Категории персональных данных фз 152
В данную группу входят:
- сведения, касающиеся состояния здоровья;
- гендерная и расовая принадлежность;
- сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;
- философские воззрения;
- религиозные убеждения;
- политические взгляды и т.д.
Для обработки специальных категорий персональных данных требуется выполнение одного из условий:
- получение письменного согласия установленного законом образца;
- использование сведений, опубликованных в общедоступных источниках самим гражданином;
- вступление в силу международных договоренностей;
- выполнение действий в рамках судебного производства или по решению суда;
- возникновение риска для жизни и здоровья субъекта либо окружающих людей;
- обработка информации в рамках деятельности общественной либо религиозной организации.
Какие нарушения предусматривает закон о персональных данных в последней редакции
По мере того, как меняются международные требования к безопасности информации физических лиц, основной документ РФ дорабатывается. Немаловажную роль играют и внутренние законодательные процессы, в частности, создание федеральных государственных органов, деятельность которых может вступать в противоречие с тем, что указано в ФЗ-152 «О персональных данных ». В настоящий момент наказание предусмотрено для тех предпринимателей, юридических лиц, чиновников и госструктур, которые:
- не получают предварительного одобрения у гражданина на хранение, использование, дополнение и другие операции с ПДн;
- не в полном объеме сообщают человеку о том, каким образом, для чего, до какого срока применяют идентифицирующую его информацию;
- применяют полученные от субъекта сведения не в тех целях, о которых заявлено в уведомлении Роскомнадзора и согласии на обработку;
- не информируют и не получают дополнительного согласия на распространение ПДн третьим лицам и публикацию на открытых площадках;
- не исполняют либо некорректно выполняют процесс обезличивания;
- продолжают обрабатывать сведения после завершения срока действия согласия или поступления заявления о его отзыве, оформленного по всем правилам;
- получают конфиденциальные данные незаконными способами;
- не подают вовремя уведомление об обработке в орган контроля;
- неправомерно удаляют либо уничтожают информацию о субъекте;
- используют несертифицированные средства защиты;
- не обеспечивают заявленный уровень безопасности ПДн.
Помимо штрафных санкций нарушителям может грозить уголовное наказание. Нередко внеплановую проверку Роскомнадзором инициируют клиенты, партнеры или сотрудники компании, чьи права, по их мнению, были нарушены, либо они тем или иным образом выявили, что имеет место неисполнение положений закона о защите личных данных физических лиц . Жалобу можно подать лично или в электронном формате. При этом у нарушителя есть определенное время на оспаривание наложенных санкций.
Основное, что необходимо знать про закон о защите персональных данных
Документ направлен на обеспечение гарантий безопасности субъектов ПДн — профилактику несанкционированного доступа, распространения, изменения, удаления и использования в противозаконных целях либо без получения предварительного одобрения. ФЗ-152 призван минимизировать вероятность противоправных действий в отношении граждан, установить общие правила обработки и наказывать нарушителей существующих правил. Главное, что устанавливает нормативно-правовой акт, — это ответственность ИП, компании, муниципального органа и т.д. за обеспечение конфиденциальности ПДн.
Виновником распространения персональных сведений может быть не только оператор, но и сам владелец, например, когда дает согласие на проведение обработки сомнительным организациям или частным лицам.
Основная информация о Федеральном законе 152 :
- содержание — 6 глав, 25 статей;
- принятие Госдумой — 6.07.2006;
- получение одобрения от Совета РФ — 14.07.2006;
- подписание президентом — 27.07.2006;
- опубликование в «РГ» — 2.07.2006;
- вступление в силу — 26.01.2007;
Каждая из глав посвящена определенному аспекту работы с ПДн:
- В первой описываются общие положения, область действия и цели, а также наиболее важные понятия и особенности правового регулирования в области защиты частных сведений.
- Во второй указан список принципов совершения операций с личной информацией, условия, на которых они осуществляются, а также нюансы, связанные с составлением и подписанием согласия субъекта. Отдельно определяются разные категории и виды ПДн: специальные, биометрические; есть определение трансграничной передачи данных и вопросы, касающиеся работы муниципальных и государственных информационных систем.
- Третья глава в равной степени информативна для операторов и граждан, поскольку расписывает права последних, к которым относятся получение доступа, применение в маркетинговых целях, подача жалоб на компанию, совершающую обработку и т.д.
- Четвертой главе последовательно разъясняется, что должен делать оператор, чтобы не считаться в глазах закона нарушителем.
- В пятой главе сообщается о том, кто имеет полномочия контролировать операторов, что конкретно могут делать надзорные структуры, а также к каким последствиям должны быть готовы нарушители.
- В самом конце представлены заключительные рекомендации и сведения о вступлении документа в силу.
Категории субъектов персональных данных
В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:
- лица, которые не являются штатными или внештатными сотрудниками организации;
- лица, связанные с компанией трудовыми взаимоотношениями.
В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.