Персональные данные

Что такое персональные данные

Персональные данные или личностные данные — это данные о сведениях, относящиеся к прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных), которые могут быть предоставлены другим лицам.

Анализ судебной практики показывает, что к персональным данным относятся фамилия, имя, отчество, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация, при которой возможно идентифицировать конкретное лицо.

За нарушение законодательства о персональных данных введено четыре вида ответственности: дисциплинарная, материальная, административная и уголовная.

Что такое распространение персональных данных

Это распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Виды персональных данных — ПД

Общедоступные

Это информация, полученная из публичных источников информации: справочников, социальных сетей, различных каталогов, сети интернет.

Общие

Это самая обширная категория, в нее включается почти вся личная информация:

• ФИО;
• паспортные данные;
• ИНН;
• семейное положение;
• образование;
• адрес;
• номера телефонов и др.

Обезличенные

Любые ПД становятся обезличенными, если в результате каких-либо действий определить их принадлежность конкретному человеку становится невозможным. Самый яркий пример использования таких ПД – статистика и разнообразные отчеты.

Специальные

К этому виду ПД относят информацию, касающуюся:

• судимостей;
• расовой и национальной принадлежности;
• вероисповедания;
• политических взглядов;
• религиозных и философских убеждений;
• интимной жизни;
• состояния здоровья.

В отличие от общих данных, в законе приведен исчерпывающий перечень специальных ПД. Для этой информации закон устанавливает особые правила сбора, хранения и обработки.

Биометрические

К этому виду относятся все сведения о биологических или физиологических особенностях человека. Это могут быть:

• рост;
• группа крови;
• вес;
• отпечатки пальцев;
• результаты некоторых анализов;
• иногда фото и видео информация.

Важно, что информация становится биометрическими ПД только в том случае, когда, основываясь на ней, становится возможным установление личности человека.

Виды персональных данных по видам и целям обработки

Для каждой группы ПД имеются особенности и нюансы, касающиеся их использования. Рассмотрим ограничения, установленные законом, развернуто для каждой категории информации.

Общедоступные

Владелец ПД имеет право размещать информацию о себе в публичных источниках и исключать ее оттуда. И если собственный аккаунт в социальной сети можно удалить самостоятельно, то чтобы убрать номер телефона из справочника потребуется письменный запрос. Кроме того, прежде, чем включить информацию о человеке в справочник, составляющая его компания обязана получить письменное согласие.

Общие

Согласие может оформляться отдельным документом или являться частью договора. Важно, что, например, онлайн-заявка на кредит становится недействительной при отсутствии согласия на обработку ПД. Обезличенные Таковыми должны становиться все ПД, когда цель их обработки достигнута или утрачена необходимость достижения цели. При невозможности обезличивания ПД должны быть уничтожены.

Специальные

Ст. 10 Закона гласит, что обработка таких ПД допускается в строго определенных случаях. Это возможно если:

1. Имеется письменное согласие владельца ПД.
2. Владелец ПД сделал их общедоступными.
3. Это необходимо для защиты жизни ли здоровья владельца ПД или других лиц, а получение согласия невозможно.
4. Данные обрабатываются в медицинских целях лицом, обязанным соблюдать врачебную тайну.
5. Информация обрабатывается общественным или религиозным объединением, членом которого является владелец ПД.
6. Однако при этом запрещено распространение ПД.
7. Осуществляется обязательное страхование.
8. Это требуется для осуществления правосудия или противодействия терроризму.

Отдельно стоит упомянуть о судимости. Такая информация может обрабатываться только при наличии Федерального закона, который определяет необходимость такой обработки. Просто письменного согласия тут недостаточно.

Биометрические

Помимо письменного согласия владельца нормативные документы требуют соблюдать специальную процедуру хранения такой информации вне информационной системы (Постановление Правительства РФ от 06.07.2008 N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»).

1. Приказ об ответственном за обработку персональных данных
2. Ответственность за разглашение персональных данных
3. Штраф за нарушение закона о персональных данных
4. Адрес и место жительства являются персональными данными
5. Номер телефона и адрес электронной почты являются персональными данными

Что такое личная информация

Личная информация — это ваши имя и фамилия, паспортные данные (номер, серия, копия паспорта), пароли для доступа к различным сервисам и электронным кошелькам. Также личной информацией стоит считать:

• номер вашего телефона,
• номера телефонов ваших родственников,
• ваш домашний адрес,
• ваш возраст и дату рождения,
• ваше место работы — если вы работаете, и номер школы и класса — если вы учитесь,
• любые другие данные, с помощью которых можно разыскать вас или ваших родственников.

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

Защита данных на предприятии

Защита персональной информации может обеспечиваться несколькими источниками права:

• Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника.
• Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере.
• Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией возникает на протяжении всего рабочего процесса:

• между работодателем и сотрудником, между сотрудниками, а так же между третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идут уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ.

Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежат лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Предохранительные меры

Организационные:

1. Ограниченный доступ к хранилищам и архивам материалов.
2. Верификация запрашивающего лица перед предоставлением информации.
3. Ознакомительный формат предоставления сведений.
4. Санкции и штрафы за нарушения правил.

Технические:

1. Криптография и шифрование данных.
2. Создание отдельных серверов и каналов связи.
3. Уничтожение неактуальных материалов.
4. Экранировка помещений и устройств, для защиты от взлома.

Защиту персональной информации работник может реализовать через:

• Свободное бесплатное обращение к документам, где фигурируют его личные материалы. Работник может потребовать копию любого нормативного документа.
• Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
• Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Перечень документов

Акты:

• Акт уничтожения переносных носителей ПД.
• Акт классификации носителей ПД.
• Акт о итога проведения верификации исправности систем и средств защиты ПД.

Инструкции:

• Инструкция к действиям оператора базы ПД.
• Инструкция по обеспечению информационной безопасности. Инструкция пользователя при манипуляциях с ПД.

Письма и запросы:

• Запрос на изменение, удаление, модификацию содержимого ячейки базы ПД.
• Извещение о прекращении действия оператора баз ПД.
• Ответ на запрос получения или обработки информации. Приказы: Генеральный приказ о работе базы ПД.
• Приказ о назначении администрации и персонала базы ПД.
• Приказ об охране информации в ячейках базы данных.
• Приказ о проверке классификации ячеек БД.

Этапы защиты данных

В организации

Как реализовать на предприятии:

• Разработка проекта алгоритма обработки персональных сведений.
• Разработка системы согласия и отказа на обработку личных материалов.
• Разработка проекта уведомительных сообщений о включении личных материалов в общий поток.
• Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом.
• Издательство приказа о введении материалов работников предприятия в базу данных.
• Приказом определяется порядок и способ обработки и передачи информации, выполняется назначение ответственных, обозначаются санкции и штрафы за нарушение устава.
• Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

На сайте интернет-магазина

Пользовательское соглашение на сайте интернет-магазина, где указаны:

1. общие условия использования ресурсом;
2. факторы ответственности владельца организации;
3. Как происходит защита прав на сайте, чем она гарантирована.

Разрешение на рассылку пользователям разного рода уведомлений, порядок оспаривания конфликтных ситуаций.

Соглашение пользователя – это договор интеграции, который принимается субъектом без претензий, целиком. Соглашение пользователя заранее регулирует возможные конфликтные случаи, связанные с объемом услуг и порядком их предоставления.

Публичная оферта на дистанционный оборот товаров, предоставление услуг. Здесь изложены условия и очередность оформления договора торговли через Интернет.

Политика анонимности. Она определяет алгоритм обработки ПДН в связи с оформление договора на пользование сайтом, исходя из соглашения пользователя и договора купли-продажи.

В медицинских учреждениях

Правила и требования такие:

1. Подтверждение согласия на обработку персональных материалов оператором, а также обозначение цели данной обработки.
2. Способы и методы обработки личных материалов, применяющиеся оператором.
3. Сведения о лицах, которые получат доступ к личным сведениям.
4. Перечень обрабатываемых личных сведений и источник их получения.
5. Сроки обработки личных сведений, в т. ч. сроки их хранения.
6. Сведения о юридических последствия для субъекта, которые может повлечь за собой обработка его материалов.
7. Разъяснения последствий в случае его отказа в предоставлении своих персональных сведений тогда, когда это установлено в качестве обязанности гражданина федеральным законом.

Таковы правила для медицинских учреждений.