Защита финансовой информации: как избежать утечек
Узнать больше
Что является персональными данными по закону? Этот вопрос неизбежно встает перед каждым оператором, обрабатывающим информацию о клиенте. 152-ФЗ от 27.07.2006 обозначает персональные данные в очень общем виде и не делит их никак по важности. Как следствие, на практике возникает множество спорных ситуаций между оператором, владельцем информации персонального характера, контролирующими органами.
Что является ПДн по закону?
Исходя из разъяснений в 152-ФЗ от 27.07.2006 к персональным данным вправе относить любые сведения прямого или косвенного характера, позволяющие идентифицировать конкретного человека. К персональной информации принято относить:
-
Паспортные реквизиты;
-
СНИЛС;
-
Место регулярного проживания и прописки;
-
Место, дата рождения;
-
Фото и видео материалы, позволяющие идентифицировать персону;
-
Данные о семейном положении, родственниках;
-
Величина ежемесячного дохода;
-
Навыки, образование;
-
Сведения, характеризующие личность по социальным, этническим, политическим аспектам: расовая принадлежность, политические, религиозные, социальные взгляды;
-
Данные о судимости гражданина или ее отсутствии;
-
Контактные сведения: телефонный номер, адрес электронной почты, аккаунты в социальных сетях.
Сложность для оператора при работе с персональными данными представляет неоднозначность трактовки данного понятия, отсутствие разделения на категории согласно важности, ценности. Кроме того, зачастую присутствует фактор обезличивания данных, т.е. невозможность определить персону только по единичной информации. Так, например, номер телефона сам по себе – это набор цифр, но в связке с ФИО владельца в базе данных оператора он сразу приобретает статус конфиденциальных персональных сведений, находящихся под защитой закона.
Классификация персональной информации согласно Постановлению Правительства № 1119 от 1.11.2012
-
Общедоступная. Объединяет информацию, находящуюся в обработке, на которую получено согласие владельца. Например, ФИО.
-
Специальная. Включает разносторонние сведения, затрагивающие социальную, этническую, политическую и другие составляющие жизни. Например, состояние здоровья, расовую принадлежность, национальность, религиозные, политические взгляды.
-
Биометрическая. Данные, отражающие физиологические и биологические различия граждан. Например, отпечатки пальцев, генетические параметры, группа крови, голосовые особенности, фото.
-
Иная. Любая информация, дополняющая картину идентификации личности. Например, адрес электронной почты, стаж работы, местонахождение человека и прочее.
Здесь также важна хоть какая-то привязка к личности и использование нескольких факторов идентификации. Например, ФИО и стаж работы, фото и отпечатки пальцев. Единичные сведения сами по себе не несут никакой точной персональной информации, потому что они обезличены или дублируются, не позволяют правильно и точно персонифицировать человека.
Какие действия с персональными данными выполняют операторы?
Все действия с персональными данными считаются правомерными исключительно после того, как оператор получил согласие субъекта персональной информации (помимо случаев, указанных в шестой статье 152-ФЗ от 27.07.2006), обозначил цели, методы обработки, известил об этом владельца. Оператору позволены следующие виды деятельности с личными данными:
-
Сбор;
-
Хранение;
-
Передача;
-
Извлечение;
-
Модификация;
-
Обезличивание;
-
Анализ;
-
Уничтожение.
В процессе обработки информации оператором задействованы три основных способа:
-
Автоматизированный. Реализован посредством вычислительной техники, ПО. Включает использование компьютеров, БД, скриптов, DLP-систем.
-
Комбинированный. Сочетает деятельность человека в паре с техническими средствами. Например, ручное составление табелей, графиков бухгалтером или кадровиком в прикладных программах.
-
Ручной. Работа с информацией оператором без использования техники. Выражается в составлении простейших таблиц, графиков, расчётов, аналитических выводов с последующим занесением их на материальные носители.
Во всех случаях обработки персональных данных, независимо от его способа и сложности, на операторов налагаются обязанности по сохранению конфиденциальности, защите от утечек, целевому использованию вверенных сведений. Проверка соблюдения норм, правил при работе с персональной информацией входит в сферу деятельности Роскомнадзора, ФСБ, ФСТЭК России.
152-ФЗ от 27.07.2006 придает персональным сведениям граждан повышенную важность и ценность, поэтому операторам необходимо строго исполнять предписания по работе с данными персонального характера, использовать комплекс защитных мер, быть готовыми к проверкам со стороны контролирующих органов.