Многим компаниям в РФ, требуется хранить и обрабатывать персональные данные.
Чтобы выполнять эту функцию, требуется опираться на законодательство., а именно Федеральный закон от 27 июля 2006 г. N 152-ФЗ “О персональных данных”.
Данный закон, перечисляет такие понятия, как:
Приказ Федеральной службы по техническому и экспортному контролю
от 18 февраля 2013 г. N 21
“Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”.
https://ivo.garant.ru/#/document/70380924/paragraph/1:0
Приказ ФСБ России от 10 июля 2014 г. N 378
“Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”.
https://ivo.garant.ru/#/document/70727118/paragraph/1/doclist/1812/1/0/0:2
- Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
- Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- Общедоступные персональные данные
- Обезличенные данные
- Данные, обрабатываемые без согласия субъекта, в соответствии с законодательством РФ
- Биометрические персональные данные
- Специальные категории персональных данных
- Фамилию, имя, отчество;
- Дату и место рождения;
- Адрес проживания;
- Номер телефона;
- Адрес электронной почты;
- Паспортные данные;
- Идентификационный номер налогоплательщика (ИНН);
- Страховой номер индивидуального лицевого счёта (СНИЛС);
- Данные о месте работы и занимаемой должности.
- Статистическая информация:
- Средний возраст пользователей сервиса.
- Процентное соотношение мужчин и женщин в определенной группе.
- Агрегированные данные:
- Общее количество посещений сайта за определенный период.
- Средний уровень дохода в определенной географической области.
-
- Данные с удалёнными идентификаторами:
- Базы данных, где имена заменены на уникальные коды или номера.
- Адреса электронной почты заменены на хеши.
-
- Обезличенные медицинские данные:
- Информация о распространенности заболеваний без указания имён пациентов.
- Среднее время выздоровления после лечения определенной болезни.
-
- Обезличенные транзакционные данные:
- Объем продаж в магазине за месяц без указания данных покупателей.
- Популярные товары в интернет-магазине без привязки к конкретным покупателям.
- Обезличенные транзакционные данные:
- Обезличенные медицинские данные:
- Данные с удалёнными идентификаторами:
-
-
-
-
- Данные, необходимые для исполнения договора.
- Данные для выполнения обязательств по закону.
- Данные для защиты жизненно важных интересов.
- Обработка в государственных и общественных интересах.
- Данные для статистических и научных исследований(обезличены).
- Обработка в рамках трудового законодательства.
- Обработка в связи с участием в судебных процесса.
- Обработка для защиты прав и законных интересов оператора или третьих лиц.
-
-
-
-
-
-
-
- Изображение лица: Фотографии и видеозаписи, позволяющие идентифицировать человека.
- Отпечатки пальцев: Данные, полученные с помощью дактилоскопии.
- Радужная оболочка глаза: Данные, полученные при сканировании радужной оболочки.
- Голос: Аудиозаписи, которые могут быть использованы для идентификации личности.
- Генетическая информация: Данные о ДНК, которые могут использоваться для идентификации.
- Термограмма лица или тела: Данные, полученные с помощью тепловизоров.
- Рисунок вен: Данные, полученные с помощью сканирования рисунка вен на руках или других частях тела.
-
-
-
-
-
-
-
- Информация о расовой или национальной принадлежности.
- Политических взглядов.
- Религиозных или философских убеждений.
- Состояния здоровья.
- Интимной жизни.
- Судимости.
-
-
-
-
-
-
-
- Первый уровень защищенности, включают в себя информацию, утечка или неправомерное использование которой может причинить наибольший ущерб субъекту данных. Это, как правило, данные, которые требуют самого высокого уровня защиты, где системы обрабатывают персональные данные, отнесенные к специальной категории и обработка осуществляется без согласия субъекта персональных данных.
-
-
-
-
-
-
-
- Государственная тайна: Данные, которые содержат информацию, составляющую государственную тайну. Это может включать секретные документы и информацию, имеющую отношение к национальной безопасности.
- Сведения о частной жизни: Данные, которые могут раскрыть интимные аспекты частной жизни человека, такие как сексуальная ориентация, религиозные убеждения или политические взгляды.
- Секретные персональные данные: Информация, которая может использоваться для шантажа или дискредитации человека.
- Чувствительные биометрические данные: Данные, которые используются для идентификации личности в условиях повышенной безопасности.
- Особо важная медицинская информация: Данные о состоянии здоровья, которые могут иметь критическое значение для жизни человека.
-
- Второй уровень защищенности, обычно рассматривает данные, утечка или неправомерное использование которых может причинить значительный ущерб субъекту данных, где системы обрабатывают биометрические данные или данные о состоянии здоровья и обработка осуществляется с согласия субъекта персональных данных.
-
-
-
-
-
-
-
- Биометрические данные: Отпечатки пальцев, изображения сетчатки глаза или другие уникальные физические характеристики, которые используются для идентификации личности.
- Медицинская информация: Диагнозы, история болезни, результаты медицинских обследований и другие данные о здоровье человека.
- Персональные данные о частной жизни: Информация о личной жизни, семейных отношениях, включая сведения о браке или разводе.
- Данные о судимости: Информация о наличии или отсутствии судимости, а также детали уголовных дел.
-
- Третий уровень защищенности, обычно применяется к данным, которые могут причинить умеренный уровень ущерба субъекту данных в случае их утечки или неправомерного использования, где системы обрабатывают общедоступные персональные данные или данные, обрабатываемые в соответствии с законодательством РФ без согласия субъекта.
-
-
-
-
-
-
-
- Идентификационные данные: Например, полное имя, дата рождения и место рождения, которые в сочетании могут позволить идентифицировать личность субъекта.
- Контактная информация: Например, адрес проживания или номер телефона, которые могут использоваться для связи с субъектом.
- Информация о трудовой деятельности: Например, должность, место работы или стаж, которые могут быть использованы для оценки профессиональной деятельности человека.
- Образовательные данные: Информация об образовании, квалификации или аттестации.
- Финансовая информация: Например, сведения о доходах без указания конкретных сумм или источников.
-
- Четвертый уровень защищенности, применяется к персональным данным, обработка которых сопряжена с минимальными рисками для субъектов данных, где к системы,обрабатывают персональные данные в ограниченных объемах и не включают специальные категории данных.
-
-
-
-
-
-
-
- Общедоступные данные: Информация, которую субъект данных сделал общедоступной самостоятельно. Например, профиль в социальных сетях, если он открыт для всех пользователей.
- Данные, не позволяющие однозначно идентифицировать личность: Например, обезличенные статистические данные.
- Базовая контактная информация: Например, рабочий телефон или адрес электронной почты, если их разглашение не причиняет значительного ущерба субъекту.
-
-
-
Приказ Федеральной службы по техническому и экспортному контролю
от 18 февраля 2013 г. N 21
“Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”.
https://ivo.garant.ru/#/document/70380924/paragraph/1:0
Приказ ФСБ России от 10 июля 2014 г. N 378
“Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”.
https://ivo.garant.ru/#/document/70727118/paragraph/1/doclist/1812/1/0/0:2 
