Узнайте, какая информация относится к персональным данным и как ее защищать. Понимание классификации и обработки персональных данных важно для обеспечения конфиденциальности и безопасности.
Cодержание
В последние годы вопрос о персональных данных стал крайне острым в связи с активной цифровизацией и ростом рисков по утечке и мошенническому использованию информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные - это любая информация, прямо или косвенно относящаяся к физическому лицу и позволяющая его определить. Согласно статье 3 ФЗ "О персональных данных" от 27.07.2006 № 152-ФЗ, к персональным данным относят:
- Фамилию, имя, отчество;
- Дата рождения;
- Адрес места жительства;
- Номера контактных телефонов;
- Адрес электронной почты;
- Семейное положение;
- Сведения о состоянии здоровья;
- Образование;
- Профессиональные навыки и квалификация;
- Фотографии и видеозаписи, сделанные с использованием технических средств;
- Иной информации.
Стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, не могут являться персональными. Например, номер телефона сам по себе не является персональными данными, но если он указан в базе оператора с указанием ФИО владельца, то считается персональными данными. Также адрес электронной почты в формате [email protected] относится к персональным данным, как и ФИО с привязкой к ИНН, номеру телефона или месту регистрации.
Классификация персональных данных
Существует классификация персональных данных на основе Постановления Правительства от 1 ноября 2012 г. № 1119. К ним относятся:
- Общедоступные данные - те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
- Специальные данные - информация о расе, национальности, религии, политических и философских взглядах, здоровье, подробностях личной жизни, судимостях.
- Биометрические данные - информация о физиологических и биологических особенностях человека, такие как отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
- Иные данные - это все остальная информация, которая не относится к предыдущим категориям. Это может быть электронная почта, геолокация, информация о принадлежности к определенной социальной группе, стаж работы и другое.
См. также
Нужно ли делать запись в трудовой книжке по срочному договору?
Субъекты и операторы персональных данных
Важно также упомянуть, кто является субъектом персональных данных и кто оператор. Субъект - это физическое лицо, чьи данные обрабатываются, собираются и хранятся. Оператор персональных данных - это юридические лица, государственные организации или ведомства, которые собирают, обрабатывают, хранят, передают и уничтожают данные.
Обработка персональных данных
Обработка персональных данных - это любые операции, совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу и т.д. Любой договор с физическим лицом, содержащий его личные данные, должен быть оформлен с соблюдением требований закона, а субъекты персональных данных имеют право на защиту и контроль за обработкой своих данных.
Законодательство в области персональных данных развивается и совершенствуется, чтобы обеспечить защиту конфиденциальности и безопасности персональных данных каждого человека. Использование персональных данных должно осуществляться в соответствии с законом и с учетом прав и интересов субъектов персональных данных.
Что нам скажет Википедия?
Конфиденциальность (от лат. confidentia — доверие) — необходимость предотвращения разглашения, утечки какой-либо информации.
В информационной безопасности и защите информации специалисты придерживаются следующего определения: конфиденциальность информации — свойство безопасности информации, при котором доступ к ней осуществляют только субъекты доступа, имеющие на него право.
В юриспруденции конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя.
Конфиденциальная информация — информация, являющаяся конфиденциальной, то есть «доверительной, не подлежащей огласке, секретной»; это понятие равнозначно с понятиями тайны или секрета.
Законодательное регулирование
С развитием информационных технологий проблема конфиденциальности и конфиденциальной информации приобретает большую значимость. И в различных областях и различных странах конфиденциальность и информация, относящаяся к конфиденциальной определяется по-разному.
В странах Европейского союза конфиденциальность информации регулируется с помощью ряда соглашений и директив, таких как директива ЕС 95/46/ЕС, 2002/58/ЕС и ETS 108, ETS 181, ETS 185, ETS 189.
Так, конвенция «О преступности в сфере компьютерной информации» (ETS N 185) направлена на сдерживание, в том числе, действий, направленных против конфиденциальности компьютерных данных и компьютерных сетей, систем. Согласно данной конвенции для противодействия преступлениям против конфиденциальности доступности и целостности компьютерных данных и систем каждая сторона принимает законодательные и иные меры, необходимые для того, чтобы квалифицировать в качестве уголовного преступления согласно её внутригосударственному праву:
- доступ несанкционированный или незаконный с целью получения, передачи или использования электронных данных,
- вмешательство в работу системы без предоставления права доступа,
- использование ложных ключей, кодов или аналогичных механизмов доступа,
- использование аппаратуры или программного обеспечения для совершения действий, направленных на нарушение конфиденциальности, целостности и доступности данных,
- сбор, перехват, использование или предоставление пароля, аутентификационного кода или других данных, позволяющих получить доступ или контролировать использование защищенной информации.
Согласно конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (ETS N 108) стороны должны соблюдать секретность или конфиденциальность при обработке персональных данных, а также в отношении информации сопровождающей ходатайство о помощи.
Директива «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (N 95/46/ЕС) затрагивает вопрос конфиденциальности в своей области. Согласно данной директиве, «оператор» — физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; когда цели и способы обработки определены законодательством или подзаконными актами на национальном уровне или уровне Сообщества, оператор или конкретные критерии его назначения могут быть установлены национальным законодательством или законодательством Сообщества. А «обработчик» — это физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени оператора. Для обеспечения конфиденциальности, любое лицо, действующее под руководством оператора или обработчика, включая самого обработчика, которое имеет доступ к персональным данным, не может их обрабатывать, кроме как по поручению оператора, если оно не обязано это делать по закону.
Согласно дополнению к директиве N 95/46/EC, директива 2002/58/ЕС, конфиденциальность относительно обработки персональных данных и защите частной жизни в электронном коммуникационном секторе заключается в запрете просмотра, записи или хранения, а также других способах вмешательства или наблюдения за сообщениями и относящегося к ним данным по трафику, осуществляемые лицами или другими пользователями без согласия самого пользователя.
В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз — The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.
Конфиденциальность в России
На данный момент в российском законодательстве чёткого определения понятия «конфиденциальная информация» нет. В утратившем силу федеральном законе № 24 «Об информации, информатизации и защите информации» говорится, что конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Действующий ФЗ «Об информации, информационных технологиях и защите информации» (далее «Об информации») термина «конфиденциальная информация» не содержит. Однако, он описывает понятие «конфиденциальности». «Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя». Согласно этому же закону «информация — сведения (сообщения, данные) независимо от формы их представления».
В Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» к сведениям конфиденциального характера относят:
- сведения, составляющие государственную тайну;
- сведения, составляющие коммерческую тайну;
- сведения, составляющие банковскую тайну;
- сведения, составляющие охраняемую законом профессиональную тайну;
- сведения, отнесенные законом к сведениям ограниченного доступа.
Таким образом, в Российской Федерации конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определённым сведениям (сообщениям, данным) независимо от формы их представления, требование не передавать их третьим лицам, без согласия лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Выше был приведен список сведений которые относят к конфиденциальным. Но закон «Об информации» разрешает обладателю информации наделять её статусом конфиденциальности самостоятельно. Поэтому, список в Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» является примерным.
Конфиденциальность в различных областях
Понятие конфиденциальности используется практически во всех областях, как в коммерческих структурах, так и государственных. Когда речь заходит о конфиденциальности на предприятиях, то чаще всего имеется в виду коммерческая или государственная тайна.
Конфиденциальность — обязательство неразглашения информации, полученной от испытуемого (в общем случае, от делового партнера, от участника переговоров, собеседника), или в общем случае ограничение её распространения кругом лиц, о которых испытуемый был заранее извещен.
Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Информация, составляющая коммерческую тайну (секрет производства), — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
Принятие решений, что относить к коммерческой тайне лежит на лице занимающимся предпринимательской деятельностью, однако есть перечень сведений, на которые подобный режим не может быть наложен:
- сведения, являющиеся государственной или иной охраняемой законом тайной;
- сведения, которые стали известными исключительно в результате деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления, органов военного управления или органов внутренних дел;
- сведения о финансовом, кредитном и банковском состоянии физических и юридических лиц, являющиеся персональными данными, к которым граждане имеют конституционное право на конфиденциальность.
Основные меры по охране конфиденциальности информации, принимаемые её обладателем, включают:
- установление режима секретности;
- контроль за соблюдением режима секретности;
- разграничение доступа;
- идентификацию и аутентификацию пользователей;
- шифрование;
- резервное копирование и архивирование информации;
- применение физических, технических и программных средств защиты информации.
В психологии конфиденциальность — это одно из основных прав испытуемого. Информация получаемая при обследовании или эксперименте не должна быть доступной третьим лицам в том случае, если это может смутить испытуемого или причинить ему вред. Кроме того, использование полученной информации ограничивается научными целями, о чём испытуемому нужно сообщить до получения информированного согласия.
В процессе психологического исследования вопрос конфиденциальности затрагивается во время сбора данных и помещения их на хранение, а также при обнародовании результатов.
В подобных случаях конфиденциальность обеспечивается путём использования кодов вместо имен, или же если речь идет об обнародовании информации, то изменением имен и опускание географической информации.
В аудиторской деятельности конфиденциальность является профессиональным этическим принципом.
Конфиденциальность — принцип аудита, заключающийся в том, что аудиторы и аудиторские организации обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудита, и не вправе передавать эти документы или их копии (как полностью, так и частично) каким бы то ни было третьим лицам либо устно разглашать содержащиеся в них сведения без согласия собственника (руководителя) экономического субъекта, за исключением случаев, предусмотренных законодательными актами Российской Федерации. Принцип конфиденциальности должен соблюдаться неукоснительно, невзирая на то, что разглашение или распространение информации об экономическом субъекте не наносит ему по представлениям аудитора материального или иного ущерба. Соблюдение принципа конфиденциальности обязательно вне зависимости от продолжительности отношений аудиторов с экономическими субъектами.
