Определяем персональные данные
Краткое содержание :
Что такое персональные данные?
Прежде всего разберемся, что такое персональные данные. Это на первый взгляд простой совершенно момент. Есть закон, и в соответствии с ним «персональные данные – это любые сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которые предоставляются другому физическому или юридическому лицу либо лицам.
Из определение все кажется довольно понятным. Рассматриваешь категорию данных, с которыми предстоит работать с точки зрения закона, применив к ним определение из закона, и понимаешь, относятся они к персональным или нет.
Определяем персональные данные
Попробуем эту сделать. Сразу определим, какие данные однозначно можно отнести к персональным данным:
- имя, фамилия, отчество;
- год, месяц и дата рождения;
- место рождения;
- адрес;
- электронная почта;
- номер телефона;
- семейное положение;
- социально положение;
- имущественное положение;
- образование;
- профессия;
- занимаемая должность;
- стаж работы;
- доходы.
В практике бытует мнение, что не любую электронную почту стоит олицетворять с персональными данными. Например, Kotik.83@mail.ru по этой почте трудно определить и идентифицировать лицо, кому она принадлежит. Совсем по иному дело обстоит, например с почтой Ivanov_sergey@yandex.ru, где довольно четко прослеживается фамилия и имя ее владельца. Но несмотря на это электронную почту все же стоит относить именно к персональным данным.
Корпоративная почта
Тут может возникнуть еще один вопрос, касающийся корпоративной почты сотрудников. Как быть с ней? Если адрес электронной почты выдает компания-работодатель и размещает его на корпоративном сайте или визитках, то в этом случае нужно ли получать согласие работника?
Желательно иметь такое согласие. Для этого в момент приема на работу нужно получить согласие на обработку персональных данных, в том числе корпоративной почты, а именно определить, что данные корпоративной почты доводятся до сведений третьих лиц.
После того, как вы определились, что так или иначе собираете и обрабатываете данные, то, если говорить юридическим языком, являетесь так называемым оператором, т.е. юридическим лицом, которое производит обработку персональных данных.
Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.
Меры обеспечения
Под мерами по обеспечению безопасности персональных данных при их обработке следует понимать следующие действия.
1. Определение угроз безопасности.
2. Применение организационных и технических мер по обеспечению безопасности.
3. Применение средств защиты информации.
4. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.
5. Учёт съёмных носителей персональных данных. Обнаружение фактов несанкционированного доступа к данным.
6. Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
7. Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.
8. Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.
Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной. Она касается очень и очень многих.
Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!