Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что такое специальные категории пдн». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
В последнее время Операторы связи всё чаще получают запросы на приведение деятельности оператора связи в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных).
Лекция позволяет изучить основные термины и базовые законы Российской Федерации в области защиты персональных данных.
Защита персональных данных, ответственность за нарушение законодательства
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».
Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
Так ли однозначно в данном случае установление личности? В настоящее время представители регуляторов подтверждают, что фотография и видеоизображения относятся к биометрическим данным.
N 152-ФЗ «О персональных данных», Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Особенность данного состава в том, что штрафа не будет, если в результате нарушения не наступили какие-либо неблагоприятные последствия для субъекта персональных данных, к примеру – злоумышленник взломал базу данных вашей организации и опубликовал адреса всех сотрудников.
С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке.
Я вот все понять все таки не могу. Вот есть у меня сайт, там можно регистрироваться и писать комментарии. Мне обязательно проходить аттестацию? И кто будет определять класс информационной системы?
Внеплановые же проводятся только при наличии достаточных оснований и при наличии жалобы конкретного лица (это может быть бывший работник, конкурент, просто клиент, который знает о своих правах). В таком случае Роскомнадзор уведомляет организацию за 24 часа до проверки. Исходя из этого – вероятность проверки крайне мала, а если она и есть – о проверке можно узнать заблаговременно.
Штраф накладывают, если вы не смогли доказать, на каком основании вы обрабатываете конкретные персональные данные конкретного субъекта. Рекомендации: при сборе персональных данных на сайте необходимо перед отправкой субъектом своих данных предусмотреть, чтобы он обязательно поставил «галочку» под текстом вроде «Согласен на обработку моих персональных данных».
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
- обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
- обработка персональных данных субъектов, не являющихся работниками вашей организации.
Защита персональных данных
Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД.
К наиболее распространенным угрозам, которые нейтрализует СЗПДн, относятся воздействия вредоносных программ и воровство клиентских баз бывшими сотрудниками.
Наиболее распространённые виды – паспортные данные, место жительства, мобильный телефон и адрес электронной почты. Даже фамилия, имя и отчество сами по себе могут являться персональными данными (письмо Роскомнадзора от 20.01.2017 N 08АП-6054).
К наиболее распространенным угрозам, которые нейтрализует СЗПДн, относятся воздействия вредоносных программ и воровство клиентских баз бывшими сотрудниками.
Ответственность за нарушение законодательства о персональных данных закреплена в Кодексе РФ об административных правонарушениях, в статье 13.11. Данная статья с 01 июля 2017 года насчитывает 7 составов правонарушений, размер наказаний за их совершение варьируется от 15 до 75 тыс. руб. административного штрафа.
Обработка этих категорий персональных данных не допускается, за исключением случаев, установленных законодательством.
Биометрические персональные данные.
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее — уполномоченное лицо).
Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
На сколько я понял инет-магазинам достаточно включить при регистрации договор-оферту, в котором человек соглашается с тем, что его персональными данными можно оперировать.
Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных.
Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
На основании ст.1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности. При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.
Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.
В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.
Каждая компания, обрабатывающая персональные данные, заинтересована в обеспечении безопасности их обработки. Необходимость построения систем защиты признают в равной степени и коммерческие организации, и государственные структуры.
Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.
Законодательством регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
Также в п. 3.4 Рекомендаций Роскомнадзора от 27.07.2017 напомнили, что в соответствии с ФЗ-152 при получении персональных данных категории данных должны соответствовать целям их обработки.
Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством).
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
- обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
- обработка персональных данных субъектов, не являющихся работниками вашей организации.
США, Великобритания и Канада, так же как и Россия, разработали технические регламенты, которые транслируют положения законодательства верхнего уровня в конкретные советы и рекомендации по защите персональных данных.
Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Почему необходимо защищать персональные данные?
Когда речь идет об операциях с персональными данными, категории персональных данных разграничивают по характеру сведений. В зависимости от этого понадобится выполнить те или иные требования закона. Выделяют:
- Общедоступные данные.
- Специальные категории персональных данных.
- Биометрические данные.
- Иные данные.
Категория персональных данных – это понятие, которое само по себе в законе не раскрывают. Особые уточнения есть или в отношении специальных категорий, или в отношении биометрических данных. При этом с 1 ноября 2012 года действует постановление Правительства № 1119, где изложены требования к защите сведений при их использовании в информационных системах.
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
Такое категорирование персональных данных необходимо для определения класса ИСПДн, от которого зависят меры по обеспечению безопасности ПДн при обработке в информационных системах.
Например, функционирование определенных отраслей экономики связано с необходимостью обеспечения безопасности.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.