Персональные данные относящиеся к категории специальных

Информационная поддержка по вопросу: "Персональные данные относящиеся к категории специальных" описанное с профессиональной точки зрения. Мы постарались полностью осветить тематику. Если возникли дополнительные вопросы, то обращайтесь к дежурному специалисту.

Закон «О персональных данных»

Федеральный закон от 27 июля 2006 г. N 152-ФЗ
«О персональных данных»

С изменениями и дополнениями от:

25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 апреля, 23 июля, 21 декабря 2013 г., 4 июня, 21 июля 2014 г., 3 июля 2016 г., 22 февраля, 1, 29 июля, 31 декабря 2017 г., 27 декабря 2019 г.

Принят Государственной Думой 8 июля 2006 года

Одобрен Советом Федерации 14 июля 2006 года

ГАРАНТ:

См. комментарии к настоящему Федеральному закону

Президент Российской Федерации

Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.

Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.

Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.

Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования

Текст Федерального закона опубликован в «Российской газете» от 29 июля 2006 г. N 165, в «Парламентской газете» от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451

В настоящий документ внесены изменения следующими документами:

Федеральный закон от 27 декабря 2019 г. N 480-ФЗ

Изменения вступают в силу с 29 декабря 2020 г.

См. будущую редакцию настоящего документа

Текст настоящего документа представлен в редакции, действующей на момент выхода установленной у Вас версии системы ГАРАНТ

Федеральный закон от 31 декабря 2017 г. N 498-ФЗ

Изменения вступают в силу с 30 июня 2018 г.

Федеральный закон от 29 июля 2017 г. N 223-ФЗ

Изменения вступают в силу с 10 августа 2017 г.

Федеральный закон от 1 июля 2017 г. N 148-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 22 февраля 2017 г. N 16-ФЗ

Изменения вступают в силу с 1 марта 2017 г.

Федеральный закон от 3 июля 2016 г. N 231-ФЗ

Изменения вступают в силу с 1 января 2017 г.

Федеральный закон от 21 июля 2014 г. N 242-ФЗ

Изменения вступают в силу с 1 сентября 2015 г.

Федеральный закон от 21 июля 2014 г. N 216-ФЗ

Изменения вступают в силу с 1 января 2015 г.

Федеральный закон от 4 июня 2014 г. N 142-ФЗ

Изменения вступают в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 21 декабря 2013 г. N 363-ФЗ

Изменения вступают в силу с 1 июля 2014 г.

Федеральный закон от 23 июля 2013 г. N 205-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 5 апреля 2013 г. N 43-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 25 июля 2011 г. N 261-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона и распространяются на правоотношения, возникшие с 1 июля 2011 г.

Федеральный закон от 4 июня 2011 г. N 123-ФЗ

Изменения вступают в силу по истечении десяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 23 декабря 2010 г. N 359-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 29 ноября 2010 г. N 313-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 227-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 204-ФЗ

Изменения вступает в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 28 июня 2010 г. N 123-ФЗ

Изменения вступают в силу с 1 июля 2010 г.

Федеральный закон от 27 декабря 2009 г. N 363-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 25 ноября 2009 г. N 266-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Читайте так же:  Как оформить родовой сертификат

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/12148567/

Виды персональных данных

Защита персональных данных
с помощью DLP-системы

П редоставлять свои персональные данные и давать согласие обрабатывать их зачастую нужно в самых различных инстанциях – в банках, кредитных организациях, во время внесения информации в регистрационные формы на некоторых интернет-ресурсах. Многие, не задумываясь, соглашаются указывать личные данные, не догадываясь при этом о последствиях, которые могут произойти при использовании этой информации недобросовестными лицами. Поэтому важно знать, какие виды персональных данных существуют, кому и при каких обстоятельствах можно их предоставлять, чтобы не попасть в очень неприятную историю.

Законодательное регулирование

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

К персональным данным (ПД) относят сведения, характеризующие прямо или косвенно субъекта – физическое лицо. По таким данным можно наиболее точно установить личность конкретного гражданина.

Конституция РФ (ст. 23–24) гарантирует физлицам право на соблюдение тайны их частной жизни, создает все необходимые предпосылки для неприкосновенности и необходимой защиты. Владельцу ПД принадлежит все, из чего состоит это понятие, в связи с этим такая информация не должна контролироваться третьими лицами или правительственными органами.

Физлица самостоятельно распоряжаются своими данными и вольны решать – воспрепятствовать их распространению или предоставить по требованию. Государство предоставляет определенные гарантии и защиту для получения этой возможности. В з-не № 152-ФЗ указаны условия, правила и круг лиц, которые могут использовать ПД кроме их владельца.

Носитель ПД может разрешить операторам получать и осуществлять обработку его личной информации. Это позволит на законных основаниях выполнять определенные действия с ней. Во время оформления заявлений на получение займа, при оформлении на работу, при проведении анкетирования физическое лицо самостоятельно предоставляет свое согласие, добровольно подписывая соглашение о разрешении проверять его личные данные.

Служебные лица могут воспользоваться доступом к определенному объему личной информации, необходимой для выполнения конкретных действий. У них нет права на хранение и применение ПД после достижения результата. В случае нарушения такого требования оператор отвечает за их намеренное разглашение.

В определенных случаях используется особое требование по работе с ПД, если они:

  • необходимы для решения вопросов семейного или личного характера (в случае если распространение данных не приводит к ущемлению прав других лиц);
  • находятся в архивной документации;
  • принадлежат к данным, составляющим государственную тайну;
  • должны быть предоставлены по судебному акту.

Разновидности ПД

В Федеральном з-не № 152 обозначены конкретные виды ПД. Они могут классифицироваться по степени секретности, сложности их сбора, возможности применения третьей стороной. Их подразделяют на следующие виды:

Общие

К общим относят персональную информацию, составляющую базовые данные о ее носителе:

  • фамилию, имя, отчество;
  • место регистрации и жительства;
  • информацию из паспорта;
  • сведения об имеющемся образовании;
  • информацию о месте работы;
  • сведения о получаемых доходах и др.

Взятые по отдельности данные общего характера не все могут быть отнесены к информации о человеке, которая может считаться персональной. К примеру, в законе не содержится определенных трактовок относительно того, можно ли считать одной из составляющих ПД номер телефона физлица. Как разъясняют в Роскомнадзоре, эти данные не являются информацией, позволяющей произвести точную идентификацию человека, номер не персонален. Но при совместном использовании с фамилией, именем, данными о прописке он составляет ПД.

Информация о человеке, являющаяся общей, указана в паспорте, ее вносят в военный билет, в документ об образовании, а также в личную карту сотрудника предприятия, трудовую книжку и др. Чтобы использовать такие данные, не нужно брать у сотрудника письменное разрешение с целью их получить. Достаточно того, чтобы человек косвенно, путем проставления галочки в соответствующем поле, подтвердил право на такие действия со стороны получателя этой информации в письменно составленной или онлайн-анкете.

Получить такие ПД очень просто, а это зачастую приводит к проблемам: начинают рассылать навязчивые рекламные предложения или, еще хуже, пытаются шантажировать, подделывать заявки на получение займа и др.

От неразглашения личные данные каждого физлица, содержащие в себе определенные разновидности секретных сведений (об усыновлении, наличии заболеваний и др.), защищаются ст. 137 УК РФ.

Биометрические

Есть персональные данные, которые характеризуют носителя по биологическому и физиологическому принципу. К ним относят:

  • дактилоскопические;
  • анализ ДНК;
  • группу крови;
  • рост, цвет глаз, вес и др.

К биометрическим персональным данным причисляют информацию, получаемую в результате видео- и фотозаписи с участием человека. Данные биометрии наиболее часто востребованы во время проведения лечения, при оформлении на работу в госструктуры, при изготовлении загранпаспорта и визовых документов.

Специальные

К специальным ПД отнесены национальная принадлежность и раса, а также вероисповедание, убеждения философского характера, информация о судимостях, состоянии здоровья, предпочтениях в сексуальной, интимной жизни. Эти сведения можно найти в личных делах, медицинской документации и пр. Они необходимы во время проведения политических мероприятий, используются при вступлении в ряды вооруженных сил. Чтобы третьи лица могли получить доступ и воспользоваться этими ПД, необходимо получить разрешение их владельца.

Обезличенные

К обезличенным данным относят ПД, имеющие общую доступность. Их можно найти в адресных книгах, справочной документации, в средствах массовой информации. Информация, являющаяся общедоступной, может легко быть использована заинтересованными лицами. Общедоступными являются данные о материальном положении политических деятелей, представителей власти, чиновников, занимающих руководящие посты.

Персональные данные – использование на предприятии

В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).

Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.

Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.

Читайте так же:  Управление делами несовершеннолетнего ребенка

В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.

Обработка ПД

Целью, которую преследует обработка и хранение ПД на предприятии, является необходимость правильно реализовать рабочую активность компании. Обработка ПД необходима для:

  • фиксации факта приема сотрудника на работу;
  • удостоверения оснований для продвижения по карьерной лестнице;
  • подтверждения оснований для выплаты зарплаты;
  • осуществления контроля выполнения производственных заданий и работ.

Работникам компании должна быть доступна информация о том, каким образом осуществляется хранение и обработка их личных данных, поэтому наниматель обязан ознакомить их с данной информацией. Подтверждением того, что сотрудники были уведомлены об этом, является личная подпись каждого из них.

Типы персональных данных на предприятии

На предприятии необходимо собрать два типа ПД:

  • требуемых для заключения трудового договора;
  • запрашиваемых и формируемых непосредственно работодателем.

ПД, которые хранятся на предприятии в личных делах по каждому работнику, обычно содержат данные:

  • о семейном статусе и отдельных членах семьи (иждивенцы, дети, возрастные данные, количество, данные о состоянии здоровья и др.);
  • копии документов по пенсионному государственному страхованию;
  • о конкретном сотруднике (паспортные данные, профессия, квалификационные характеристики и др.).

Наниматель должен создать и утвердить внутренний нормативный акт, который описывает порядок хранения ПД в виде Положения о ПД или Инструкции. Данные нормативы должны быть доведены до сведения работников, которые ответственны за сбор и обработку персональной информации. Они должны неукоснительно соблюдать все требования, изложенные в таких документах.

Видео (кликните для воспроизведения).

При соблюдении всех формальностей на предприятии по сбору, хранению и использованию ПД они будут максимально защищенными.

Ответственность за разглашение

152-й закон, который призван защищать персональные данные физических лиц, предусматривает исключительно административный вид ответственности в случае разглашения ПД на предприятии. Соответственно, если компания не способна предоставить своим наемным работникам полную защиту личных данных, работодатель может быть наказан только штрафом. Данное наказание выражается незначительными суммами.

Штраф, который должен быть наложен на работодателя при выявлении нарушений такого характера, может составить в пределах 5–10 тысяч рублей. Но это касается единичного нарушения. Обычно при проверках выявляют значительное количество такого рода проблем, соответственно, и суммы штрафов при этом растут.

Но финансовые затраты – это не основное последствие неправильного использования и хранения ПД. Такие факты сказываются на репутационных показателях компании. Если сотрудники соглашаются на обработку персональной информации, они должны быть уверены, что предприятие гарантирует ее правильное хранение и использование.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/vidy-personalnyh-dannyh/

Статья 10. Специальные категории персональных данных

Внимание! Это архивная редакция статьи.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Источник: http://dogovor-urist.ru/%D0%B7%D0%B0%D0%BA%D0%BE%D0%BD%D1%8B/%D0%B7%D0%B0%D0%BA%D0%BE%D0%BD_%D0%BE_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85/%D1%81%D1%82_10/%D1%80%D0%B5%D0%B4-26.01.2007/

Категории персональных данных

Защита персональных данных
с помощью DLP-системы

П редприятия, начинающие заниматься обработкой персональной информации, касающейся их сотрудников или клиентов, должны соблюдать все установленные законом требования, регламентирующие такую деятельность. Чтобы все операции, выполняемые с применением персональных данных, находились в правовом поле, необходимо выделить их в отдельные категории.

Категории, определенные законом

В России действует закон № 152 «О персональных данных», утвержденный 27.07.06 г. В статье 10 данного нормативного акта говорится о категориях специального типа, а в ст. 11 сказано о применении биометрической информации о человеке. Нормами данного закона накладываются ограничения особого характера на возможности обработки этой информации. Предприятию-оператору персональных данных нужно придерживаться предписанных законом требований, касающихся ограничений их обработки. В противном случае оно будет наказано путем наложения административного взыскания с требованием выплаты довольно крупного штрафа. Об этом гласит статья 13.11, а также статья 5.27 Кодекса об административных правонарушениях.

В случае с проведением различных операций с использованием персональных данных важно различать их по категориям в соответствии с характером информации, которую они содержат. С учетом этого нужно выполнить определенные требования, изложенные в законе.

На законодательном уровне установлены категории, являющиеся:

  • общедоступными;
  • специальными;
  • биометрическими;
  • другими данными.

Категории персональных данных закон не описывает и не выделяет. Некоторые уточненные формулировки имеются исключительно в отношении специальных категорий и биометрической информации. C 01.11.12 г., вступило в действие Постановление Правительства № 1119, в котором содержатся нормы по защите информации во время использования персональных данных в информационных системах.

Разработчики этого Постановления в пункте 5 указали, что есть несколько категорий, которые разделяют персональные данные на общедоступные, специальные, биометрические данные. Также отнесены в отдельную категорию «иные категории» ПД. Информация об этом содержится в абзаце 4 пункта 5 Постановления.

Исходя из сведений, содержащихся в тексте этого абзаца, можно сделать вывод, что «иными» являются категории ПД, входящие в группу данных о гражданине, отнести которые к трем другим категориям нельзя.
Роскомнадзор 27.07.17 г. издал специальные Рекомендации, в пункте 3.4 которых есть напоминание о требовании закона № 152, по которому во время получения ПД их категории должны соответствовать целям, установленным для обработки этих сведений.

Определенные категории персональной информации выделялись в приказе № 55/86/20, изданном ФСБ, ФСТЭК, Минсвязи совместно. Но в 2014 году с 11 марта этот нормативный документ был выведен из перечня действующих.

Сегодня продолжают функционировать Приказы, изданные ФСТЭК № 21 от 18.02.13 и ФСБ № 378 от 19.07.14, в которых нельзя найти более точные определения по разделению ПД по категориям.

Особенности категорий

В ФЗ № 152 и в других нормативах можно найти определения, указывающие, какие из данных можно отнести к общедоступным. Это информация, присутствующая в открытых местах, доступных для ознакомления всеми желающими – неограниченным количеством лиц. К примеру, такие сведения содержатся в телефонных справочниках или других документах, в которые информация заносится по согласию субъекта этих персональных данных.

Читайте так же:  Решение суда некоммерческое партнерство

К такой персональной информации можно отнести:

  • Ф. И. О. субъекта;
  • сведения о дате и месте рождения;
  • домашний адрес;
  • номера телефонов, электронной почты;
  • профессию субъекта ПД и др.

Носитель этих данных имеет право требовать, чтобы их удалили из источников, доступных для ознакомления всеми желающими. Исключить эту информацию можно также в соответствии с решением судебных органов или органов государственного управления.

Если компанией запланировано вести обработку биометрических данных или использовать сведения, которые относятся к специальной категории, нужно получить письменное одобрение этих действий от их носителей. Дать согласие на работу с другими ПД субъект, которому они принадлежат, может в любой подходящей для этого форме, позволяющей удостовериться, что такое одобрение было получено. Применять эти данные можно только в соответствии с целью, для которой они были истребованы.

Биометрической считают информацию, которая характеризует человека и позволяет установить его личность. Получить согласие на обработку этих сведений нужно в случаях, если предприятие ведет видеонаблюдение или нужно производить фотографирование.

Не нужно просить разрешения у носителя персональных данных, если проведение видео- и фотофиксации осуществляется в пределах, определенных органами правосудия или по требованию закона о соблюдении безопасности, о государственной службе и др. Об этом говорится в ст. 11 закона № 152.

Специальная персональная информация описывается в ст. 10 этого закона. Особые данные, в соответствии с его нормами, являются группой информации, которая не позволяет по общим характеристикам узнать их субъекта. Подробно об этом указано в ст. 10 ч. 1 закона.

Специальными можно считать сведения, которые характеризуют человека по расовым и национальным признакам, политическим взглядам, религиозным, философским убеждениям. Также к этим данным относят те из них, которые характеризуют физическое лицо в плане гендерной принадлежности и сексуальной ориентации.

В ч. 2 п. 10 закона содержится требование, когда обрабатывать такие сведения допускается. Подобные действия могут выполняться, если субъект в письменном виде дал свое согласие на обработку спецданных или самостоятельно сделал их публикацию в источниках информации общедоступного типа.

Возможна обработка специальных данных в случае выполнения требований законов России, международных договоренностей, органов правосудия.

Также возможна обработка такого рода ПД, если необходимость появилась при защите здоровья, жизни субъекта этих данных или прочих людей, для профилактики или лечения.

Данные проходят обработку в религиозных и общественных организациях, которые могут их использовать в пределах ведения своей деятельности. Как только цель, для которой понадобились специальные данные, была достигнута, их использование нужно немедленно прекратить. Это требование изложено в ст. 10 ч. 4 закона № 152.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/kategorii-personalnyh-dannyh/

Классы защиты персональных данных

Защита персональных данных
с помощью DLP-системы

П араметры защиты персональных данных (ПД) – это некоторая совокупность определенных условий по соблюдению требований правовых норм, позволяющая эффективно защитить информационные системы, содержащие, перерабатывающие и использующие эту информацию, от несанкционированного доступа.

Категории ИСПДн

К основным данным персонального характера относятся ФИО, дата рождения, адрес проживания, имущественное состояние, наличие образования, принадлежность к какой-либо профессии. Операторами этих и многих других данных являются госорганы, муниципальные органы, физические и юридические лица, обрабатывающие ПД.

Субъектами ПД являются физические лица. Оператор обязан создать необходимые условия по защите этой информации в соответствии с нормами законодательства РФ.

Постановлением № 1119 от 1 декабря 2012 г. вместо применяемых в России ранее классов информационных систем персональных данных (ИСПДн) применяются уровни защищенности ПД. Этот документ определяет конкретные требования к защите ПД при работе с ними в информсистемах и к уровням их защищенности.

Уровень защищенности зависит от:

  • категорий данных;
  • актуальных угроз;
  • числа людей, обработка ПД которых осуществляется;
  • контингента граждан – субъектов этих данных.

Информсистемы ПД делятся на четыре категории:

  1. Биометрические содержат информацию о биологии и физиологии субъекта, с помощью которой становится возможной идентификация его персоны.
  2. Специальные включают в себя расовую и национальную принадлежность, политические предпочтения, религиозные или философские верования и убеждения, информацию о состоянии физического и психического здоровья, сексуальном выборе и жизни.
  3. К общедоступным отнесены сведения об основных персональных данных, являющихся достоянием широких масс благодаря легкодоступным источникам, в которых они хранятся и обрабатываются.
  4. Иные ИСПДн используют данные, отсутствующие в предыдущих группах.

Объемы обрабатываемых личных данных в ИСПДн делятся на две группы: до 100 000 человек и более 100 000.

По форме взаимодействия между оператором и субъектами работа с ПД делится на два вида:

  • работа с ПД сотрудников;
  • работа с ПД других людей.

К числу актуальных угроз безопасности ПД можно отнести намеренный или случайный несанкционированный доступ, в результате чего данные могут быть уничтоженными, сфальсифицированными, измененными, блокированными, скопированными, распространенными средствами массовой информации и т. п.

Возможность устанавливать типы существующих актуальных угроз предоставляется самому оператору с привлечением специалистов по информационной безопасности.

К актуальным типам угроз относят:

  • недокументированные возможности системного программного обеспечения ИСПДн, которые позволяют осуществлять несанкционированный вход;
  • недокументированные возможности прикладного ПО;
  • другие угрозы.

Уровни защищенности ИСПДн

Всего существует четыре уровня защищенности (УЗ) ПД.

  • если существуют угрозы I типа и информсистема работает со специальными, биометрическими или иными категориями ПД;
  • если существуют угрозы II типа и информсистема работает со специальными категориями ПД свыше 100 тысяч граждан.

УЗ-2 устанавливается при угрозах типов:

  • I и работе с общедоступными личными данными;
  • II и работе с личными данными служащих оператора или при работе со специальной категорией ниже 100 тысяч человек;
  • II и работе с использованием биометрических личных данных;
  • II и обработке общедоступных личных данных при количестве от 100 тысяч человек (без персонала оператора);
  • II и работе с другими видами ПД с количеством от 100 тысяч человек (без учета работников оператора);
  • III и работе со специальной категорией более чем 100 тысяч человек (не считая персонала оператора).

УЗ-3 устанавливается при наличии угроз следующих типов:

  • II, включая работу с ПД общедоступного характера с количеством людей до 100 тысяч человек;
  • II с работой с другими категориями до 100 тысяч человек;
  • III с обработкой специальных категорий до 100 тысяч человек;
  • III с использованием биометрических ПД;
  • III с работой с другими категориями, превышающими 100 тысяч человек (кроме персонала оператора).

УЗ-4 устанавливается при угрозах:

  • III типа и работе с общедоступной информацией;
  • III типа и обработке других категорий меньше 100 тысяч человек.
Читайте так же:  Срок действия доверенности на получение материальных ценностей

Требования к защите личных данных для существующих уровней защищенности

Требования Уровни
защищенности
1 2 3 4
Запрет присутствия посторонних личностей в местах обработки ПД + + + +
Сохранность носителей данных + + + +
Составление руководством списка работников, которые имеют свободный доступ к личным данным + + + +
Использование сертифицированных, согласно законодательству, устройств защиты данных + + + +
Назначение ответственного сотрудника за надлежащее обеспечение защиты ПД + + +
Ограничение доступности электронного журнала сообщений + +
Если служебные полномочия сотрудника изменяются, то делается автоматическая запись в электронный журнал безопасности +
В составе учреждения, обрабатывающего ПД, должен быть отдел, занимающийся вопросами безопасности +

Если уровень защищенности ПД уже установлен, становится возможным подбор подходящих мер организационного и технического характера обеспечения безопасности ПД в соответствии с приказом № 21 от 18.02.2013 ФСТЭК РФ.

Требования приводятся в исполнение самим оператором, или к этой работе привлекаются по договорам юридические или физические лица, имеющие лицензию на технические способы защиты конфиденциальной информации. Оператор ИСПДн определяет уровень защищенности ПД и оформляет соответствующий акт.

Проверка выполнения предусмотренных норм безопасности должна осуществляться не реже одного раза в три года.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/klassy-zashchity-personalnyh-dannyh/

Специальные категории персональных данных — это что такое?

Многим людям привычна ситуация, в которой они подписывают разрешение на обработку и использование своих персональных данных. К примеру, подобное случается во время участия в каких-либо рекламных акциях или при оформлении особых карт, дающих право на получение скидки при приобретении продуктов и товаров. Практически всегда приходится соглашаться на использование предоставленных о себе сведений при оформлении кредитов или же иных видов финансовых займов.

Достаточно часто строчка, информирующая об этом, даже не бросается в глаза. И это происходит вовсе не потому, что напечатана она мелким шрифтом. Причина кроется в том, что мы просто привыкли к этому. Между тем, мало кто задумывается, что существуют и специальные категории персональных данных. Это означает, что пользоваться можно далеко не всей информацией. Даже если человек предоставил ее. Конечно же, определенную информацию о себе можно не указывать.

Что такое персональные данные?

Как правильно интерпретировать данный термин? Перед тем как узнать, какие персональные данные относятся к специальным категориям, нужно понять, что это такое, и иметь четкое представление о том, что попадает под данное определение, а что нет.

Концепция этого понятия сложилась достаточно давно. Изначально в обиходе было другое выражение – «личностные данные». Однако сейчас при оформлении какой-либо документации, бланков или же информационных буклетов пользуются словом «персональные». Достаточно часто данное выражение сокращают до аббревиатуры «ПД». Согласно определению, к таким данным относится любая информация о человеке и сведения о нем. Все это предоставляется как юридическим, так и физическим лицам.

Иными словами, к персональным данным одинаково относятся как сведения о весе или цвете глаз, так и информация о национальности, образовании, месте работы и пр. А вот о хобби, вкусовых пристрастиях и каких-либо предпочтениях – нет.

Это означает, что как обычные, так и специальные категории персональных данных – это только объективная информация о человеке. То есть та, которая очевидна. К примеру, рассказ о том, что человек предпочитает на обед тарелку борща со сметаной, ни к какой из категорий относиться не может. А вот информация о росте, национальности, вероисповедании или цвете глаз, перенесенных заболеваниях и прочих подобных вещах – все это есть персональные данные.

Для чего могут использоваться?

Данные о человеке – бесценная информация. Благодаря ей производители каких-либо товаров могут гораздо лучше понять, какие именно люди являются потребителями их продукции. И, соответственно, максимально оптимизировать производство, ценовую политику и, конечно же, ассортимент выпускаемых товаров, отталкиваясь от возможностей и нужд тех, кто является основным потребителем.

Таким образом, сбор личной информации о людях является ничем иным, как изучением спроса и возможностей расширения рынка сбыта. Разумеется, экономическая сфера – далеко не единственная область, в которой они используются.

Благодаря подобным данным составляются различные статистические отчеты, на них опирается при необходимости правительство. Личными сведениями пользуются различные социальные организации и фонды, к примеру, пенсионный.

Используются персональные данные о человеке и стражами порядка. Впрочем, как и преступниками.

Какие категории являются специальными

К специальным категориям персональных данных относятся сведения, касающиеся следующего:

  • интимной стороны жизни человека, его сексуальной ориентации;
  • текущего состояния здоровья и анамнеза;
  • национальности, происхождения, родственных связей;
  • политических предпочтений, принадлежности к какой-либо партии;
  • религиозных убеждений, верований.

Под категорию «специальные» могут попадать и сведения, относящиеся к профессиональной деятельности или же к философским жизненным убеждениям. Однако не стоит путать это с жизненным кредо. К примеру, если человек является ростоманом, то такая философия может быть включена в специальные категории персональных данных. Это система жизненных ценностей, убеждений, во многом схожая с религией. То же самое можно сказать о хиппи или же твистерах. Но если человек относит себя к хипстерам или панкам, то подобное жизненное кредо не входит в специальные категории персональных данных. Перечень характеристик не должен ограничиваться вкусовыми предпочтениями и спецификой внешнего вида.

Как добываются и обрабатываются подобные сведения?

Пользоваться сведениями о человеке, относящимися к специальным категориям, можно далеко не всегда. Даже если субъект сам их предоставил, опубликовал или сделал достоянием гласности иным способом.

Любое использование или же обработка специальных категорий персональных данных возможны только с письменного разрешения конкретного человека. Причем должна быть перечислена та информация, которая станет обрабатываться. Это означает, что на подписываемом человеком листе должен присутствовать подробный перечень категорий персональных данных, которые подвергнуться какому-либо анализу или будут использоваться как-то иначе.

Это означает, что человек дает свое письменное разрешение на действия с конкретной информацией. Например, если субъект подписывает акт, предоставляющий кому-либо право использовать данные о его здоровье, то обрабатывать информацию иного рода, допустим, касающуюся сексуальной ориентации, нельзя.

Обработка специальных категорий персональных данных в банках не является исключением. Финансовые учреждения имеют право запрашивать и обрабатывать только общую информацию в установленном законом порядке. Если по каким-либо причинам банку необходимо получить доступ к одной из специальных категорий и возможность использования этих данных, то работники учреждения обязаны взять у человека письменное разрешение. Оно должно быть оформлено на отдельной странице договора или же в качестве самостоятельного акта. Разумеется, должен присутствовать четко прописанный перечень категорий информации, которые банк желает получить и обработать.

При каких обстоятельствах могут обрабатываться и использоваться такие сведения?

Существуют определенные обстоятельства, при которых получить можно личную информацию любой категории. Субъектов, персональные данные которых будут использовать и обрабатывать, некоторых случаях могут даже не проинформировать об этом.

Читайте так же:  За нарушение авторских прав не несется

Разумеется, такие действия возможны лишь при исключительных ситуациях и осуществлять их могут только специальные ведомства и службы. К примеру, абсолютно все личные данные могут обрабатывать, анализировать и использовать ведомства, предотвращающие террористические акты.

Кто еще имеет доступ к специальным категориям личной информации?

Помимо стражей правопорядка и сотрудников специальных служб, занимающихся вопросами безопасности государства и его граждан, запрашивать, обрабатывать и использовать такого рода сведения могут и «мирные» ведомства.

Таким правом обладают:

  • пенсионный фонд;
  • подведомственные министерству иностранных дел учреждения и службы, посольства;
  • органы здравоохранения при наличии угрозы здоровью и жизни человека;
  • муниципалитеты и иные структуры власти;
  • организации, занимающиеся вопросами попечительства или опеки, оказывающие помощь несовершеннолетним, попавшим в сложные ситуации;
  • медико-профилактические и диагностические центры, проводящие профилактические осмотры.

Общественные организации, религиозные учреждения, различные социальные службы могут обрабатывать, хранить и использовать специальные категории персональных данных. Это осуществляется на общих, определенных законодательством, основаниях. То есть при наличии письменного согласия человека, чьи персональные данные планируется проанализировать, обработать и использовать.

Что такое защита личной информации

Это комплекс мер, направленных на предотвращение или же прекращение любого типа использования персональных данных, на которое субъект не давал письменного согласия.

В соответствии с интенсивностью защиты сведения делятся на группы. Каждая из них нуждается в собственном уровне защиты. Специальные категории персональных данных относятся к наиболее тщательно оберегаемой группе – первой.

Какими бывают уровни защиты

Законодательством предусмотрено четыре основных уровня обеспечения безопасности личной информации.

В соответствии с ними выделяются такие группы или же типы категорий персональных данных:

  • специальные;
  • биометрические;
  • общедоступные;
  • прочие.

К биометрическим данным о человеке относятся такие характеристики, как фотографии и отпечатки пальцев. Общедоступными принято считать сведения, доступ к которым предоставляют люди сами. К примеру, публикуют данные в социальных сетях. К прочим относят любую информацию о человеке, не попадающую под критерии других групп.

Какие виды обработки существуют

Их не так много, как кажется. Всего два вида, и определяются они наличием связи с человеком тех, кто использует его персональные данные, вне зависимости от того, юридические или физические это лица.

Первый вид обработки персональных данных подразумевает использование информации о человеке:

  • непосредственным работодателем;
  • банком, с которым заключено какое-либо финансовое соглашение;
  • близкими родственниками;
  • лечащими врачами и так далее.

То есть первый вид обработки персональных данных и их использование объединяет в себе действия юридических или же физических лиц, связанных с субъектом напрямую.

Соответственно, второй вид – это действия, осуществляемые лицами, не имеющими непосредственного отношения к субъекту.

Также законодательно разделяются два типа обработки. Они зависят от используемого объем. И категории обрабатываемых персональных данных при таком разделении значения не имеют. К первому типу относят обработку и использования данных числом до ста тысяч, ко второму – свыше этого уровня.

Как классифицируются угрозы

Все угрозы, которым могут подвергнуться как специальные категории персональных данных, так и любые другие, подразделяются на три типа.

Разделение производится в соответствии одному только параметру. Это наличие отношения к ИСПД (информационной системе персональных данных).

Она представляет собой хранилище информации о человеке, в рамках которой последняя обрабатывается. Сама система может быть любой – на бумажных и электронных носителях, с применением каких-либо технологий или же методом «ручной» обработки. Например, память жесткого диска компьютера, где собраны персональные данные людей – это точно такое же системное хранилище, как и шкафы в здании архива, заполненные бумажными документами.

Таким образом, разделение посягательств на персональные данные, их классификация, основаны на том, включена ли личная информация человека в такую систему или же нет.

Какими могут быть посягательства

Выделяют три актуальных типа угроз безопасности персональной информации, имеющей отношение к какой-либо ИСПД:

  1. Наличие в программном обеспечении незадекларированных возможностей, позволяющих использовать и обрабатывать информацию за пределами конкретной системы. Как правило, этот тип посягательств непосредственно связан с теми лицами, которым была предоставлена информация.
  2. Присутствие в ИСПД какого-либо дополнительного элемента, компонента, который обеспечивает утечку данных, впоследствии обрабатываемых и используемых на стороне.
  3. Наличие злого умысла и участие пресловутого человеческого фактора. То есть входящие в него разновидности посягательств никоим образом не связаны с самой системой и применяемыми в ней технологиями.

Как правило, описания типов угроз ассоциируются исключительно с виртуальными сетями, компьютерами и иными технологиями. Однако это не совсем верное понимание. Системой, при помощи которой обрабатываются персональные данные, может являться и что-то, что не имеет к ним отношения. Например, домашний шкаф, в котором лежат документы членов семьи, это тоже хранилище информации, нуждающееся в обеспечении защиты. Вероятные угрозы в данном случае попадают под третий тип посягательств.

Для чего нужно их защищать?

Как правило, при вопросах о том, почему необходимо обеспечение безопасности личной информации людей, большинству из них на ум приходит что-либо связанное с криминалом или террористическими актами. К примеру, кража данных о конкретной личности позволяет создать пакет поддельных документов, с которыми злоумышленник сможет куда-либо внедриться и получить шанс совершить преступное деяние.

Разумеется, использование личных данных в криминальных целях – важный аргумент для того, чтобы озаботиться их защитой. Однако в обычной жизни люди гораздо чаще сталкиваются с совершенно другими последствиями. Это, например, назойливая адресная реклама, в том числе и по телефону.

Также несанкционированное использование специальных категорий личной информации может иметь и негативные индивидуальные последствия. Например, если достоянием гласности становятся сведения о сексуальной ориентации, философских жизненных убеждениях или же вероисповедании человека, то это может повлиять на отношение к нему в обществе.

Что важно для защиты данных, относящихся к специальным категориям

Как это не парадоксально, но чаще всего причиной обработки и использования личной информации является небрежность самого человека.

Следует проявлять бдительность и быть предельно осторожным при заполнении различных анкет, в которых указываются такого рода данные. Предоставляя информацию о себе и подписывая соответствующий документ, нужно внимательно знакомиться с его содержанием и требовать переоформления акта в том случае, если что-то вызывает сомнения или тревожит.

Видео (кликните для воспроизведения).

Источник: http://businessman.ru/spetsialnyie-kategorii-personalnyih-dannyih—eto-chto-takoe.html

Персональные данные относящиеся к категории специальных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here