Ирина Андрианова – Персональные данные в организации (страница 2)

2) Специальные персональные данные – «данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных», например, рост, вес пациентов, информация о наличии, отсутствии судимостей. Такие сведения находятся в закрытом доступе в отличии от общедоступных. Правила обработки специальных данных регламентированы статьей 10 ФЗ-152.

3) Биометрические персональные данные – «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных». Таковыми являются изображение лица (фото), образцы голоса человека, отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз и тп., но только в том случае, когда эти данные используются исключительно для идентификации личности. Например, если на проходной установлена камера с распознаванием лиц для идентификации сотрудников. Или в банке установлена система идентификации клиента с помощью отпечатков пальцев. Правила обработки биометрических данных прописаны в статье 11 ФЗ-152.

Также Перечень допустимых случаев обработки биометрии, используемой для идентификации, аутентификации физических лиц в информационных системах организации определен Постановлением Правительства РФ от 23.10.2021 №1815 (срок действия 01.03.2021 по 01.03.2028).

А в 2022 году принят еще один нормативный акт, в котором обозначены случаи и сроки использования биометрических ПДн, размещенных физическими лицами в единой информационной системе ПДн – Постановление Правительства РФ от 15.06.2022 №1067 (срок действия с 01.03.2023 по 01.03.2029). Таким образом, биометрические данные обрабатываются в единой системе при аттестации в вузах, оплате товаров и услуг на сумму до 1 000 руб., аутентификации клиентов в финансовых организациях при личном и дистанционном обслуживании, проходе на территорию госорганов и организаций, заключении договоров об оказании услуг связи через Интернет и др.

4) Иные персональные данные – остальные сведения, которые не относятся к трём другим категориям персональных данных, например, данные о заработной плате, стаже, о командировках и отпусках, о членстве в общественных организациях, клубах и тд. Объем и содержание Персональных данных должны соответствовать конкретным целям их обработки. Все персональные данные, независимо от их вида, должны обрабатываться только с согласия субъекта ПДн (его законного представителя) кроме случаев, предусмотренных законом. Контроль и защиту прав субъектов ПДн осуществляют уполномоченные органы РФ (регуляторы). Они проводят плановые и внеплановые проверки операторов (организаций, учреждений).

1.4. Другие федеральные законы в сфере защиты информации и работы с персональными данными

Требования к мерам по защите ПДн регламентирует не только ФЗ 152, но и другие нормативные акты РФ. Рассмотрим основные из них.

В ст. 86 Трудового кодекса Российской Федерации, утвержденного Федеральным законом от 30.12.2001 N 197-ФЗ (далее – ТК РФ) содержатся общие требования к работе с ПДн работников и гарантии их защиты. Согласно ТК РФ все персональные данные работника следует получать у него самого, при необходимости работодатель может затребовать ПДн у третьих лиц, но только если нет возможности получить их у самого работника. Перед таким запросом необходимо уведомить этого работника и разъяснить ему последствия отказа дать такое согласие. В уведомлении также обязательно указать цели, источники получения сведений и характер ПДн. Согласно ТК РФ работодатель обязан принимать меры по защите ПДн, разрабатывать соответствующие локальные нормативные акты и знакомить с ними под роспись работников.

Немаловажен в работе с информацией и Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – ФЗ-149). В нем обозначена основная терминология – понятие информации (конфиденциальной, общедоступной), сайта, поисковой системы и др, прописаны требования к защите информации, порядок ограничения доступа и ответственность за нарушение правил работы с ней. На этот документ ссылаются при составлении локальных нормативных актов по информационной безопасности в организации. В этом законе определяется работа всех информационных систем в российской Федерации, а в статье 14 содержится описание государственных информационных систем (ГИС).

Нельзя не отметить и Федеральный закон «Об электронной подписи» от 06.04.2011 N 63-ФЗ (далее – ФЗ-63), который дает ответы на вопросы о том, что такое электронная подпись, как ее использовать и какую юридическую силу она придает электронным документам. Документ определяет технические требования к каждому виду электронных подписей для подтверждения подлинности информации – простой, усиленной квалифицированной и усиленной неквалифицированной (ст. 5 ФЗ-63).

Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ (далее – ФЗ-98) вводит понятие коммерческой тайны, а также определяет порядок работы с такого рода информацией и ответственность за нарушение закона.

«Коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду».

ФЗ-98 обозначает, какая информация не может относится к коммерческой тайне (например, информация об учредителе или количестве работников).

Организация вправе сама определить сведения, являющиеся коммерческой тайной и должна зафиксировать это в специальном документе – перечне информации, составляющей коммерческую тайну.

Согласно ФЗ-98 уполномоченные гос. органы могут затребовать такие сведения по веским причинам. В этом случае организация обязана предоставить данные.

Обладатель коммерческой тайны обязан защищать ее и вести учет должностных лиц, которые имеют к ней доступ. Лицо, виновное в разглашении такой информации, может быть уволено, оштрафовано или привлечено к уголовной ответственности.

В процессе построения работы с ПДн необходимо учитывать вид деятельности конкретной организации, ее структуру, особенности документооборота, применяемых информационных систем и другие факторы.

Так, Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ (далее – ФЗ-187) распространяется на работу организаций, предприятий, которые критически важны для жизни населения Российской Федерации и их простой, сбой в работе может существенно повлиять на безопасность и здоровье граждан. Сюда относятся предприятия топливной, оборонной, металлургической и химической, ракетно-космической промышленности, организации, учреждения в сфере науки, здравоохранения, энергетики, транспорта и связи, банки, а также компании, которые обеспечивают работу выше перечисленных организаций (в т. ч. те, кто разрабатывает для них программное обеспечение).

В ст. 2 ФЗ-187 содержатся основные понятия:

«1) автоматизированная система управления – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;

2) безопасность критической информационной инфраструктуры – состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;

3) значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;

4) компьютерная атака – целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;

5) компьютерный инцидент – факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;

6) критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

7) объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

8) субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».