Категории персональных данных: виды и требования к их защите согласно российскому законодательству

Категории персональных данных

Согласно Федеральному закону №152-ФЗ от 27 июля 2006 года «О персональных данных», под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, любой набор сведений, позволяющих идентифицировать личность человека, признается персональными данными.

Российское законодательство выделяет несколько категорий персональных данных в зависимости от степени их защищенности и особенностей обработки:

1. Общедоступные персональные данные.

К этой категории относятся сведения, которые субъект самостоятельно сделал доступными для неограниченного круга лиц. Например, это может быть информация из социальных сетей, размещенная самим пользователем, данные из открытых источников и справочников. Несмотря на общедоступный характер таких данных, их обработка все равно должна осуществляться с соблюдением законодательства РФ.

2. Специальные категории персональных данных.

В соответствии со статьей 10 Федерального закона №152-ФЗ «О персональных данных» выделяются специальные категории персональных данных. К ним относятся сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и биометрические данные человека. Обработка таких сведений допускается только с письменного согласия субъекта данных либо в случаях, прямо предусмотренных законом.

3. Биометрические персональные данные.

Биометрические данные включают информацию о физиологических и биологических особенностях человека, позволяющих установить его личность (например, отпечатки пальцев, голосовые характеристики, изображение радужной оболочки глаза и другие параметры).  Законодательство устанавливает особенно строгие требования к порядку сбора и обработки биометрических данных.

4. Иные категории персональных данных

Под иными категориями персональных данных понимаются иные персональные данные, которые не относятся к общедоступным, специальным или биометрическим.

Требования к защите персональных данных.

В зависимости от особенностей каждой категории персональных данных при их обработке в информационных системах оператором должны быть разработаны и реализованы соответствующие технические, организационные, правовые и иные меры по защите. Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 утверждены требования к защите персональных данных при их обработке в информационных системах. Данный документ предусматривает различные уровни защищенности информационных систем в зависимости от категории обрабатываемых данных и угроз безопасности.

В частности, Постановление устанавливает следующие требования:

1. Определение уровня защищенности информационной системы.

В зависимости от категории обрабатываемых данных (общие, специальные или биометрические) необходимо определить соответствующий уровень защищенности информационной системы персональных данных. Чем чувствительнее данные (например, специальные или биометрические), тем выше должен быть уровень защищенности системы.

2. Организационные меры защиты.

Оператор обязан разработать и утвердить внутренние документы по вопросам обработки и защиты персональных данных, определить порядок доступа сотрудников к данным и обеспечить контроль за соблюдением установленных правил обработки.

3. Технические меры защиты.

Для каждой категории персональных данных должны применяться технические средства защиты информации (шифрование, антивирусная защита, контроль доступа, резервное копирование), соответствующие установленному уровню защищенности информационной системы персональных данных. Например, при обработке специальных или биометрических категорий персональных данных необходимо использовать усиленные меры защиты информации.

4. Физическая защита информационных систем.

Помещения, где осуществляется обработка персональных данных, должны быть оснащены средствами физической защиты (ограничение доступа посторонних лиц, видеонаблюдение, сигнализация и другие меры), обеспечивающими защиту от несанкционированного доступа к данным.

5. Контроль за обработкой персональных данных.

Необходимо обеспечить регулярный контроль за состоянием защиты персональных данных путем проведения внутренних проверок и аудитов информационной безопасности.

Особенности обработки персональных данных специальных категорий и биометрических персональных данных.

При обработке персональных данных специальных категорий и биометрических персональных данных оператор обязан соблюдать дополнительные меры безопасности:

• Получать письменное согласие субъекта на обработку таких сведений (за исключением случаев, прямо предусмотренных законом);

• Использовать усиленные технические средства защиты информации (например, криптографические средства защиты);

• Ограничивать доступ сотрудников к таким данным в соответствии с их должностными обязанностями;

• Обеспечивать повышенный контроль за соблюдением мер защиты таких категорий сведений.

Необходимость правовых мер защиты.

Российское законодательство выделяет различные категории персональных данных и предусматривает четкие требования к их обработке и защите. Операторы должны учитывать специфику каждой категории при построении систем защиты информации и организации процессов обработки персональных данных.

Кроме технических мер большое значение имеет построение четкой правовой системы защиты персональных данных, что включает в себя создание внутрикорпоративного правового режима по защите чувствительной информации, в том числе разработку политик, инструкций, иных подобных локальных документов, правовую регламентацию взаимоотношений с работниками, контрагентами, создание юридической системы контроля рисков и реагирования на негативные события.