Список персональных данных: Перечень персональных данных, подлежащих защите

Разное 

Содержание

Категории персональных данных — специальные ПДн и иные категории субъектов ПД по ФЗ 152

Все без исключения операции, связанные с обработкой персональных данных в ИСПДн, предполагают следование требованиям ФЗ-152 и другим нормативно-правовым актам, касающимся использования ПДн. В частности, любой организации придется принимать определенные меры технической и организационной безопасности, предварительно определив уровень защищенности ИСПДн (до 2013 года было разделение на классы), что предусматривает Постановление Правительства РФ № 1119. Чтобы понять, насколько эффективно система нейтрализует факторы, приводящие к несанкционированному доступу и применению личных сведений субъектов ПДн, нужно определить, какие категории персональных данных вы обрабатываете. Этот параметр наравне с типом УБ и другими показателями повлияет на причисление ИС к 1, 2, 3 или 4 уровню.

Установленные законом категории обрабатываемых персональных данных

Разделение ПДн необходимо для того, чтобы устанавливать отдельные правила обработки и защиты для информации разного характера, а также наказания организаций, которые их нарушают. Действующее российское законодательство предусматривает 4 категории обрабатываемых ПДн:

  • общедоступные;
  • биометрические;
  • специальные;
  • иные.

Несмотря на внесение различных изменений, четко прописаны только три первые группы, а вот в отношении последней нет конкретики. Перед операторами стоит задача понять, с какими сведениями они работают, и только потом устанавливать степень защищенности ИС.

Категория общедоступных ПДн

Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение. В соответствии с классификацией ФЗ-152 в данную категорию персональных данных входят:

  • имя, фамилия и отчество субъекта;
  • место, где человек родился или проживает;
  • возраст;
  • профессия, образование;
  • месяц, год и число рождения;
  • электронная почта;
  • телефонный номер и т. д.

Нужно учитывать, что если гражданин не согласен с тем, что информация о нем общедоступна, то он имеет право потребовать её удалить из источника путем подачи заявления. Также это может быть сделано при выдаче соответствующего решения государственного органа либо суда.

Биометрические ПДн

Практически на любом предприятии есть система охраны и видеонаблюдения, а также ограничения доступа на территорию либо в отдельные помещения. В качестве идентификатора лиц, которые имеют право находиться в определенных зонах или выполнять определенные действия, выступают, как правило, фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические особенности входят в категорию биометрических ПДн, а их использование в обязательном порядке требует получения письменного согласия владельцев. Документ не требуется только, если речь идет об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.

Работая с такими сведениями, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т.д. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении.

Что является специальной категорией персональных данных?

В данную группу входят:

  • сведения, касающиеся состояния здоровья;
  • гендерная и расовая принадлежность;
  • сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;
  • философские воззрения;
  • религиозные убеждения;
  • политические взгляды и т.д.

Для обработки специальных категорий персональных данных требуется выполнение одного из условий:

  • получение письменного согласия установленного законом образца;
  • использование сведений, опубликованных в общедоступных источниках самим гражданином;
  • вступление в силу международных договоренностей;
  • выполнение действий в рамках судебного производства или по решению суда;
  • возникновение риска для жизни и здоровья субъекта либо окружающих людей;
  • обработка информации в рамках деятельности общественной либо религиозной организации.

Категория иных персональных данных

Четкого определения, какие сведения могут быть отнесены в эту группу, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к предыдущим категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.

Категории субъектов персональных данных

В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:

  • лица, которые не являются штатными или внештатными сотрудниками организации;
  • лица, связанные с компанией трудовыми взаимоотношениями.

В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.

Виды персональных данных (ПД) — типы ПДн и обработки персональной информации

Процветание бизнеса тесно связано с тем, насколько серьезно организация подходит к обеспечению информационной безопасности. Особое значение имеет определение и нейтрализация угроз безопасности, касающихся несанкционированного доступа к личной информации клиентов и партнеров. Персональные данные — это виды сведений, которые дают возможность косвенно либо напрямую идентифицировать гражданина и в отдельных случаях получить о нем дополнительную информацию.

Осуществляя любой вид обработки ПДн, предприниматель, компания либо муниципальный/государственный орган обязаны придерживаться прописанных в ФЗ-152 требований, в частности, продумать систему защиты от НСД и последующего несанкционированного использования. В зависимости от того, какие виды ПДн вы обрабатываете, нужны будут определенные СЗИ, поэтому важно разобраться с актуальной классификацией. Обращаем внимание, что под персональными данными понимаются данные, касающиеся конкретного человека. То есть абстрактный адрес электронной почты либо мобильный номер к таковым не относятся, поскольку не представляется возможным определить, чьи они. Четко проследить разницу можно на примере опросов — если вы просите сообщить имя и фамилию либо семейное положение, то речь идет о ПДн, соответственно нужно просить согласие на обработку, а в случае анонимного анкетирования такой необходимости не возникает.

Категории и виды ПДн

В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:

  1. Общедоступные — те, которые опубликованы в открытых источниках с согласия владельца (если субъект хочет удалить сведения, он может подать заявление оператору либо обратиться в суд).
    К таким относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, образование.
  2. Специальные — ПДн, которые касаются сексуальной жизни субъекта, его политических, философских и религиозных воззрений, а также расовой и половой принадлежности. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
  3. Биометрические — любые биологические либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Оператору для обработки подобных ПДн нужно предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Однако если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических ПДн (в зависимости от ситуации их можно определить как специальные либо общедоступные).
  4. Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.

Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:

  • сведения в муниципальных и государственных ИС;
  • личные сведения в полностью автоматизированных системах;
  • ПДн, необходимые для агитации политических сил, раскрутки товаров и услуг;
  • трансграничная передача данных (когда информация передается за пределы страны).

Какие можно выделить типы персональных данных?

Кроме описанных видов ПД, классифицировать личные сведения граждан можно на основании положений ТК, Конституции Российской Федерации и других ФЗ. Например, при организации трудовых процессов происходит обработка двух типов документов:

  1. Подаваемые сотрудниками в момент приема на работу и подписания соглашения с работодателем. Речь идет о трудовой книжке, дипломах об окончании учебных заведений, паспорте, сертификатах, подтверждающих специальные знания, документах о постановке/снятии с воинского учета и т.д.
  2. Формируемые непосредственно работодателем в отношении персонала. К данному типу относятся внутренние приказы (о зачислении, о выдаче премиальных средств), расчетная документация, персональная карточка.

Есть еще несколько способов разделения персональных данных по разным критериям:

  • по содержанию — биометрические и не биометрические;
  • по направлению — обычные и специальные;
  • по степени доступа — конфиденциальные и те, которые находятся в общем доступе.

Зачем проводить классификацию ПДн?

Проанализировать виды персональной информации и понять, какие именно сведения вы используете в своей деятельности, очень важно. От этого зависит список законодательных требований к защите ИС, и, соответственно, затраты на внедрение средств профилактики и реагирования на УБ. Кроме того, это позволит избежать нарушений и штрафных санкций со стороны контролирующих органов, а также завоевать репутацию надежной компании, что положительно скажется на уровне дохода.

Что такое персональные данные?

Персональные данные — это любая информация, которая может быть связана с идентифицируемым лицом.

Персональные данные могут, например, включать информацию об имени, адресе, адресе электронной почты, персональном идентификационном номере, регистрационном номере, фото, отпечатках пальцев, диагностике, биологическом материале, когда по данным или в сочетание с другими данными. Говорят, что информация является «лично идентифицируемой».

Хотя информация об имени или адресе была заменена кодом, таким как AB123, это по-прежнему персональные данные, если код можно отследить до исходных персональных данных. Это так до тех пор, пока кто-то может сделать информацию читаемой и идентифицировать причастного человека. Это часто называют псевдонимизированной информацией, и такая информация по-прежнему регулируется правилами защиты данных. С другой стороны, информация, сделанная анонимной, чтобы ни одно физическое лицо не могло быть идентифицировано по данным или в сочетании с другой информацией, больше не защищена правилами защиты данных.

Личная информация (неконфиденциальная личная информация)

Персональная информация включает в себя всю информацию, которая не относится к особым категориям информации (конфиденциальная личная информация). Это может быть, например, идентификационная информация, такая как имя, адрес, возраст и образование. Это также относится к финансовым вопросам, таким как налоги и долги. Информация в виде фото, отпечатков пальцев, родственных связей, жилья, автомобиля, экзамена, заявлений о приеме на работу, резюме, даты и должности трудоустройства, места работы и рабочего телефона — также являются личной информацией.

Специальные категории персональных данных (конфиденциальные персональные данные)

Конфиденциальные персональные данные прямо упоминаются в Положении о защите данных, и возможности обработки таких данных уже, чем в случае обычных персональных данных.

Конфиденциальной информацией является информация о:

  • Расовой и этнической принадлежности
  • Политические убеждения
  • Религиозные или философские убеждения
  • Членство в профсоюзе
  • Генетические данные
  • Биометрические данные для уникальной идентификации
  • Медицинская информация
  • Сексуальные отношения или сексуальная ориентация.

Только упомянутая выше информация является конфиденциальной личной информацией.

Информация об уголовных преступлениях — статья 10 Положения о защите данных и раздел 8 Закона о защите данных Дании

Информация об уголовных преступлениях считается персональными данными в соответствии с Положением о защите данных и отдельно регулируется датским Законом о защите данных. Необходимо применять очень широкое понимание понятия уголовных преступлений. Таким образом, этот термин включает в себя не только информацию о нарушениях законодательства, не повлекших или могущих повлечь фактическую уголовную ответственность, но и любые другие санкции, такие как дисквалификация.

Однако не вся информация о возможном уголовном правонарушении, включая любое заявление в полицию, может считаться закрытой. Таким образом, сообщение в полицию должно в той или иной форме считаться обоснованным, прежде чем оно дойдет до информации об уголовных преступлениях.

Конфиденциальная информация — раздел 152 Уголовного кодекса Дании в сочетании с разделом 27 Закона Дании о государственном управлении

Конфиденциальная информация — это особая категория информации, которая прямо не упоминается в правилах защиты данных, но в отношении которой может быть предусмотрена особая защита имеет значение при применении правил защиты данных. Кроме того, конфиденциальная информация часто подлежит специальному регулированию в другом законодательстве. Номер социального страхования (номер CPR) — это конфиденциальная информация, которая отдельно регулируется Законом о защите данных. Решающим фактором для того, следует ли считать информацию конфиденциальной, будет оценка того, должна ли информация, по общему мнению общества, быть недоступной для общественности, ср. статья 152 Уголовного кодекса в сочетании со статьей 27 Закона о государственном управлении. И наоборот, конфиденциальная информация не всегда является конфиденциальной. Неконфиденциальная личная информация может быть конфиденциальной в определенных ситуациях. В зависимости от обстоятельств это относится к информации о доходах и материальном положении, занятости, образовании и условиях занятости. То же самое относится к информации о внутрисемейных отношениях, включая информацию, например, о попытках самоубийства и несчастных случаях. Информация, которая может быть отнесена к определенным лицам и в раскрытии которой нельзя отказать в соответствии с Законом о публичном доступе к информации, не будет носить конфиденциальный характер. Это относится, например, к сведения чисто объективного характера, такие как сведения о выдаче паспортов, водительских удостоверений, охотничьих удостоверений и т. д.

Псевдонимизация и анонимизация персональных данных

Понятие псевдонимизации определяется в GDPR как обработка персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам для обеспечения того, чтобы персональные данные не были присвоены идентифицированному или идентифицируемому физическому лицу.

Аналогичным образом, сводная обработка данных о нескольких лицах, которые были собраны и объединены без сосредоточения внимания на отдельных лицах, является анонимной только в том случае, если никто не может распознать лиц по информации или в сочетании с другой информацией. Эту информацию часто называют агрегированной информацией, и она будет зависеть от конкретной оценки того, распространяется ли такая информация на правила защиты данных или нет.

Информация, сделанная анонимной, чтобы ни одно физическое лицо не могло быть идентифицировано по данным или в сочетании с другой информацией, больше не защищена правилами защиты данных. Это связано с тем, что правила защиты данных применяются только до тех пор, пока данные можно отследить до идентифицируемого или идентифицированного физического лица. Это условие необратимости анонимизации.

Речь не идет об абсолютной границе между анонимными данными и личными данными. Необходимо конкретно оценить, достаточна ли анонимность или все еще можно идентифицировать человека. При такой оценке должны быть приняты во внимание все вспомогательные средства, которые могут быть разумно использованы для идентификации заинтересованного лица. Следует также иметь в виду, обладают ли другие лица информацией, позволяющей идентифицировать человека.

Справочник по информации, позволяющей установить личность: список примеров PII — Analytics Platform

Хотя Matomo Analytics — это программное обеспечение для веб-аналитики, которое отслеживает действия пользователей на вашем веб-сайте, мы очень серьезно относимся к конфиденциальности и информации, позволяющей установить личность (PII). Мы считаем, что нашим читателям было бы полезно получить как можно более полную информацию о данных, позволяющих установить личность, и о том, что можно считать идентификаторами PII.

Хотите знать, что на самом деле означает PII? Это введение в PII расскажет вам, что такое PII.

То, что считается PII, зависит от контекста, а также от страны, в которой вы живете. Различные части мира учитывают определения того, что такое «PII» или «персональные данные», в своих законах. Вам рекомендуется ознакомиться с законами, относящимися к вашей части мира.

В этом неполном списке приведены примеры того, что может считаться информацией, позволяющей установить личность:

  • Имя: полное имя (имя, отчество, фамилия), девичья фамилия, девичья фамилия матери, псевдоним
  • Адреса: почтовый адрес, адрес электронной почты
  • Номера телефонов: мобильный, рабочий, личный
  • Информация об активах: Интернет-протокол (IP), управление доступом к среде (MAC)
  • Персональный код: номер социального страхования (SSN), номер паспорта, водительских прав, государственный идентификационный номер, идентификационный номер налогоплательщика, идентификационный номер пациента, финансовый счет или кредитная/дебетовая карта
  • Личные данные: фотографические изображения (которые имеют отличительные черты, например, лицо), рентгеновские снимки, отпечатки пальцев, сканирование сетчатки глаза, голосовая подпись
  • Информация, идентифицирующая личное имущество: Регистрационный номер транспортного средства

Информация также может быть связана для идентификации человека.

Эта информация, которая может быть объединена с другими для установления личности человека, также может считаться PII:
  • Дата рождения
  • Место рождения
  • Гонка
  • Религия
  • Вес
  • Деятельность
  • Географическое положение
  • Информация о занятости
  • Медицинская информация
  • Информация об образовании
  • Финансовая информация
  • Члены семьи

Дополнительная информация, считающаяся личными данными в соответствии с GDPR:

  • Идентификатор заказа электронной торговли
  • IP-адрес
  • Идентификатор файла cookie
  • Данные о местоположении
  • Данные, хранящиеся у врача, которые могут однозначно идентифицировать человека
  • Другие «онлайн-идентификаторы», такие как инструменты, приложения или устройства (например, их компьютер/смартфон)
  • «Персональные данные, которые были деидентифицированы, зашифрованы или псевдонимизированы , но могут использоваться для повторной идентификации человека, остаются персональными данными и подпадают под действие GDPR».

    No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *