Основным документом, регламентирующим любые действия с персональными данными (ПДн), является Федеральный Закон №152-ФЗ.

Что является персональными данными по закону, как правильно организовать их хранение и обрабатывать, чтобы не получить штраф – подробно прописано в положениях этого нормативного акта.
Нормами №152-ФЗ предусмотрен комплекс требований, касающихся всех аспектов работы с ПДн – от получения согласия от субъекта до порядка защиты предоставленной им информации. Оператора ПДн, нарушившего требования, ждет серьезная ответственность. Так, новый Закон №420-ФЗ об оборотных штрафах предусматривает штрафы до 500 миллионов рублей, а также наказания в виде реального лишения свободы за утечки ПДн.
К категории общих ПДн относят базовую информацию о человеке. Как правило, такие данные указывают в документах – паспорте, дипломе, водительских правах, военном билете, трудовой книжке, личной карточке сотрудника компании.
Примеры общих ПДн:
Информация, относящаяся к категории общей, не всегда может быть отнесена к категории ПДн. К примеру, номер телефона без «привязки» к его ФИО или сведениям о прописке ПДн не считается.
Получить общие ПДн не слишком сложно, достаточно, чтобы человек поставил «галочку» в письменной или онлайн-анкете. Кроме того, некоторые сведения общего характера можно найти в открытых источниках — люди сами размещают в соц.сетях много сведений, указывают место работы, а место жительства и регистрации могут знать знакомые, родственники и коллеги.
Специальные ПДн не размещаются в открытом доступе. Получить такую информацию можно либо у самого субъекта (спросить лично), либо по запросу в уполномоченное учреждение (например, сведения о состоянии здоровья может предоставить больница — но только узкому кругу лиц и в строго определенных ситуациях). Примеры специальных ПДн:
Важно помнить о том, что в большинстве случаев человек не обязан разглашать специальные персональные данные о себе. Исключение составляет ряд определенных ситуаций, в том числе вступление в ряды вооруженных сил, трудоустройство на некоторые вакансии, поступление на лечение в медучреждение.
Биометрическими ПДн («биометрией») называют данные, позволяющие идентифицировать человека по его биологическим и / или физиологическим особенностям. Примеры биометрии:
Однако все это будет считаться биометрическими ПДн только в том случае, если целью использования становится установление или подтверждение личности.
Подробные разъяснения касательно отнесения данных к категории биометрических ПДн приведены в письмах Минцифры и РКН.
Например, если вместо служебных пропусков в компании используются видеокамеры с системой распознавания лиц (работник может входить в помещение только после того, как его «опознает» камера), то фотоснимки сотрудников считаются биометрическими ПДн — так как организация использует их для идентификации. Если же фото просто прикрепляется к личному делу сотрудника, то это уже не «биометрия», так как снимок просто дополняет сведения о работнике и не используется для того, чтобы установить его личность.
Если ПДн невозможно отнести ни к одной из трех вышеперечисленных категорий, то они считаются «иными ПДн». Иные ПДн могут часто меняться и по сути представляют собой дополнительную информацию о человеке.
Примерами иных ПДн считаются сведения об уровне заработной платы, стаж работы в компании, членство в каком-либо клубе и другие подобные сведения.
Субъектом ПДн называют любое физическое лицо, чьи ПДн обрабатывает и / или хранит оператор.
Оператор ПДн – это организация, которая работает с ПДн, то есть может их хранить, обрабатывать, собирать, распространять.
Если компания держит у себя персональные данные – на сервере, в облаке и даже в бумажном виде, разложив по папкам – в соответствии с №152-ФЗ это считается хранением ПДн, а значит, организация автоматически будет отнесена к категории операторов.
Обработкой считаются любые действия с персональными данными. Если организация записывает данные, анализирует, передает, удаляет, даже просто собирает – это уже обработка ПДн.
Оператор ПДн должен подать уведомление в РКН, чтобы ведомство внесло его в специальный реестр (исключение составляют ситуации, предусмотренные ч.2 ст.22 №152-ФЗ). В прилагаемом заявлении оператор прописывает, какие данные он хранит, где размещает и какие меры защиты предпринимает.
Согласно №152-ФЗ за все, что случается с ПДн отвечает оператор. Это справедливо и в том случае, если для обработки привлекаются третьи лица.
В зависимости от того, какие именно данные хранятся и обрабатываются согласно положений Постановления Правительства №1119 определяется необходимый уровень защиты (УЗ). Всего таких уровней – 4.
Самый низкий уровень обычно требуется иным ПДн — они известны ограниченному кругу лиц, однако без привязки к общим, биометрическим или специальным ПДн в большинстве случаев не позволяют идентифицировать личность (однако это не означает, что их безопасностью можно пренебречь). Биометрическим и специальным данным нужна более серьезная защита, так как их вполне можно использовать, чтобы безошибочно установить личность человека и причинить ему вред.
Определение уровня защищенности ПДн и настройка ИТ-инфраструктуры в соответствии с законодательными требованиями относится к зоне ответственности оператора. Если данным необходим третий или четвертый УЗ, то допускается их хранение в обычном публичном облаке (главное аттестовать облачное хранилище по №152-ФЗ). Для УЗ-1 и УЗ-2 требуется соблюдение особых условий, обеспечить которые в состоянии далеко не каждый провайдер.
По теме: основные требования 152-ФЗ к защите персональных данных, организационные меры защиты ПДн в компании. Поможем привести ИСПДн в соответствие — услуга защиты персональных данных.
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года