Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:
- его фамилия, имя, отчество,
- год, месяц, дата и место рождения,
- адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
- другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.
.
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.
Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I. Определить категорию обрабатываемых персональных данных:
• категория 4 - обезличенные и (или) общедоступные персональные данные;
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II. Определить объем персональных данных, обрабатываемых в информационной системе:
• объем 3 - одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
• объем 2 - одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;
• объем 1 - одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах субъекта РФ или РФ.
III. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):
• класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
• класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
• класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
• класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
Объем / Категория
Объем 3
(<1 000,
организация)
Объем 2
(1 000-100 000,
отрасль, город)
Объем1
(>100 000,
субъект Федерации)
Категория 4 (обезличенные, общедоступные)
Класс 4
Класс 4
Класс 4
Категория 3 (идентификационные)
Класс 3
Класс 3
Класс 2
Категория 2 (идентификационные и еще)
Класс 3
Класс 2
Класс 1
Категория 1 (медицинские, социальные)
Класс 1
Класс 1
Класс 1
См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК России, ФСБ России, Мининформсвязи России N 55/86/20.
Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 "О персональных данных", должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.
Лица, виновные в нарушении требований Федерального закона 152-ФЗ "О персональных данных", несут:
- гражданскую,
- уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),
- административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
- дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).