В последние годы вопрос о персональных данных стал крайне острым ввиду активного внедрения современных цифровых технологий в различные сферы жизни и производства (цифровизации), а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. Практически каждая организация в процессе своей деятельности сталкивается с персональными данными физических лиц.
Давайте разберемся, что такое персональные данные и что к ним относят.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту — Закон о персональных данных).
Поскольку законодательство не содержит конкретного перечня персональных данных, к таковым может быть отнесена любая информация о гражданах, в частности:
- фамилия, имя, отчество;
- пол, дата рождения;
- контактная информация (адрес, номер телефона и т.п.);
- паспортные данные, СНИЛС;
- образование, квалификация, оценка навыков, личностных качеств и т.п.;
- семейное положение, сведения о детях, родственниках;
- финансовое положение, включая сведения о зарплате;
- факты биографии;
- фотография и видеозапись, позволяющие установить личность человека;
- иные сведения и данные, идентифицирующие человека.
Как уже указывалось выше, никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными. Если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.
Когда же речь идет об операциях с персональными данными, категории персональных данных разграничивают по характеру сведений. В зависимости от этого понадобится выполнить те или иные требования закона. Выделяют четыре категории: общие (или общедоступные), специальные, биометрические и иные.
Общие персональные данные, согласно законодательства о персональных данных это базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email и т.д.
Специальные персональные данные – это информация о личности человека: расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд.
Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность: фотографии и видеозаписи, дактилоскопические данные, радужная оболочка глаз, отпечатки пальцев, анализы ДНК, рост, вес группа крови, генетическая информация.
Однако все эти данные не всегда являются биометрическими. Согласно разъяснению Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», они становятся такими, только если вы храните их с целью идентификации личности (источник публикации: «Экономика и жизнь» (Бухгалтерское приложение), № 36, 13.09.2013).
Иные персональные данные – в эту категорию персональных данных относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, членство в клубе, или то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и т.д.
Иные данные сложнее всего отличить от специальных. Разница следующая: специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали, а иные данные — это просто дополнительная информация, они часто могут меняться.
Одним из ключевых понятий, содержащихся в Закон о персональных данных, является «оператор персональных данных», к которому относятся государственный орган, муниципальный орган, юридическое или физическое лицо. Признаками причисления к данному понятию являются самостоятельная или совместно с другими лицами организация и (или) осуществление обработки персональных данных, а также определение целей обработки персональных данных, состава персональных данных, подлежащих обработке, действий (операций), совершаемых с персональными данными.
Таким образом, любое лицо – физическое или юридическое, к которому попадают персональные данные, становится оператором и должно соблюдать требования по их обработке.
Хочется отметить, что персональные данные – конфиденциальная информация исходя из статьи 7 Закона о персональных данных, согласно которой лица, получавшие доступ к персональным данным, по умолчанию должны соблюдать их конфиденциальность.
Если организация или иное лицо, признаваемое оператором, обрабатывают сведения о гражданах, они обязаны предпринимать меры по защите персональных данных.
Перечень мер по защите персональных данных, которые должны предприниматься организациями или иным лицом при обработке этих данных, Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами не ограничен. Каждый оператор самостоятельно решает, какие именно меры и в каком объеме он будет применять.
Часть мероприятий прописана в Законе о персональных данных, а именно: оператору необходимо утвердить политику в отношении обработки персональных данных, назначить ответственного за организацию обработки персональных данных, утвердить перечень работников, имеющих доступ к персональным данным, и заключить с ними соглашение о неразглашении этих данных.
Кроме того оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных (это следует из п. 2 ч. 1 и ч. 2 ст. 18.1 Закона о персональных данных).
Однако просто подписать приказы и соглашения недостаточно. В зависимости от категории персональных данных и способа их обработки (в электронном виде или на бумажном носителе) потребуется также обеспечить их физическую безопасность. Другими словами, принять ряд организационных и технических мер, в том числе ограничить доступ в помещения посторонних лиц, хранить документы в сейфе, установить пароли, вместо мусорной корзины использовать измельчитель документов и т.д.
Сложнее всего организовать защиту данных, которые операторы хранят в электронном виде. Для этого оператору придется предварительно определить тип угроз безопасности и подобрать соответствующий этому типу один из четырех уровней защищенности (п. п. 7 - 12 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119). От этого уровня защищенности зависит, какие меры защиты персональных данных оператору нужно предпринять (п. п. 13 - 16 указанных Требований).
Следует отметить, что ключевой принцип российского законодательства в области персональных данных формулируется так: «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных» (ч. 2 ст. 5 Закона о персональных данных). То есть все действия оператора с персональными данными должны быть связаны с той целью, с которой оператор их получил.
За обработку персональных данных, не совместимую с целями их сбора, оператора могут привлечь к административной ответственности.
Видео-материалы для проведения уроков по вопросам защиты персональных данных https://pd.rkn.gov.ru/multimedia/
Муниципальное учреждение «Управление образования и социальной сферы администрации Мирного»