Что такое персональные данные (ПДн), как их обрабатывать и защищать

Наши инженеры, технические писатели, редакторы и маркетологи

11 мая 2022 г.

393

8 минут чтения

В России персональные данные защищаются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или 152-ФЗ. 152-ФЗ вводит определение для персональных данных (ПДн) и регламентирует связанные с ними действия: сбор, хранение, анализ, защиту и много чего ещё. 152-ФЗ не особо выделяется на фоне других законов, которые порой сводят с ума своими сложными словесными конструкциями из канцеляризмов. В этой статье мы объясним ФЗ-152 кратко и простыми словами расскажем, что такое персональные данные и как с ними работать.

Кстати, в timeweb.cloud строго следят за сохранностью персональных данных.

Что Такое Персональные Данные (пдн), Как Их Обрабатывать И Защищать (1)

Персональные данные

Персональные данные — это такая информация, по которой можно идентифицировать человека или которая относится к определенной личности. Например, при регистрации на информационном ресурсе у вас обычно спрашивают информацию, по которым оператор, посредством сайта, будет идентифицировать вас как конкретную личность. Например, ФИО и номер телефона. Это ваши персональные данные.

Этот же сайт может попросить указать ваш email. Сам по себе email не является ПДн: условный «Mister2002@email.com» не идентифицирует человека. Но в случае с нашим сайтом этот email будет считаться ПДн, поскольку относится к определенному человеку.

Является ли ФИО персональными данными? Тоже не всегда, как и email. Всё зависит от контекста.

Предположим, ваше имя довольно распространенное, например Иванов Иван Иванович. Есть ли в России ваши полные тезки? Скорее всего есть, поэтому вас нельзя идентифицировать только по ФИО. Если в контекст добавить номер телефона «8-123-456-78-90», то такая информация будет считаться ПДн, потому что оператор будет идентифицировать вас по ФИО и номеру как определенную персону. Номер телефона — это персональные данные, если он идет «в комплекте» с другой идентифицирующей информацией. Поэтому нельзя однозначно ответить на вопросы «Что относится к персональным данным?» и «Что является персональными данными?».

Действующие лица: оператор и субъект

Субъект персональных данных — это физическое лицо, которое прямо или косвенно может быть определено с помощью персональных данных. А оператор — это организация или физлицо, занимающееся обработкой персональных данных. Рассмотрим теоретическую ситуацию для наглядности.

Представим, что вы проходите регистрацию на сайте собаководов. Вводите свои данные: ФИО, номер мобильного телефона, email и не задумываетесь, зачем такая информация данному ресурсу. И в конце даёте своё согласие на обработку ПДн. В этом примере владелец сайта выступает оператором, а вы субъектом.

Хоть наш анонимный сайт и собирает различную информацию, но закону это не противоречит. Конечно, при наличии соответствующих документов. Оператор должен собрать нехилую кучу документов: приказы, постановления, политики, согласия, регламенты, положения (полный список смотрите здесь). Кроме того, оператор не может просто так собирать ПДн. Для этого нужна обоснованная цель, отраженная в документах. Например, оператор не может собирать для рекламной рассылки паспортные данные или СНИЛС, потому что такая информация для этого не нужна.

Что такое согласие на обработку ПДн? Согласие — это такой документ, в котором отображено, какие ПДн субъект разрешает оператору обрабатывать и зачем. Для обработки общедоступных ПДн достаточно нажатия «галочки» на сайте, а для обработки некоторых категорий ПДн требуется согласие от субъекта либо в письменном виде либо с электронной цифровой подписью. Иногда для обработки ПДн согласие не требуется, например в ходе судебного процесса.

Категории персональных данных

Условная классификация делит персональные данные по следующим типам.

Общедоступные

Эти данные можно найти в открытых источниках, размещенных там с согласия субъекта. Например, в телефонном справочнике. Это может быть дата рождения, номер телефона или ФИО субъекта.

Специальные

Эти данные касаются характеристик человека, не отражаемых в официальных документах: раса, национальность, мировоззрение субъекта и т.п.

Биометрические

ПДн входят в эту категорию, если эти данные описывают биологические особенности человека, по которым его можно идентифицировать. Например, радужка глаза, голос или ДНК. К слову, фото и видео с субъектом будут считаться биометрическими только в том случае, если они применяются для его идентификации.

Иные

Эта категории для остальных ПДн, которые нельзя приписать к предыдущим категориям. Социальная группа субъекта — это иные ПДн.

Обработка ПДн

Обработкой ПДн считается вообще любое действие оператора с ними. Использование персональных данных — это тоже обработка. Эти действия должны быть обоснованны. Нельзя собирать паспортные данные для рекламной рассылки. Срок хранения данных определяется либо законом либо целями обработки. Поэтому нет четкого ответа на вопрос «Сколько хранятся персональные данные» — всё зависит от самих ПДн и оператора. Обработку можно классифицировать по использованию в ней электронных систем:

Автоматизированная обработка: исключительно с помощью компьютеров;
Смешанная обработка: с частичным использование электронных систем. Например, ПДн вносятся в компьютер вручную;
Неавтоматизированная обработка: исключительно вручную. Например, работодатель собирает ПДн и хранит в архиве «на бумаге».

Защита персональных данных

Выбор стратегии для обеспечения безопасности персональных данных зависит от их категории, количества обрабатываемых субъектов и угроз, которым подвержена система с ПДн. Существуют 4 уровня защищенности и 3 типа угроз.

Типы угроз

Угрозы безопасности персональных данных при их обработке в информационных системах делят на несколько типов.

Каждый из типов угроз связан с наличием или отсутствием уязвимостей в программном обеспечении.

В первый тип входят угрозы, которые связаны с вероятным наличием уязвимостей в системном программном обеспечении информационной системы, обрабатывающей ПДн. Под системным ПО подразумеваются операционные системы, СУБД и тому подобные «серьезные» программы.

Во второй тип входят угрозы, которые связаны с уязвимостями в прикладном программном обеспечении. Прикладное ПО — это программы, которые непосредственно взаимодействуют с пользователем.

Третий тип угроз не связан с наличием недокументированных возможностей в системном и прикладном ПО, используемом в информационной системе.

Уровни защищенности

4 уровень

Четвертый уровень защищенности — это начальный уровень безопасности. Он обеспечивается при наличии угроз третьего типа и обработке либо общедоступных ПДн либо иных ПДн менее 100 000 субъектов или сотрудников.

Для соответствия безопасности ИС четвертому уровню защищенности, необходимо обеспечить сохранность носителей и режим безопасности в помещениях с ИС, определить перечень лиц с доступом к данным. Кроме того, четвертый уровень подразумевает использование только сертифицированных средств информационной защиты.

3 уровень

По закону, третий уровень защищенности распространяется на второй и третий типы угроз. При наличии второго типа угроз этот уровень обеспечивается, если оператор обрабатывает общедоступные и иные ПДн менее 100 000 субъектов или сотрудников.

При наличии третьего типа угроз оператор должен обеспечить третий уровень защищенности, если он обрабатывает специальные ПДн менее 100 000 субъектов/сотрудников или иные ПДн более 100 000 субъектов.

Для обеспечения третьего уровня защищенности необходимо выполнить требования четвертого, а также назначить должностное лицо, которое будет отвечать за безопасность данных.

2 уровень

Второй уровень защищенности распространяется на все типы угроз. При первом типе угроз, оператор должен соответствовать второму уровню, если он обрабатывает общедоступные ПДн.

Если речь идет об угрозах второго типа, то оператор обеспечивает вторый уровень защищенности при обработке специальные ПДн менее 100 000 субъектов/сотрудников, биометрических ПДн или общедоступных/иных более 100 000 субъектов.

В случае угроз третьего типа оператор может обрабатывать специальные ПДн более 100 000 субъектов, если он соответствует защищенности второго уровня.

Для обеспечения второго уровня защищенности необходимо выполнить требования третьего, а также установить доступ к электронному журналу ИС только для должностных лиц, которые нуждаются в нём.

1 уровень

Первый уровень обеспечивается, если оператор и его деятельность не подпадает под другие уровни. Например, угрозы первого уровня и оператор обрабатывает биометрические ПДн.

Для того, чтобы обеспечить первый уровень защищенности, необходимо выполнить требования второго уровня, установить автоматическую регистрацию изменения ролей сотрудников в электронном журнале и создать специальный отдел по безопасности ИС.

Ответственность

Юридическая ответственность лежит на операторе. Если данные украдут злоумышленники — вина на нём. Помимо этого, оператор также несет ответственность за деятельность по обработке ПДн. В некоторых случаях административный штраф может доходить до 18 миллионов рублей для юридических лиц, а физическим лицам может грозить даже уголовная ответственность (например, за незаконное собирание или распространение сведений о частной жизни лица).