- Какие можно выделить типы персональных данных?
- Зачем проводить классификацию ПДн?
- Пример употребления на «Секрете»
- Нюансы
- Критика
- Цифры
- Что такое персональные данные
- Типы ПД
- Оператор и субъект персональных данных – кто есть кто
- Как получить согласие на обработку персональных данных
- Когда согласие не нужно
- Обязательства оператора по защите персональных данных
- Уведомление в Роскомнадзор
В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:
- Общедоступные — те, которые опубликованы в открытых источниках с согласия владельца (если субъект хочет удалить сведения, он может подать заявление оператору либо обратиться в суд). К таким относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, образование.
- Специальные — ПДн, которые касаются сексуальной жизни субъекта, его политических, философских и религиозных воззрений, а также расовой и половой принадлежности. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
- Биометрические — любые биологические либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Оператору для обработки подобных ПДн нужно предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Однако если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических ПДн (в зависимости от ситуации их можно определить как специальные либо общедоступные).
- Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.
Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:
- сведения в муниципальных и государственных ИС;
- личные сведения в полностью автоматизированных системах;
- ПДн, необходимые для агитации политических сил, раскрутки товаров и услуг;
- трансграничная передача данных (когда информация передается за пределы страны).
Какие можно выделить типы персональных данных?
Кроме описанных видов ПД, классифицировать личные сведения граждан можно на основании положений ТК, Конституции Российской Федерации и других ФЗ. Например, при организации трудовых процессов происходит обработка двух типов документов:
- Подаваемые сотрудниками в момент приема на работу и подписания соглашения с работодателем. Речь идет о трудовой книжке, дипломах об окончании учебных заведений, паспорте, сертификатах, подтверждающих специальные знания, документах о постановке/снятии с воинского учета и т.д.
- Формируемые непосредственно работодателем в отношении персонала. К данному типу относятся внутренние приказы (о зачислении, о выдаче премиальных средств), расчетная документация, персональная карточка.
Есть еще несколько способов разделения персональных данных по разным критериям:
- по содержанию — биометрические и не биометрические;
- по направлению — обычные и специальные;
- по степени доступа — конфиденциальные и те, которые находятся в общем доступе.
Зачем проводить классификацию ПДн?
Проанализировать виды персональной информации и понять, какие именно сведения вы используете в своей деятельности, очень важно. От этого зависит список законодательных требований к защите ИС, и, соответственно, затраты на внедрение средств профилактики и реагирования на УБ. Кроме того, это позволит избежать нарушений и штрафных санкций со стороны контролирующих органов, а также завоевать репутацию надежной компании, что положительно скажется на уровне дохода.
Пример употребления на «Секрете»
«»Яндекс» указал, что некоторые возможности сервисов станут недоступны после удаления персональных данных. Например, «Яндекс.Музыка» советует новые треки, опираясь на историю прослушиваний, лайки и дизлайки, и без этой информации рекомендации будут неточными».
(Из новости о том, что «Яндекс» разрешил пользователям навсегда удалять персональные данные.)
Нюансы
Выделяют несколько видов персональных данных:
- Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
- Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
- Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
- Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Критика
Главная проблема персональных данных — в их частых утечках. Скандалы вокруг таких инцидентов происходят в России нередко. Так, в мае 2020 года в интернете появились паспортные данные москвичей, оштрафованных за нарушение самоизоляции.
В ноябре 2019 года в открытом доступе оказалась личная информация 500 000 пользователей сайта по поиску работы Job in Moscow. Хакерам стали доступны не только персональные данные соискателей, но и логины и пароли их учётных записей.
«Аксиома: любая база данных утечёт. Завтра или через три года, целиком или по кусочкам, но это обязательно случится. Вот чем опасен сбор персональных и необезличенных данных», — констатирует сооснователь и генеральный директор HFLabs Дмитрий Журавлёв.
Цифры
Чтобы решить эту проблему, в 2021 году Госдума в 10 раз подняла штрафы за разглашение персональных данных. Для граждан — с 500–1000 рублей до 5000–10 000 рублей, для должностных лиц — с 4000–5000 рублей до 40 000–50 000 рублей. Помимо этого, систематически вносимые в законодательство поправки довели ответственность юрлиц за мелкие нарушения до 200 000 рублей.
Более серьёзные нарушения, включая сбор персональных данных посредством информационно-телекоммуникационной сети «Интернет», могут повлечь наложение административного штрафа на юрлицо от 1 млн до 6 млн рублей. Повторное совершение такого нарушения может повлечь штраф от 6 млн до 18 млн рублей.
Что такое персональные данные
Персональные данные (ПД) – уникальная информация, которая позволяет идентифицировать личность каждого клиента. К ним относятся:
- фамилия, имя, отчество;
- страна, город;
- дата рождения;
- фотографическое и/или видеоизображение человека;
- адрес проживания;
- телефонный номер;
- электронный адрес;
- сведения об образовании, трудовом стаже, текущей занятости и доходах;
- информация о семейном положении, составе семьи (включая подробные сведения о ее членах);
- национальная (расовая) принадлежность;
- информация о религиозных, политических и других убеждениях гражданина;
- данные о состоянии здоровья;
- документальная информация (серия и номер общегражданского и заграничного паспортов, отметки о пересечении государственной границы, СНИЛС);
- любые сведения, способствующие идентификации пользователей интернет-ресурсов.
Согласно №152-ФЗ «О персональных данных» , под персональными сведениями подразумевают информацию, привязанную к фамилии, имени, отчеству (а также адресу, телефонному номеру) частного лица. Обезличенные данные – без подобной привязки – не относят к персональным.
Типы ПД
Личностные сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории такой информации – общую, специальную, биометрическую, иную.
Оператор и субъект персональных данных – кто есть кто
Субъект персональных данных – конкретный человек, личность которого указанная информация помогает идентифицировать.
Оператор – лицо, занимающееся обработкой ПД. Им могут быть:
- организация – государственная, общественная, коммерческая;
- частный предприниматель;
- физическое лицо – например, владелец сайта, использующий ПД посетителей ресурса для оценки активности, рассылки, анализа половозрастной структуры пользователей и просто хранящий эти сведения.
Отсутствие такой организации или частного лица в соответствующем реестре Роскомнадзора, которое дает им право осуществлять обработку ПД, не освобождает от административной и уголовной ответственности.
Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод от Calltouch .
Он отсечет спам , нецелевые обращения и предоставит данные об активности клиентов. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.
Автоматически выявляет некачественные звонки, которые не приводят к продажам, а просто расходуют бюджет.
- Выявляет и тегирует сомнительные звонки от недобросовестных рекламных подрядчиков или спам
- Позволяет учитывать в отчетах только качественные обращения
- Упрощает контроль подрядчиков
Как получить согласие на обработку персональных данных
Обработка ПД – любые действия с личной информацией о человеке:
- получение (сбор персональных данных);
- структуризация;
- хранение на любых носителях (в электронных и бумажных архивах);
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание – устранение очевидной связи между человеком и его ПД;
- блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
Обработка персональных данных проводится только с разрешения их владельца. Чтобы получить согласие субъекта и соблюсти закон, нужно:
- Уведомить Роскомнадзор о своих планах начать обработку персональных данных (за исключением ряда случаев, о которых мы расскажем ниже).
- Составить текст соглашения и разместить его в общем доступе на сайте или бумажном бланке, снабдив чекбоксом для отметки о разрешении клиента на обработку ПД.
- Предупредить посетителей интернет-ресурса о сборе cookie и иных метаданных (местоположения, IP-адреса) для его полноценной работы. Предупреждение обычно оформляют в виде всплывающего окна с предложением согласиться на обработку или покинуть сайт.
- Разместить на сайте ссылку на документ, отражающий политику конфиденциальности компании или правила работы с ПД.
Устное разрешение на обработку персональных данных не допускается. Нельзя получить его и по умолчанию. Например, то, что клиент совершил покупку на сайте, не говорит о его согласии на обработку ПД.
Для сбора биометрической информации предусматривают техническую возможность письменного разрешения – чекбокс в этом случае не подойдет.
Когда согласие не нужно
В разрешении на обработку ПД нет необходимости, если их субъект:
- Является участником договора.
- Подвергается судебному разбирательству.
- Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).
Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:
- сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
- фото или видео с общественных мероприятий или полученные на платной основе;
- ИНН без привязки к другой информации;
- государственные номера транспортных средств.
- данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
- информация, предназначенная для передачи только внутри компании (группы компаний)
Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.
Обязательства оператора по защите персональных данных
Оператор персональных данных обязан:
- не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта персональных данных, не допускать утечки;
- изменять или удалять сведения по требованию субъекта персональных данных;
- размещать и хранить архив с информацией на российских серверах.
Для защиты ПД применяют организационные меры и технические средства – противовирусное программное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.
При низком уровне защиты личная информация граждан может попасть в руки преступников – воров, мошенников, шантажистов. Оператор за халатное отношение к своим обязанностям будет отвечать перед законом.
Уведомление в Роскомнадзор
Чтобы уведомить Роскомнадзор о намерении вести деятельность по обработке персональных данных, заполните электронную форму на сайте ведомства или портале «Госуслуги». Заполненный и распечатанный документ можно отправить в бумажном виде – почтой по адресу местного отделения Роскомнадзора. Сведения об организации или частном лице будут добавлены в реестр в течение месяца.
Отправлять уведомление в регулирующий орган не обязательно, если обработка ПД применяется в следующих случаях:
- оформление разового пропуска на территорию предприятия;
- исполнение предписаний трудового законодательства при условии только внутреннего использования информации (без передачи в иные организации, например, банки);
- заключение договоров с сотрудниками и клиентами без передачи информации третьим лицам;
- работа с информацией только на бумажных носителях;
- использование ПД участников в рамках одной общественной или религиозной организации.
Перед подачей уведомления нужно оповестить персонал, оснастить помещение и вычислительную технику средствами защиты информации, подготовить необходимую документацию.