| Объем / Категория | Объем 3 (<1 000, организация) | Объем 2 (1 000-100 000, отрасль, город) | Объем1 (>100 000, субъект Федерации) |
| Категория 4 (обезличенные, общедоступные) | Класс 4 | Класс 4 | Класс 4 |
| Категория 3 (идентификационные) | Класс 3 | Класс 3 | Класс 2 |
| Категория 2 (идентификационные и еще) | Класс 3 | Класс 2 | Класс 1 |
| Категория 1 (медицинские, социальные) | Класс 1 | Класс 1 | Класс 1 |
См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20.
ДОПОЛНЕНИЕ :Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
ДОПОЛНЕНИЕ :В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Аббревиатуры используемые в статье:ФСТЭК — Федеральная служба по техническому и экспортному контролю.ПЭМИН — Побочные Электромагнитные Излучения и Наводки
habr.com
Сбор, обработка, хранение и использование персональных данных осуществляются во многих сферах деятельности общества и государства. Такими сферами, например, являются финансовая и налоговая, сфера пенсионного, социального и медицинского страхования, оперативно-розыскная деятельность, трудовая и другие области общественной жизни. Персональные данные являются неотъемлемой частью информационных ресурсов всех уровней - от федерального до муниципальных образований. В настоящее время институт персональных данных формируется как важная составляющая права России.
Так какая же информация является персональными данными?
Определение персональных данных в зарубежном законодательстве появляется впервые в Европейской Конвенции от 28.01.1981 г. "О защите частных лиц в отношении автоматизированной обработки данных личного характера". В соответствии с Конвенцией персональные данные – это любая информация, относящаяся к определенному или поддающемуся определению физическому лицу[1].
Основной недостаток такого определения состоит в том, что он на концептуальном уровне не отражает важнейшие отличия персональных данных от любой иной информации.
Данные о людях имеют несколько иную правовую природу, чем любые другие данные, поскольку любой человек независимо от своего общественного или государственного статуса во всех случаях обладает правоспособностью и правосубъектностью.
Персональные данные не подлежат отчуждению и не могут быть объектами гражданского оборота. Иными словами, данные о людях не могут стать предметом купли продажи или извлечения прибыли ни прямо, ни косвенно. Это не исключает оказание всякого рода справочных услуг или иное использование персональных данных в случаях, когда это установлено законом или соответствует волеизъявлению самих граждан, чьи персональные данные используются.
Основным законом, регулирующим порядок обращения с персональными данными на территории Российской Федерации, является Федеральный Закон № 152 от 27 июля 2006 года «О персональных данных». Определение персональных данных, данное в ч. 1 ст. 3 Федерального закона, гласит: «персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»[2]. Это определение представляется очень широким и может включать в себя другую информацию ограниченного доступа о субъекте персональных данных, например, тайну частной жизни, личную, семейную, банковскую тайну.
Особенности персональных данных и их отличие от другой информации ограниченного доступа
В российском законодательстве понятие персональных данных появилось задолго до принятия Закона «О персональных данных». Впервые персональные данные как вид документированной информации ограниченного доступа были определены в Федеральном законе от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации" (утратил силу). К таким данным относятся сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность[3]. Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений, что определено не только в вышеупомянутом законе, но и в Указе Президента РФ от 06.03.1997 N 188, утвердившем Перечень сведений конфиденциального характера. Согласно этому Перечню, не являются персональными данными и, следовательно, конфиденциальной информацией данные о лице, подлежащие распространению в средствах массовой информации в установленных законами случаях.
В различных сферах деятельности под персональными данными понимаются зачастую не совпадающие наборы сведений. Определения персональных данных содержатся в различных федеральных законах, объем сведений, позволяющий идентифицировать лицо, определяется в них по-разному. Так, например, Федеральным законом от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем" (в ред. от 30.10.2002) к персональным данным отнесены сведения о документе, удостоверяющем личность, адрес места жительства или пребывания личности[4]. Аналогичные указания содержатся и в Федеральном законе от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" (в ред. от 31.12.2002). Персональными данными в соответствии с Федеральным законом от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния" (в ред. от 08.12.2003) считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния[5]. В ст. 387 редакции Таможенного кодекса РФ, вступившей в силу 1 января 2004 года, предусмотрено право таможенных органов накапливать в отношении физических лиц персональные данные и данные о частоте перемещения ими товаров через границу.
Детально регламентированы правоотношения по поводу персональных данных работника в Трудовом кодексе РФ (глава 14). Объем персональных данных определяется здесь очень широко: это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника[6]. Она может быть получена только у самого работника или, с его письменного согласия, у третьих лиц. Установлен запрет на получение и обработку персональных данных о политических, религиозных, иных убеждениях работника и о его частной жизни. Данные о членстве его в общественных объединениях или о его профсоюзной деятельности могут собираться, обрабатываться и использоваться только в случаях, установленных законом. Трудовой кодекс РФ содержит также нормы о порядке передачи персональных данных работника: мероприятия по защите данной информации от неправомерного использования или утраты осуществляются за счет средств работодателя. Впервые в Трудовом кодексе РФ (и в российском законодательстве вообще) вводится такое понятие, как "персональные данные оценочного характера". Работник имеет право дополнить их заявлением, выражающим его (работника) собственную точку зрения в отношении такой информации.
Таким образом, во всех определениях персональных данных присутствует упоминание о конкретном человеке – субъекте персональных данных. Данное положение видится ключевым элементом в понятии «персональные данные».
Также наличие субъекта персональных данных, связанного с такими данными, является основным отличием персональных данных от другой информации ограниченного доступа. Будучи обезличенной, любая информация о физическом лице не представляет особой ценности и не попадает под режим ограничения доступа. Другая информация конфиденциального характера, например коммерческая тайна или служебная тайна, может представлять большую ценность и без привязки к конкретному физическому лицу – источнику такой информации.
Особенностью персональных данных и отличием от другой информации конфиденциального характера является возможность их перехода в разряд общедоступных. Федеральный закон «О персональных данных» дает следующее определение общедоступных персональных данных: «общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности»[7]. К таким данным относится разнообразная справочная информация, частные объявления, массивы данных для осуществления прямого маркетинга и т.п. В «Перечне сведений конфиденциального характера» также дается оговорка относительно общедоступных персональных данных: не являются конфиденциальными сведения, подлежащие распространению в средствах массовой информации. Такой специальный правовой режим персональных данных устанавливается для лиц, занимающих высшие государственные должности, и кандидатов на эти должности в соответствующие периоды, в частности в период предвыборной кампании.
Итак, самое широкое определение персональных данных дано в Федеральном законе «О персональных данных». В других законах определение персональных данных несколько уже, оно зачастую ограничивается областью деятельности, регулируемой данным законом.
Наиболее важной особенностью представляется привязка персональных данных к физическому лицу – субъекту персональных данных.
Заказать разработку проекта по приведению информационных систем персональных данных компании в соответствие с требованиями Федерального закона № 152-ФЗ "О персональных данных".
Блог автора
Литература:
1.Конвенция (ETC № 108) от 28.01.1981 г. «О защите частных лиц в отношении автоматизированной обработки данных личного характера». Ст. 2.
2.Федеральный закон от 27 июля 2006 г. № 152 «О персональных данных» // Российская газета. 2006. № 1431. п. 1 ст.3.
3.Федеральный закон от 20.02.1995 № 24-ФЗ "Об информации, информатизации и защите информации" // Российская газета. 1995. № 39. ст. 11. (утратил силу) ст. 2.
4.Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем» (в ред. от 30.10.2002) // Российская газета. 2001. № 152 (2764) ст. 7
5.Федеральный закон от 15.11.1997 № 143-ФЗ "Об актах гражданского состояния" (в ред. от 08.12.2003) // Российская газета. 1997. № 224. ст. 12.
6.Трудовой кодекс Российской Федерации от 26 декабря 2001 г. N 197-ФЗ (с последними изменениями 01.10.2007) // Собрание законодательства России. 2002. № 1. ст. 85.
7.Конвенция (ETC № 108) от 28.01.1981 г. «О защите частных лиц в отношении автоматизированной обработки данных личного характера». Ст. 2.
www.sovit.net
Федеральная миграционная служба определила порядок предоставления всем заинтересованным лицам адресной и иной информации (включая паспортные данные) о гражданах. Любой сможет бесплатно получить эти сведения, но только с согласия самого гражданина, которому ФМС будет высылать специальный запрос. Но предусмотрены и исключения.
Подписанный директором Федеральной миграционной службы (ФМС) Константином Ромодановским документ называется громоздко – Административный регламент исполнения государственной функции по организации и ведению адресно-справочной работы (Приказ Минфедерации РФ "Об утверждении административного регламента исполнения государственной функции по организации и ведению адресно-справочной работы"). В конце ноября он прошел регистрацию в Минюсте и вступит в силу через 10 дней после официального опубликования. Он призван обеспечить право граждан на защиту персональных данных. Но всех нюансов их предоставления, судя по тексту нормативного акта, не знают даже его разработчики.
Молчание несогласных
В адресной базе, доставшейся ФМС от паспортной службы органов внутренних дел (миграционное ведомство входит в структуру МВД России), содержится достаточно полное досье на всех россиян и зарегистрированных в нашей стране иностранцах: фамилия, имя, отчество, пол, дата и место рождения, гражданство, дата и адрес регистрации по месту жительства, паспортные данные, сведения о предыдущих местах жительства, смене фамилий и даже – отдельная графа – о смене пола.
Вся эта информация является персональными данными, а потому может быть предоставлена только с согласия самого гражданина. Поэтому введена достаточно сложная схема. Сведения вправе запросить любой желающий – государственный орган, частная компания, физическое лицо и т.д. Для этого достаточно просто написать заявление в отдел адресно-справочной работы (АСР) соответствующего регионального подразделения ФМС. Можно даже по электронной почте. Получив заявление от организации, чиновники в течение двух рабочих дней направляют в адрес гражданина, сведения о котором запрашиваются, специальное уведомление с предложением дать свое согласие. В случае если в течение 30 дней с момента поступления обращения таковое (в письменном виде) не поступило, в адрес заинтересованного лица направляется уведомление об отказе. Если согласие получено, то заявителю высылается адресная справка.
Когда же по запрашиваемым данным (например, по имени и фамилии) найдено сразу несколько человек, заявителю направляется письмо с предложением предоставить дополнительные сведения (отчество, дата, место рождения, и т.д.).
Эта схема, формально, защищает граждан от раскрытия их персональных данных. В запросе указываются реквизиты заявителя и, если разыскиваемый гражданин заинтересован в установлении связи с ним (например, это его бывший друг, одноклассник, родственник, однополчанин или др.), то он сможет сам отреагировать. То есть ФМС выступает в роли бесплатной службы сообщений.
С другой стороны, невооруженным глазом видна как минимум одна простая схема вторжения. С большой вероятностью можно предвидеть, что подавляющее большинство граждан не будут отвечать на запрос ФМС: молчание рассматривается как отказ в предоставлении информации. Но запрашивающая эти сведения организация (например, ООО «Рога и копыта») точно знает, что гражданину направлено уведомление – ФМС ставит заявителя в известность об этом. Учитывая, что у соответствующей службы нет возможности проводить идентификацию подписи гражданина, почему бы не направить фальсифицированное согласие от его имени?
Тайн нет
Но все эти ограничения не касаются «полномочных органов» – внутренних дел, предварительного следствия, дознания, судов и судебных приставов, органов, осуществляющих оперативно-розыскную деятельность, а также всех иных структур государственной власти и даже местного самоуправления. Для них установлен особый порядок: требовать предоставить персональные сведения о гражданине они могут и без его согласия. Но только в случае, если такое право им предоставлено нормативным актом. Ссылку на этот документ заявитель должен указать в запросе.
Получается, что руководство ФМС не имеет полного перечня случаев, когда законодательство допускает получение таких сведений. Иначе зачем было давать столь расплывчатое определение и возлагать на рядовых сотрудников ведомства практически непосильный труд ежедневно проводить анализ (фактически юридическую экспертизу) законодательства? Стандартные формулировки о полномочиях – «запрашивать и получать ... информацию, документы и материалы, необходимые для осуществления возложенных задач», записаны в положение практически каждого госоргана (например, любого комитета правительства Санкт-Петербурга — к примеру, по спорту). Получается, что сотрудник ФМС должен будет в отведенные регламентом три рабочих дня установить, что запрашиваемые сведения действительно касаются вопросов развития физкультуры в городе, а городское правительство имеет право регулировать вопрос предоставления персональных данных (федеральный закон не дает субъектам Федерации таких полномочий).
Зачастую даже судебные инстанции неоднозначно трактуют отдельные положения закона, допускающие получение конфиденциальной информации. Например, по Федеральному закону «О защите конкуренции» (Федеральный закон от 26.07.2006 N 135-ФЗ) все организации (государственные и частные) обязаны предоставлять Федеральной антимонопольной службе всю запрашиваемую ею информацию, в том числе составляющую любую охраняемую законом тайну (!). Получается, что рядовой служащий антимонопольного ведомства получает доступ к государственным тайнам даже самой высокой степени секретности? И вправе ли это ведомство требовать от миграционной службы персональные данные граждан, не являющихся предпринимателями (хозяйствующими субъектами)?
Право без права
В каждом подразделении ФМС должна также функционировать круглосуточная телефонная справочная служба. Получать адресную информацию смогут только уполномоченные должностные лица, которым выделен пароль. Кому и на каких условиях такое право и, соответственно, пароли выделяются, регламент не устанавливает.
Но даже при всех указанных изъянах, принятый документ – первая реальная попытка реализации вступившего в силу в январе 2007 года Федерального закона «О персональных данных» (Федеральный закон от 27.07.2006 N 152-ФЗ). На сегодняшний день он повсеместно нарушается. Не гнушаются собирать паспортные сведения посетителей охранники бизнес-центров, хотя это можно делать только с письменного добровольного согласия гражданина (например, у всех входящих в офис банка «Санкт-Петербург» просто сканируют паспорт). В метро и на лотках открыто продаются диски с адресными базами (якобы актуальными, на самом деле – 2002 года). Реальных санкций (уголовной ответственности) за нарушение закона не установлено.
Павел Нетупский
специально для «Фонтанка.ру» 12:46
Дорогие читатели, если вы увидели ошибку или опечатку, помогите нам ее исправить! Для этого выделите ошибку и нажмите одновременно клавиши «Ctrl» и «Enter». Мы узнаем о неточности и исправим её.
ppt.ru
При этом одни суды IP-адрес к ПДн не относят (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015. 13-й ААС), а другие, наоборот, признают (Решение по делу № А76-29008/2015 от 11.02.2016. АС Челябинской обл.).
Представляется, что статичный IP-адрес справедливо относить к персональным данным, так как по нему идентифицировать пользователя легко. Но оператор не может знать, что будет являться статичным IP-адресом, в таком случае нужно признавать все IP адреса ПДн (на всякий пожарный).
Что же касается таких космических материй как сбор информации о пользователи с помощью куков и прочих скриптов, то тут мы просим вас погодить. Товарищи, дайте же разобраться с тем что попроще! Потом уже будем надстраивать на эти ответы новые вопросы.
habrahabr.ru
УТВЕРЖДЕНО приказом директора от 18.11.2015 141 ПОЛОЖЕНИЕ об организации работы с персональными данными работников муниципального бюджетного общеобразовательного учреждения средней школы 2 им. В.И. Ленина
Настоящая Политика является выдержками из Положения об обработке и защите персональных данных (Утвержденного генеральным директором ОАО «ТРК «Заречный» 09.04.2013г.), и устанавливает порядок обработки
Муниципальное бюджетное дошкольное образовательное учреждение детский сад 2 c. Краснополье Углегорского муниципального района Сахалинской области 694905, Сахалинская область, Углегорский район, с.краснополье,
УТВЕРЖДАЮ Генеральный директор Общества с ограниченной ответственностью «Информационный центр» П. С. Стаценко ПОЛИТИКА ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ИНФОРМАЦИОННЫЙ ЦЕНТР» В ОТНОШЕНИИ ОБРАБОТКИ
www.consultant.ru 27 июля 2006 года N 152-ФЗ РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ (в ред. Федеральных законов от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ,
УТВЕРЖДЕНО Общим собранием акционеров ОАО «Завод Магнетон» Протокол б/н от «14» октября 2008 г. Председатель собрания акционеров / Ал.А. Фирсенков / ПОЛОЖЕНИЕ о Генеральном директоре Открытого Акционерного
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ П О С Т А Н О В Л Е Н И Е от 16 ноября 2016 г. 1204 МОСКВА Об утверждении Правил проведения центром оценки квалификаций независимой оценки квалификации в форме профессионального
Всем районным, межрайонным прокурорам МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по осуществлению прокурорского надзора за исполнением законодательства о государственной и муниципальной службе, связанного с применением
Титульный лист ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ в федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Омский государственный педагогический университет»
БАШКОРТОСТАН РЕСПУБЛИКАhЫ БЛАГОВЕЩЕН РАЙОНЫНЫ@ МУНИЦИПАЛЬ РАЙОНЫНЫН ИЛЬИНО ПОЛЯНА АУЫЛЫ СОВЕТЫ АУЫЛЫ БИЛЭМЭhЕ СОВЕТЫ XXV1 са$ырылыш $АРАР РЕСПУБЛИКА БАШКОРТОСТАН СОВЕТ СЕЛЬСКОГО ПОСЕЛЕНИЯ ИЛЬИНО - ПОЛЯНСКИЙ
УТВЕРЖДЕНА приказом ООО «ЮФТ» от 19.06.2015 5 ПОЛИТИКА ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «МИКРОКРЕДИТНАЯ КОМПАНИЯ «ЮЖНЫЕ ФИНАНСОВЫЕ ТРАДИЦИИ» * г.
docplayer.ru
