Определяем персональные данные

Что такое персональные данные?

Прежде всего разберемся, что такое персональные данные. Это на первый взгляд простой совершенно момент. Есть закон, и в соответствии с ним «персональные данные – это любые сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которые предоставляются другому физическому или юридическому лицу либо лицам.

Из определение все кажется довольно понятным. Рассматриваешь категорию данных, с которыми предстоит работать с точки зрения закона, применив к ним определение из закона, и понимаешь, относятся они к персональным или нет.

Определяем персональные данные

Попробуем эту сделать. Сразу определим, какие данные однозначно можно отнести к персональным данным:

• имя, фамилия, отчество;
• год, месяц и дата рождения;
• место рождения;
• адрес;
• электронная почта;
• номер телефона;
• семейное положение;
• социально положение;
• имущественное положение;
• образование;
• профессия;
• занимаемая должность;
• стаж работы;
• доходы.

В практике бытует мнение, что не любую электронную почту стоит олицетворять с персональными данными. Например, Kotik.83@mail.ru по этой почте трудно определить и идентифицировать лицо, кому она принадлежит. Совсем по иному дело обстоит, например с почтой Ivanov_sergey@yandex.ru, где довольно четко прослеживается фамилия и имя ее владельца. Но несмотря на это электронную почту все же стоит относить именно к персональным данным.

Корпоративная почта

Тут может возникнуть еще один вопрос, касающийся корпоративной почты сотрудников. Как быть с ней? Если адрес электронной почты выдает компания-работодатель и размещает его на корпоративном сайте или визитках, то в этом случае нужно ли получать согласие работника?

Желательно иметь такое согласие. Для этого в момент приема на работу нужно получить согласие на обработку персональных данных, в том числе корпоративной почты, а именно определить, что данные корпоративной почты доводятся до сведений третьих лиц.

После того, как вы определились, что так или иначе собираете и обрабатываете данные, то, если говорить юридическим языком, являетесь так называемым оператором, т.е. юридическим лицом, которое производит обработку персональных данных.

Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Меры обеспечения

Под мерами по обеспечению безопасности персональных данных при их обработке следует понимать следующие действия.

1. Определение угроз безопасности.

2. Применение организационных и технических мер по обеспечению безопасности.

3. Применение средств защиты информации.

4. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.

5. Учёт съёмных носителей персональных данных. Обнаружение фактов несанкционированного доступа к данным.

6. Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

7. Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.

8. Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.

Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной. Она касается очень и очень многих.

Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!