Что относится к персональным данным: виды тайн и сведений

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что относится к персональным данным: виды тайн и сведений». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

# Какие предприятия должны защищать персональные данные?

Определение Согласно статье 3 ФЗ-152, вводится термин «оператора», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн. Предприятия, попадающие под озвученное определение, согласно статье 18.1 всё того же ФЗ-152, обязаны принимать достаточные и необходимые меры по защите персональных данных, обеспечивая тем самым выполнение обязанностей, предусмотренных настоящим Федеральным законом и принятых в соответствии с ним нормативно-правовых актов.

# Что представляют собой уровни угроз и уровни защищенности ПДн?

При обработке ПДн в информационных системах существуют установленные требования по их защите. Требуемый уровень защищенности зависит от трех уровней актуальных угроз. Список 2. Три уровня актуальных угроз

• Угроза I уровня Угрозы, связанные с наличием недокументированных возможностей в используемом системном программном обеспечении
• Угроза II уровня Угрозы, связанные с наличием недокументированных возможностей в используемом прикладном программном обеспечении
• Угроза III уровня Угрозы, не связанные с наличием недокументированных возможностей в используемом системном и прикладном программном обеспечении

Согласно Постановлению Правительства РФ № 1119 от 1 ноября 2012 года, вместо классов информационных систем персональных данных устанавливаются 4 уровня защищенностиперсональных данных при их обработке в информационных системах, а также требования для каждого из них. Информационная система может быть отнесена к тому или иному уровню защищенности в зависимости от:

• типа персональных данных, обрабатываемых информационной системой;
• типа актуальных угроз;
• количества обрабатываемых субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

Список 3. Категории обрабатываемых персональных данных 1-й уровень защищенности

• Для информационной системы актуальны угрозы 1-го типа, и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных.
• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

2-й уровень защищенности

• Для информационной системы актуальны угрозы 1-го типа, и информационная система обрабатывает общедоступные персональные данные.
• Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает биометрические персональные данные.
• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

3-й уровень защищенности

• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает биометрические персональные данные.
• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

4-й уровень защищенности

• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает общедоступные персональные данные.
• Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

Законодательное регулирование

К персональным данным (ПД) относят сведения, характеризующие прямо или косвенно субъекта – физическое лицо. По таким данным можно наиболее точно установить личность конкретного гражданина.

Конституция РФ (ст. 23–24) гарантирует физлицам право на соблюдение тайны их частной жизни, создает все необходимые предпосылки для неприкосновенности и необходимой защиты. Владельцу ПД принадлежит все, из чего состоит это понятие, в связи с этим такая информация не должна контролироваться третьими лицами или правительственными органами.

Физлица самостоятельно распоряжаются своими данными и вольны решать – воспрепятствовать их распространению или предоставить по требованию. Государство предоставляет определенные гарантии и защиту для получения этой возможности. В з-не № 152-ФЗ указаны условия, правила и круг лиц, которые могут использовать ПД кроме их владельца.

Носитель ПД может разрешить операторам получать и осуществлять обработку его личной информации. Это позволит на законных основаниях выполнять определенные действия с ней. Во время оформления заявлений на получение займа, при оформлении на работу, при проведении анкетирования физическое лицо самостоятельно предоставляет свое согласие, добровольно подписывая соглашение о разрешении проверять его личные данные.

Служебные лица могут воспользоваться доступом к определенному объему личной информации, необходимой для выполнения конкретных действий. У них нет права на хранение и применение ПД после достижения результата. В случае нарушения такого требования оператор отвечает за их намеренное разглашение.

В определенных случаях используется особое требование по работе с ПД, если они:

• необходимы для решения вопросов семейного или личного характера (в случае если распространение данных не приводит к ущемлению прав других лиц);
• находятся в архивной документации;
• принадлежат к данным, составляющим государственную тайну;
• должны быть предоставлены по судебному акту.

Как получить согласие на обработку персональных данных

Обработка персональных данных — это любые действия с личной информацией:

• получение;
• структуризация;
• хранение на носителях — в электронных и бумажных архивах;
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание — устранение очевидной связи между человеком и его ПД;
• блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
• удаление и обновление;
• ликвидация без возможности восстановления.

Требования к процедуре

Общие требования устанавливает ст. 86 Трудового кодекса РФ и ст. 5 Закона о персональных данных:

• обработка персональных данных производится только с целью, связанной с трудовой деятельностью. Например, в целях трудоустройства, повышения квалификации, прохождении аттестации и т.п.
• персональные данные работодатель получает только от работника. Если эти сведения можно получить только от третьих лиц, то получите письменное согласие работника.
• работодатель обязан ознакомить работника с локальными актами, которые касаются работы с персональными данными. Это приказ об утверждении положения о персональных данных, о допуске к данным и т.п.
• хранятся данные только до достижения целей обработки (действие трудового договора и требования по срокам хранения личных дел)
• меры по защите персональных данных работодатель вырабатывает совместно с работниками

Огромное значение правильной обработки персональных данных является издание локальных актов работодателя. Образцы и примеры составления которых мы разместили на нашем сайте.

По общему правилу специальные и биометрические категории персональных данных работодатель не обрабатывает.

Понятие персональных данных и правовое регулирование

Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.

Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.

Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?

Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.

На основании п. 2.5 указанного документа к личным данным относятся:

• имя, отчество и фамилия гражданина;
• дата его рождения (число, месяц и год);
• место рождения;
• адрес регистрации или место фактического проживания;
• сведения о семейном положении и детях;
• социальное положение;
• данные об имуществе;
• размер и источники дохода;
• сведения об оконченных учебных заведениях;
• профессия и занимаемая должность.

При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.

Защита служебной тайны

Очевидно, что служебная тайна нуждается в защите. Сформирован целый ряд механизмов, охраняющих служебную тайну от незаконного завладения ею третьими лицами, внесения в нее изменений, уничтожения.

Соглашение о неразглашении, отражение в трудовом договоре четко прописанных дополнительных условий и мер по сохранению служебной тайны, разработка отдельного ЛНА, касающегося служебной тайны – это правовые инструменты защиты конфиденциальной служебной информации. Кроме них могут предусматриваться еще технические средства защиты, в том числе и кодирование сведений.

Важную роль играет организация процесса сохранности служебной информации в коллективе: учет работников с особым доступом к таким сведениям, их обучение, особый порядок работы с деловыми бумагами и иными носителями информации, составляющими служебную тайну. Работник, допустивший утечку тайных служебных сведений, может быть уволен по ст. 81 ТК РФ п.6 (в).

КоАП РФ статьей 13.14 предусматривает штрафы за разглашение сведений с ограниченным доступом. В частности, если «утечка» произошла по вине должностного лица, штраф может составить от 4 до 5 тыс. рублей.

За разглашение служебной тайны может наступить и уголовная ответственность. Так, статьей 155 УК РФ предусмотрен штраф до 80 тыс. руб., арест до 4 месяцев за разглашение тайны усыновления, удочерения. При этом недобросовестный чиновник может быть лишен права занимать определенные должности на срок до 3 лет.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Персональные данные имеет множество видов тайн, за разглашение которых человек несет полную ответственность. Среди всех видов, выделяют следующие тайны: • Усыновление. Если судья выносит решение об усыновлении ребенка, он берет на себя ответственность за разглашение этой тайны. Такую тайну также должны хранить лица, проводившие государственную регистрацию усыновления и имеющие какие-либо сведения об этом. Детально о тайне усыновления можно узнать в статье 139 Семейного кодекса РФ. • Врачебная тайна. К ней относится любая информация, связанная со здоровьем человека: обращение за медицинской помощью, поставленный диагноз, обследование, лечение. По статье 61 законодательства Российской Федерации эту информацию нельзя разглашать другим людям без согласия этого самого человека. • Налог. К этой тайне чаще всего имеют отношение налоговые или таможенные организации, следователи и внутренние органы. Они не имеют права разглашать любые сведения о налогоплательщике. Налоговую тайну регулирует статья 102 Налогового Кодекса Российской Федерации. • Адвокатская тайна. С этой тайной мы сталкиваемся довольно часто, но не всегда понимаем, что к ней относится. Адвокатская тайна – любая информация между адвокатом и его доверителем. Это одна из обязанностей адвоката и один из принципов адвокатской деятельности (статья 3 Федерального Законодательства). • Тайна исповеди. Священнослужитель не может понести ответственность, если откажется рассказывать какую-либо информацию, касающуюся обстоятельств, которую он узнал от прихожанина на исповеди. Регулирует данную тайну пункт 7 статьи 3 Федерального Законодательства №125. Есть две тайны, которые не регулируются отдельными законами: личная (любая информация о человеке, которую тот хочет скрыть от посторонних) и семейная (информация о членах семьи, которую человек желает скрыть от других людей).

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

• исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
• в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
• направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Объект защиты информации – это информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

Под объектом защиты надо понимать не абстрактное понятие, а комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора, передачи, обработки и хранения информации.

К защите непосредственно информации можно отнести организационные меры и исследования в теоретических областях, разработку концепции защиты информации. Более конкретные действия направлены на носители. Так, регламентация работы с документами, электронными запоминающими устройствами, веществами, несущими в себе информацию, ставит целью сохранять в безопасности и оберегать от несанкционированного доступа именно сами эти документы, носители, вещества, с целью сохранения информации, содержащейся в них. Таким образом, можно сказать, что выделение носителя информации в качестве объекта защиты – необходимый шаг для последующего определения в качестве объекта защиты самой информации.

Так как носители представляют собой множество принципиально разных физических объектов, методы их защиты также разнообразны, и включают в себя разработку технических и программных средств защиты, разработку защищённых каналов передачи (к примеру, в случае рассмотрения в качестве объекта защиты электромагнитных волн и полей), разработку организационных мер и нормативных актов, обеспечивающих эффективность вышеуказанных средств защиты.

*16. Классификация защищаемой информации по материальным объектам.

В зависимости от природы и формы реализации материального объекта, информация сама по себе может представать в разных формах. Таким образом, можно провести классификацию информации по материальному объекту, на котором она представлена:

• При представлении на бумаге информация – последовательность сочетаний символов, равно как и при представлении в текстовом виде на любом другом носителе.

• При представлении информации в виде графиков, чертежей, прочих графических изображений, информация – сочетание простых геометрических примитивов, образующих у пользователя некоторые образы, ассоциирующиеся с явлениями, понятиями и данными.

• При хранении, передаче и обработке с помощью электронно-вычислительных средств информация представляет собой последовательность битов, то есть последовательность сочетаний интервалов высокого и низкого уровня напряжения. В такой форме информация, так или иначе, предстаёт при любом её использовании с помощью ЭВС.

• При передаче посредством электромагнитных волн информация представляет собой данные о частоте, амплитуде, фазе и модуляции волны, несущей данные.

• Если информацию несёт предмет или изделие само по себе, то, фактически, информацией являются конкретные результаты замеров параметров данного предмета или изделия. Аналогично, если информацию несёт вещество, она содержится в результатах замеров химических, физических, биологических свойств этого вещества.

• В случае, если носителем информации выступает человек, то она представляется в виде множества образов, возникающих в сознании этого человека. С помощью мыслительной деятельности человек может преобразовывать такую информацию в другие формы.

Правило 5. Грамотно оформлять документы по работе с ПД

В ряде случаев, например при размещении ПД работника на сайте организации, для обработки разных категорий ПД требуется письменное согласие работника, которое должно включать в себя:

• Ф.И.О. работника, адрес, сведения о документе, удостоверяющем его личность;
• наименование (Ф.И.О.) и адрес работодателя, получающего согласие работника на обработку ПД;
• цель обработки ПД;
• перечень ПД, на обработку которых дается согласие работника;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых работодателем способов обработки ПД;
• срок, в течение которого действует согласие, а также порядок его отзыва;
• подпись работника.

В организации должно быть утверждено Положение о защите ПД работников.

Оно регламентирует порядок получения, хранения, использования и защиты ПД, закрепляет права и обязанности работодателя и работников, а также определяет ответственность сторон трудового договора.

В УК РФ есть сразу несколько норм относительно ответственности за несоблюдение служебной тайны:

1. Раскрытие информации об усыновлении (ст. 155 УК России). Предусматривается штраф до восьмидесяти тысяч рублей либо лишение свободы до четырех месяцев.
2. Разглашение данных о мероприятиях, предпринимаемых относительно судей или же участника уголовного дела (ст. 311 УК РФ). Могут применяться штрафные санкции до двухсот тысяч рублей или же лишение свободы до пяти лет.
3. Раскрытие информации о мерах безопасности в отношении сотрудников правоохранительных органов (ст. 320 УК России). Санкции такие же, что и в статье 311.

Важным моментом является то, что должность госслужащего или же сотрудника структур правоохранительных органов предполагает невозможность ее занимания человеком, который имеет судимость. А это означает, что лицо, нарушившее служебную тайну, автоматически увольняется по отрицательным основаниям.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

• Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
• Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
• Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
• Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

В каких случаях необходимо проходить аттестацию и сертификацию?

Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс. Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов.

Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия. Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.

Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.

Что относится к сведениям, которые не могут составлять коммерческую тайну предприятия

Такие сведения оговорены в ст. 5 закона № 98-ФЗ и включают в себя информацию:

• указанную в учредительных документах и документах о регистрации юрлица или ИП в госорганах;
• указанную в разрешениях на коммерческую деятельность;
• об использовании бюджетных средств и об имуществе госучреждений и государственных (муниципальных) унитарных предприятий;
• влияющую на безопасность отдельных граждан или всего населения (о влиянии на окружающую среду, о соблюдении противопожарной, санитарной техники безопасности, безвредность пищевых продуктов и т. д.);
• относящуюся к кадровой (количество работников, их состав, система оплаты труда, условия и охрана труда, травматизм и проф. заболевания, имеющиеся вакансии, задолженность по зарплате и соцвыплатам);
• о противозаконных действиях и понесенных за это наказаниях;
• об условиях приватизации госсобственности;
• для некоммерческих организаций: о доходах, расходах, имуществе, о количестве сотрудников и их зарплате, об использовании бесплатного труда;
• о списке лиц, которые выступают от имени организации без доверенности;
• прочая информация, необходимость раскрытия которой указана в других законах.

Похожие записи:

• Перевод и получение пенсии гражданам Украины в России в 2023 году
• Как получить землю ветеранам боевых действий в 2023 году
• Кто сможет выйти на пенсию в 2023 году