что относится к перс данным

Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

Немного подробнее по каждой категории.

Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.

Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

В свою очередь, обработка может осуществляться тремя путями:

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Источник

Персональные данные (Краткий FAQ)

Что такое персональные данные?

Что такое оператор и субъект персональных данных?

Как классифицировать информационную систему персональных данных?

Судный день отсрочен до 1 января 2011 года

ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Обязательные требования по защите информационных систем персональных данных

Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Порядок действий по защите информационной системы персональных данных

Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
2) Предпроектное обследование информационной системы — сбор исходных данных;
3) Классификация системы обработки персональных данных;
4) Построение частной модели угроз с целью определения их актуальности для информационной системы;
5) Разработка частного технического задания на систему защиты персональных данных;
6) Проектирование системы защиты персональных данных;
7) Реализация и внедрение системы защиты персональных данных;
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
9) Аттестация (сертификация) по требованиям безопасности информации;
10) Повышение квалификации сотрудников в области защиты персональных данных;
11) Сопровождение (аутсорсинг) системы защиты персональных данных.

Когда аттестация и сертификация обязательна?

Аттестация информационных систем по требованиям безопасности информации обязательна:
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;
— в остальных случаях — для ИСПДн 1, 2 и 3 классов.
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации. », п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации. », пп. 4.2, 4.3).
Примечание:
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.

ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Ответственность за нарушения по обработке персональных данных

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:
— гражданскую,
— уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
— дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).

Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки

Источник

Персональные данные шире, чем вы думали: номер телефона и email

Правительство отнесло e-mail и номер телефона к персональным данным.

Время прочтения: 1,5 мин.

13 сентября 2019 г. Правительство РФ дополнило состав персональных данных которые размещаются в единой биометрической системе. Теперь к персональным данным относятся следующие сведения:

Что является персональными данными?

Согласно закону, к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Роскомнадзор ранее разъяснял, что такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.

Проще говоря, если по определённым данным можно вычислить (идентифицировать) лицо, которому принадлежат указанные данные, то такие данные являются персональными.

Древний спор юристов о том, является ли номер телефона и e-mail персональными данными, кажется подходит к концу. Некоторые утверждали, что раз уж законодательство о рекламе требует получения согласия на рассылку по номеру телефону, значит здесь есть аналогия с получением согласия субъекта на обработку персональных данных (получение информации). Другие утверждали, что это касается законодательства о рекламе и номер телефона, сам по себе, является обезличенным набором цифр. А вот вместе с именем и фамилией, номер цифр позволяет идентифицировать абонента.

Такая же история с адресом электронной почты. Формально, по адресу электронной почты типа saylor.moon@pochta.com можно вычислить имя и фамилию обладателя, но иногда это бывает псевдонимом, ником (например, stervo4ka94@pochta.com). С другой стороны, при получении сообщения мы можем увидеть тег содержащий имя и фамилию обладателя почтового ящика.

Ну и наконец, чего греха таить, известна история с расследованием и выпуском фильма «Он вам не Димон». Авторы фильма утверждали, что идентифицировали личный электронный почтовый адрес председателя Правительства (как раз того, кто подписал постановление, о котором мы и говорим в статье).

Система идентификации граждан и «скоринг»

К примеру, Ростелеком разрабатывает Единую биометрическую систему для идентификации граждан и получения ими финансовых услуг:

«Единая биометрическая система вместе с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получить возможность оцифровать волеизъявление и дистанционно подписывать документы.»

Не забывайте, что предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (так называемое «прайваси» или «right to privacy»).

За нарушение законодательства о персональных данных, также предусмотрена административная ответственность. В некоторых случаях, размер штрафа при этом достигает до 300 тыс. руб.

Надеюсь, обзор был интересным. Что вы думаете о таком подходе? Пишите в комментарии.

Придётся всё-таки хостинг маркетплейса переводить в Россию, а то, думаю, проблем будет немеряно.

А в закон разве требует хранить данные только на территории РФ?

Вроде там просто требование о хранении на территории РФ, то есть репликации БД должно хватить.

Верно. Если данные россиян, то серверы должны находится на территории РФ.

необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).

Вот это обязательные шаги для интернет магазинов?

Артур, всё зависит от того, какие данные вы собираете / обрабатываете и для какой цели (доставка и оформление заказа или что-то большее). Если вы признаетесь оператором, то лучше подать уведомление в Роскомнадзор, во избежание проверок и выставления штрафов. Политика конфиденциальности — политика по обработке перс.данных должна быть в обязательном порядке, с согласием и т.д. Иногда галочки «согласен» не достаточно — нужно смотреть текст документа.

Спасибо, Рустам! Да, только для оформления и доставки. Рассылки не делаем, не звоним, ничего не навязываем. Храним только для постпродажного обслуживания, замена, гарантия, возврат.

Я немного про другое, закон про ПД не запрещает передачу ПД за границу, вот например минсвязь пишет в пояснении

Учитывая, что Федеральным законом «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством Российской Федерации, считаем возможным трансграничную передачу указанной категории персональных данных.

Следовательно почему не сделать такой сетап – основные серверы и БД все так же за границей, а на территории РФ просто копия основной БД с персональными данными.

1. Закон не запрещает трансграничную передачу данных, если, помимо прочего, есть согласие гражданина, а также государство в которое передаются данные, обеспечивает адекватную защиту персональных данных физических лиц (перечень государств не обеспечивающих адекватную защиту=не подписавших конвенцию Совета Европы утвержден отдельно).

2. Если вы обрабатываете данные, то вы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ — т.е. на серверах в РФ.

3. Но есть и другой режим, если вы признаетесь организатором распространения информации (ОРИ). Проще говоря, если на вашем сайте можно общаться пользователям, то вы должны также обеспечить хранение (а) информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий; (б) текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Не говоря уже о прочих обязанностях постановки в реестр посредством уведомления госоргана. По факту нарушения именно этого положения закона, заблокирован Линкедин и сейчас идет разбирательство в отношении Твиттер Инк.

Я уже с digitalocean переехал неделю назад.

Источник

Персональные данные: как хранить, обрабатывать и защищать по закону

Персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Рассказываем в материале Selectel, о типах ПДн, как правильно их хранить, обрабатывать и законно защищать.

Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн). Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это всё сбор ПДн. Когда владелец ресурса становится оператором ПДн, то подпадает под 152-ФЗ — закон «О персональных данных», в котором много правил, как оператор обязан обращаться с ПДн, чтобы обеспечивать безопасность полученной информации.

Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:

«Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу»

Телефон, email, фотография, ФИО — всё это может считаться ПДн.

Также к ПДн можно отнести:

Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «petrov120999@mail.ru», который принадлежит Петрову Петру Петровичу — это ПДн.

Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.

Фотография человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на сбор которых требуется письменное согласие. К примеру, фотография на пропуске — это ПДн, потому что требуется для сверки с лицом человека при входе.

Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.

Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.

Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.

Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.

Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Регламент по защите ПДн (GDPR). GDPR похож на 152-ФЗ, но есть и различия. Например, в GDPR ПДн считаются не только адрес, ФИО или геолокация, но и религиозные, философские, политические взгляды.

Постановление правительства №1119 делит ПДН на 4 категории для информационных систем:

Кажется, что данные, которые известны родным, друзьям или работодателю, однако это в корне неверно. По закону ПДн из общедоступных источников — это только справочники и адресные книги, данные в которые заносятся только с согласия субъекта ПДн. Данные, которые можно найти в интернете общедоступными не являются.

Определенные ПДн входят в категорию специальных, а именно информация о:

Это информация о физиологических и биологических особенностях человека:

Но есть нюанс. В 2013 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъяснила, что здесь тоже важен контекст:

Если вы сдали кровь для анализов, то это не биометрические данные — информация с результатами не используется, чтобы выяснить личность. Но отпечатки пальцев, которые требуются для входа офис, уже биометрические данные — узоры на пальце используются для опознания личности.

Сюда входят ПДн, что не относятся ко всем предыдущим. Например:

В законе есть две сущности: субъект и оператор ПДн.

Субъектом персональных данных считается человек, чьи персональные данные использует оператор ПДн, например, собирает.

Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя, поэтому теперь он субъект ПДн, а магазин — оператор.

Оператор — это физическое лицо или организация (государственная или частная), которая собирает, обрабатывает, хранит и распространяет ПДн, определяет цели и содержание их обработки.

Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.

Рассмотрим, как оператору собирать, хранить, обрабатывать и защищать ПДн.

Условия. Если на сайте или в приложении есть возможность зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку — это ресурс уже собирает ПДн. В 14 статье 152-ФЗ сказано, что собирать персональные данные можно только с разрешения пользователей. Для этого оператор обязан получить письменное согласие того, чьи данные собирает. Но в интернете письменную форму согласия заменяют на электронную.

В электронной форме сбора ПДн должна быть «Политика конфиденциальности», где описана причина сбора, что будет происходить с данными, кто будет хранить, обрабатывать и как долго. Также там должно быть указано, как субъекту отозвать разрешение на обработку.

Под каждой формой необходимо добавить чекбокс с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.

Для сбора cookies тоже понадобится разрешение на сбор ПДн.

Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом. Но эта информация также должна быть продублирована в документе «Последствия отказа предоставить персональные данные».

Исключения. Согласие на сбор ПДн нужно не всегда. Полный список исключений указан во втором пункте 22 статьи 152-ФЗ, но если кратко, то разрешение не обязательно для сбора общедоступных данных, обезличенной статистики, СМИ и работодателям, когда они собирают данные у сотрудников для соблюдения ТК. При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.

Источник