Перед вами статья с полной информацией о персональных данных в 2024 году. Расскажем, что относится к ПДн, какую ответственность за них несут компании, что грозит за их утечку и как бизнесу защитить такую информацию.
Что такое персональные данные
Персональные данные — это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу, то есть, субъекту персональных данных. Такое толкование дается в Федеральном законе №152 «О персональных данных» от 27 июля 2006 года.
Строгого списка, что именно попадет под понятие персональных данных, в законе нет. Но, как правило, это:
- фамилия, имя, отчество
- дата рождения
- номер телефона
- адрес электронной почты
- место проживания
- образование
- семейное положение
- занимаемая должность
Данные считаются персональными, если они позволяют определить субъекта. К примеру, только по фамилии, имени и отчеству нельзя идентифицировать человека. Но фамилия, имя и отчество в совокупности с номером телефона позволяют понять, о какой персоне идет речь.
Виды персональных данных
В ФЗ о персональных данных рассматривается четыре вида персональных данных.
Общедоступные персональные данные
Это данные, которые могут содержаться в открытых источниках с целью информационного обеспечения, в том числе, в справочниках и адресных книгах.
К таким данным относятся: фамилия, имя, отчество, дата и место рождения, адрес и номер телефона, информация о профессии и другие персональные данные, которые предоставил субъект.
Важно учесть, что в общедоступных источниках эти сведения могут размещаться только с письменного согласия человека. Данные могут быть удалены по заявлению субъекта, решению суда или других уполномоченных госорганов.
Специальные персональные данные
Это самая чувствительная категория персональных данных. В нее входит информация о расовой и национальной принадлежности субъекта, его политические взгляды, религиозные или философские убеждения, подробности интимной жизни и состояния здоровья.
Согласно ФЗ о персональных данных, эту информацию запрашивать нельзя. Исключения составляют только случаи, при которых:
- субъект данных дал письменное согласие
- информацию человек сам опубликовал в общедоступных источниках
- данные необходимы для реализации международных договоров
- данные обрабатываются в рамках переписи населения
- обработка данных необходима для социальной помощи и выплаты пенсий
- эти данные требуются для защиты жизни и здоровья субъекта
- обработка персональных данных происходит в рамках медико-профилактических целей
- эти данные принадлежат участникам общественного объединения или религиозной организации
- обработка данных проводится в рамках деятельности судебных органов
- данные необходимы для действий правоохранительных структур
- обработка данных происходит в рамках страхового законодательства
- данные требуются для устройства детей, оставшихся без попечения родителей.
Но важно учесть, что обработку специальных персональных данных необходимо сразу завершить, как только причина обработки решена.
Биометрические персональные данные
В эту категорию попадают данные, которые позволяют установить личность субъекта. Это:
- физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие)
- другие физиологические или биологические характеристики человека, в том числе фотографии и видеозаписи.
Биометрические данные можно использовать только с письменного согласия на обработку персональных данных. Исключения составляют случаи, когда это необходимо для обеспечения госбезопасности и правосудия, работы правоохранительных органов и госструктур.
Иные персональные данные
В Федеральном законе №152 «О персональных данных» нет четкого списка, какие персональные данные относятся к этой группе. Оговаривается, что в категорию подпадают все сведения, которые нельзя отнести к общедоступным, специальным или биометрическим.
Кто такой оператор персональных данных
Оператор персональных данных — это организация, которая обрабатывает данные. При этом, под обработкой понимаются любые действия — от сбора данных до их уничтожения.
Каждый оператор сам определяет перечень персональных данных, которые будет собирать. Но этот список должен отвечать целям обработки и не быть избыточным.
Защита персональных данных
По Федеральному закону о персональных данных оператор должен обеспечить защиту персональных данных. Поэтому задача организации — внедрить систему защиты, которая позволит обезопасить конфиденциальную информацию от случайного доступа и всех неправомерных действий в отношении ПДн.
Что такое утечка персональных данных?
Утечка персональных данных — это инцидент их бесконтрольного распространения, при котором данные попадают в посторонние руки и нередко оказываются в открытом доступе. Чаще всего злоумышленники преследуют финансовую выгоду. Они могут выставить данные на продажу в закрытых каналах, либо шантажировать бизнес, обещая не публиковать базу. Начиная с 2022 года, к экономической выгоде добавились и идеологические мотивы.
Утечка персональных данных может произойти как умышленно, так и по неосторожности. В обоих случаях причиной могут быть действия сотрудников.
Какими могут быть последствия за утечку персональных данных?
Для юридических лиц, которые допустили утечку персональных данных, максимальный штраф составляет 100 тыс. рублей и 300 тыс. рублей — при повторной утечке.
Но размер наказаний планируют ужесточить. В декабре 2023 года в Госдуму внесли законопроекты (№ 502104-8, 502113-8), которые предусматривают оборотный штраф за утечку данных от 3 до 500 млн рублей и вводят уголовную ответственность за утечки: до 10 лет лишения свободы. В январе 2024 года документы прошли первое чтение.
Информационная защита персональных данных
Один из способов защитить персональные данные — установить решение класса Data Loss Prevention. Это программное обеспечение, направленное на защиту конфиденциальных данных от утечек.
Одно из решений этого класса — DLP-система «Стахановец». Она изучает все действия сотрудников, мониторит каналы утечки информации и в случае инцидента мгновенно уведомляет сотрудника СБ.
Вот лишь несколько опций комплекса, которые помогут компаниям снизить риск утечек:
Опция маркировки документов, которая позволяет проставить на ценные файлы скрытые метки. Они незаметны для человека, но система их распознает, благодаря чему можно контролировать вывод файлов за периметр компании.
Запрет на вывод документов с персональными данными. Для этого необходимо задать список показателей — регулярных выражений, которые должны быть в файле. Например, фамилия, имя, отчество, дата рождения, номер телефона, электронная почта. Если кто-то из сотрудников попытается отправить такой документ по интернету или на съемный носитель, распечатать, система мгновенно пришлет уведомление сотруднику СБ.
Запрет на фотографирование экрана. Система анализирует поведение сотрудника перед ПК и при попытке сфотографировать экран с конфиденциальной информацией — сворачивает окно и оповещает руководство.
Если сотрудник попытается сфотографировать экран с конфиденциальной информацией, DLP-система распознает это действие и оповещает сотрудника СБ об инциденте.
Наложение «вотермарок» при печати документов. На все документы, которые отправляются на печать, можно наложить водяные знаки в виде имени домена и имени пользователя. В случае утечки, это позволит идентифицировать сотрудника, отправившего документ на печать.
В «Стахановец» на все распечатываемые документы можно наложить водяные знаки в виде имени домена и имени пользователя.
Кроме этого, «Стахановец» контролирует все операции с файлами и позволяет установить запрет на использование съемных носителей. Это поможет компаниям защититься от умышленных или случайных действий сотрудников, которые могут привести к утечке персональных данных.
