн
в объеме в объеме РФ субъекта РФ отрасли органа власти муниципального образования организации
касающиеся национальной и расовой принадлежности, религиозных либо философских убеждений, здоровья и интимной жизни класс 1 (К1) класс 1 (К1) класс 3 (К3)
позволяющие идентифицировать субъекта ПДн класс 3 (К3) класс 4 (К4) класс 4 (К4)

Напоминаем вам, что в настоящий момент классификацию ИСПДн проводить не нужно, так как отменен устанавливающий эту процедуру нормативный акт.

Источник: http://data-sec.ru/personal-data/classification/

№ 11. Уровни защищенности персональных данных

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Читайте так же:  Досудебный порядок урегулирования спора предусмотренный законом

Источник: http://data-sec.ru/personal-data/protection-level/

Глава 3. Категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, содержание обрабатываемых персональных данных

Глава 3. Категории субъектов, персональные данные
которых обрабатываются, сроки их обработки и хранения,
содержание обрабатываемых персональных данных

5. К категориям субъектов, персональные данные которых обрабатываются в Службе, относятся:

1) государственные гражданские служащие Иркутской области Службы (далее — служащие);

2) кандидаты на замещение вакантных должностей и на включение в кадровый резерв Службы;

3) лица, направившие в Службу, должностному лицу Службы в письменной форме или в форме электронного документа предложение, заявление или жалобу (далее — обращение), а также устно обратившиеся в Службу;

4) лица, в отношении которых ведется (велось) производство по делу об административном правонарушении, их представители;

Видео (кликните для воспроизведения).

6. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.

7. Использование персональных данных осуществляется с момента их получения оператором и прекращается:

1) по достижении целей обработки персональных данных;

2) в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

8. Сроки хранения персональных данных устанавливаются в соответствии с номенклатурой дел Службы.

9. Хранение персональных данных в Службе осуществляется как на бумажных носителях в виде документов и копий документов, так и в электронном виде.

10. В Службе обрабатываются персональные данные в связи с реализацией служебных или трудовых отношений:

1) анкетные и биографические данные;

2) занимаемая должность;

3) адрес места жительства;

4) домашний, сотовый телефоны;

5) сведения об образовании, присвоении ученой степени, ученого звания (если таковые имеются);

6) сведения о дополнительном профессиональном образовании;

7) сведения о стаже и профессиональной мобильности;

8) паспортные данные;

9) сведения о воинском учете;

10) сведения о заработной плате (ведомости начисления заработной платы, табель учета рабочего времени, штатное расписание);

11) сведения о социальных льготах;

12) сведения о судимости и дисквалификации;

13) сведения о составе семьи;

14) место работы или учебы членов семьи и родственников;

15) содержание служебного контракта, гражданско-правового договора;

16) сведения о доходах, имуществе и обязательствах имущественного характера служащего, его супруги (супруга) и несовершеннолетних детей;

17) сведения о прохождении и результатах аттестации, присвоении классных чинов;

18) материалы служебных проверок, расследований;

19) сведения о периодах нетрудоспособности, справки о состоянии здоровья;

20) сведения о награждении и поощрении;

21) сведения из записей актов гражданского состояния;

22) сведения о соблюдении служащим ограничений, установленных федеральными законами;

23) идентификационный номер налогоплательщика (ИНН);

24) страховой номер индивидуального лицевого счета (СНИЛС).

11. Обработке в Службе наряду с персональными данными, указанными в пункте 10 настоящих Правил, могут подлежать иные сведения, являющиеся персональными данными, при условии, если обработка таких персональных данных необходима для достижения установленных целей и при этом не нарушаются права и свободы субъекта персональных данных.

12. К документам, содержащим информацию персонального характера, относятся:

1) документы, удостоверяющие личность или содержащие информацию персонального характера;

2) учетные документы по личному составу, а также вспомогательные регистрационно-учетные формы, содержащие сведения персонального характера;

3) служебные контракты, гражданско-правовые договоры, дополнительные соглашения к служебным контрактам и гражданско-правовым договорам, должностные регламенты и должностные инструкции, договоры о материальной ответственности с работниками; соглашения на предоставление субсидии;

4) распорядительные документы по личному составу (подлинники и копии);

5) документы по оценке деловых и профессиональных качеств работников при приеме на работу;

6) документы, отражающие деятельность конкурсных и аттестационных комиссий;

7) документы о результатах служебных расследований;

8) подлинники и копии отчетных, аналитических и справочных материалов, передаваемых в Службу;

9) копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;

10) документы бухгалтерского учета, содержащие информацию о расчетах с персоналом;

11) медицинские документы, справки.

>
Порядок уничтожения персональных данных
Содержание
Приказ Службы по тарифам Иркутской области от 11 мая 2017 г. N 76-спр «Об отдельных мерах по соблюдению требований законодательства.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/44073740/daf75cc17d0d1b8b796480bc59f740b8/

Обработка персональных данных работника

В ходе трудовой деятельности на постоянной основе осуществляется обработка персональных данных работника. Требования к этой процедуре устанавливает Закон “О персональных данных”. Мероприятия по защите персональных данных работника устанавливает глава 14 Трудового кодекса РФ.

Что такое обработка персональных данных работника

По сути, обработка персональных данных начинается еще на стадии до заключения трудового договора. Ведь чтобы его заключить работодатель должен, как минимум, знать фамилию, имя, отчество соискателя, паспортные данные, стаж работы и т.п.

Обработка персональных данных согласно ст. 3 Закона о персональных данных – любые действия с данными. Это и сбор, запись, систематизация, хранение, уточнение, передача и т.п. Документы, которые содержат данные и включаются в термин “обработка персональных данных работника”, это и анкета соискателя, и паспорт, трудовая книжка, свидетельство о заключении брака, о рождении ребенка и т.п. Поэтому мы и рекомендуем согласие на обработку персональных данных получать даже от соискателя.

Читайте так же:  Отзыв на апелляционную жалобу обязателен

Требования к процедуре

Общие требования устанавливает ст. 86 Трудового кодекса РФ и ст. 5 Закона о персональных данных:

  • обработка персональных данных производится только с целью, связанной с трудовой деятельностью. Например, в целях трудоустройства, повышения квалификации, прохождении аттестации и т.п.
  • персональные данные работодатель получает только от работника. Если эти сведения можно получить только от третьих лиц, то получите письменное согласие работника.
  • работодатель обязан ознакомить работника с локальными актами, которые касаются работы с персональными данными. Это приказ об утверждении положения о персональных данных, о допуске к данным и т.п.
  • хранятся данные только до достижения целей обработки (действие трудового договора и требования по срокам хранения личных дел)
  • меры по защите персональных данных работодатель вырабатывает совместно с работниками

Огромное значение правильной обработки персональных данных является издание локальных актов работодателя. Образцы и примеры составления которых мы разместили на нашем сайте.

По общему правилу специальные и биометрические категории персональных данных работодатель не обрабатывает.

Порядок обработки данных работника

Работодатель организует обработку данных либо с использованием средств автоматизации, либо без использования таких средств.

В настоящее время действует Положение об особенностях обработки персональных данных без средств автоматизации. Постановление Правительства РФ № 687 от 15.09.2008 г. Такой порядок предполагает обработку данных при непосредственном участии человека.

Причем такие действия, как использование, уточнение, распространение, уничтожение. То есть даже если сотрудник кадров использует компьютер для хранения данных, то это все равно обработка без автоматизации. Важно, чтобы их хранение было обособлено от другой информации. Например, данных можно хранить на отдельных носителях. Причем если цели разные, то и носители должны быть разными. Как и место хранения этих носителей, которое должен организовать работодатель. Также он устанавливает перечень лиц, имеющих допуск к персональным данным.

Что касается обработки информации с использованием средств автоматизации, то это использование вычислительной техники. Здесь для использования пригодится Постановление Правительства РФ от 01.11.2012 № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

Нарушение принципов и порядка обработки персональных данных работника

Что ждет работодателя, если он нарушит правила обработки персональных данных работника? Во-первых, это административная ответственность. Штрафы трудовой инспекции за нарушение трудового законодательства (ст. 5.27. КоАП РФ) – не ознакомили работников с локальными актами. Во-вторых, ст. 13.11 КоАП РФ – это как раз про обработку персональных данных.

Если какой-то сотрудник распространил сведения о частной жизни работника, которые стали ему известны при обработке персональных данных работника, то может настать уголовная ответственность (ч. 2 ст. 137 УК РФ).


Источник: http://iskiplus.ru/obrabotka-personalnyx-dannyx-rabotnika/

Категории персональных данных

Разделение на категории персональных данных позволяет правильно и законно обрабатывать информацию. Ведь персональные данные – это любая информация, которая прямо или косвенно относится к конкретному лицу. Это сведения о фамилии, имени, отчестве, дате рождения, адресе, семейном положении, месте рождения, профессии, паспортные данные, сведения доходах и т.п. Среди таких данных Закон выделяет такие, обращение с которыми производится по отличному от общих правил порядку.

Категории персональных данных в законе

Порядок обращения с персональными данными и общую терминологию содержит Закон о защите персональных данных от 27.07.2006 года № 152-ФЗ. Этот закон называет и категории персональных данных:

  • общие категории – перечень открытый. Это любые данные, которые прямо или косвенно относятся к определенному человеку. Поэтому в каждом случае вопрос о том, являются ли данные персональными, решается индивидуально. И зависит от взаимосвязи человека с конкретной информацией.
  • специальные категории. Статья 10 Закона относит сюда сведения о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Причем не только сами такие сведения, но имеющие отношение к этой группе.
  • биометрические персональные данные. Им посвящена статья 11 Закона. Это такие данные, которые характеризуют физиологические и биологические особенности человека (самый яркий пример – отпечатки пальцев, анализы ДНК). При этом таковыми они являются только в случае, если оператор использует эти данные для установления личности субъекта РФ (например, новый способ входа в личный кабинет в банках с помощью сканирования лица).

Что учесть при работе с отдельными категориями

Персональные данные любой категории относятся к конфиденциальным сведениям. А это значит, что обработка, хранение такой информации осуществляется по определенным правилам.

По общему правилу, требуется согласие субъекта персональных данных. При этом оно должно быть конкретным и информированным. В то же время, отдельное согласие не обязательно, когда человек заполнил электронную форму в интернете о себе. Ведь такая анкета по своей сути уже выражает согласие на обработку информации. Не обязательно такое согласие, если взаимодействие осуществляется в рамках договора, соглашения. А гражданин может отозвать свое согласие. Даже из общедоступных источников (например, адресная книга и т.п.).

Обработка отдельных категорий

По общему правилу обработка такой категории персональных данных, как специальные, запрещена. Но из любого правила есть исключения. Они касаются случаев, когда сам субъект дал согласие на обработку данных. Он мог сам сделать их общедоступными (разместил в социальных сетях и т.п.). И тогда их использование не считается обработкой.

Можно обрабатывать такие данные, если эти действия осуществляются для защиты жизни и здоровья гражданина и т.п. (ч. 2 ст. 10 Закона). Допускается работа с такими данными для реализации международных договоров, если данные получены в ходе Всероссийской переписи населения. Или в медико-профилактических целях, для диагностики диагноза. Разумеется, обрабатывать такие данные можно в целях противодействия экстремизму, терроризму, коррупции и т.п. – субъектам, которым это разрешено на основании закона.

Читайте так же:  Исполнение решения арбитражного суда в упрощенном порядке

Обработка биометрических данных возможна только с согласия самого гражданина. Либо тогда, когда такое право устанавливает закон, международное соглашение. Например, все осужденные проходят обязательную дактилоскопическую регистрацию. Как и граждане, которые призываются на военную службу. Сотрудники полиции и т.п. Кстати, фотографии и видеозапись тоже относятся к биометрическим персональным данным.

Источник: http://iskiplus.ru/kategorii-personalnyx-dannyx/

Персональные данные: классификация ИСПДн

Одним из первоочередных мероприятий, которое требуется осуществить при создании информационной системы обработки персональных данных (ИСПДн) является классификация ИСПДн.

Это необходимо для того, чтобы определить класс системы и соответствующие требования, предъявляемые ФСТЭК и ФСБ при обработке персональных данных (ПДн). В этой статья я опишу общую процедуру проведения классификации ИСПДн.

В соответствии с Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20 о «Порядке проведения классификации информационной системы персональных данных», который можно скачать здесь, требуется проведение классификации включает в себя следующие этапы:

  • Сбор и анализ исходных данных по информационной системе;
  • Присвоение информационной системе соответствующего класса и его документальное оформление.

При проведении классификации информационной системы необходимо ответить на следующие вопросы:

  1. 1К какой категории принадлежат персональные данные обрабатываемые в информационной системе – Xпд?
  2. Какой объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – Xнпд?
  3. Какие заданы характеристики безопасности персональных данных, обрабатываемых в информационной системе?
  4. Какая структура информационной системы?
  5. Имеется ли подключение информационной системы к сетям связи общего пользования и/или сети Internet?
  6. Какой режим обработки персональных данных?
  7. Какой режим разграничения прав доступа пользователей информационной системы?
  8. Местонахождение технических средств информационной системы?

Исходные данные и вспомогательная информация

Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):

  1. категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  2. категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  3. категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
  4. категория 4 — обезличенные и (или) общедоступные персональные данные.

Xнпд может принимать следующие значения:

  • 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
  • 2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
  • 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Характеристики безопасности персональных данных

Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:

ОСНОВНЫЕ:

  • конфиденциальность
  • целостность
  • доступность

ДОПОЛНИТЕЛЬНЫЕ:

  • неотказуемость
  • учетность (подконтрольность)
  • аутентичность (достоверность)
  • адекватность

Структура информационной системы подразделяется на:

  • автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
  • комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
  • комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Режим обработки

При организации ИСПДн определяют следующие режимы обработки:

  • однопользовательский;
  • многопользовательский.

Режим разграничения прав доступа

В ИСПДн система разграничения доступа подразумевается:

  • без разграничения прав доступа;
  • с разграничением прав доступа.

Информационные системы делятся на типовую и специальную.
К типовой информационной системе относятся системы, которые требуют только конфиденциальность ПДн.

К специальной информационной системе относятся системы, которые помимо конфиденциальности требуют:

  • Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • Информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Классификация информационной системы

Согласно Приказа ФСТЭК/ФСБ/Мининформсвязи № 55/86/20, ИСПДн может принимать один из четырех классов, определенных в данном приказе:

  1. класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
  2. класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
  3. класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
  4. класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

В соответствии с данными определениями классов, для удобства классификации, построена следующая таблица:

Видео (кликните для воспроизведения).

Источник: http://zetblog.ru/personalnye-dannye-klassifikatsiya-ispdn.html

Категории обрабатываемых персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here