Несмотря на то, что о защите персональных данных государство позаботилось без малого 20 лет назад — с принятием в 2006 году Федерального закона № 152-ФЗ «О персональных данных» — и выстроенной системой нормативных актов и практикой их применения, до сих пор встречаются спорные моменты.
Например, изображения периодически то относятся к биометрическим данным, то нет, то — только при условии автоматизированной обработки.
Но даже опытные, казалось бы, продвинутые операторы персональных данных допускают ошибки при определении уровня защищенности.
Ошибки классификации
Мы часто видим, как в актах классификации оператор ИСПДн определяет сразу две категории персональных данных.
Например, указывает, что в одной информационной системе присутствуют категории специальных и общедоступных данных, мотивируя это тем, что кроме сведений о здоровье, есть еще фамилия, имя и отчество.
Важно понимать, что ФИО есть в любой информационной системе, но это не означает наличие сразу двух категорий.
Согласно Постановлению Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», категория в одной системе может быть только одна.
Как присваивается категория персональных данных
- Общедоступная категория присваивается только в тех системах, где нет никаких других данных, кроме общедоступных.
- Если в системе есть сведения о здоровье, расовой принадлежности, вероисповедании и т. д., то это специальная категория персональных данных.
- Если обрабатываются физиологические и биологические особенности человека, на основании которых можно установить его личность, но при этом не обрабатываются сведения, относящиеся к специальным категориям, то такие данные относятся к биометрическим.
Одновременно биометрическими и специальными данные быть не могут. - Если в системе обрабатываются данные, которые не подходят к вышеперечисленным категориям, то такая ИСПДн имеет категорию «иные».
При этом там также могут присутствовать фамилия, имя и отчество, но эти данные не являются общедоступными, поскольку кроме ФИО имеется что-то еще.
Хочется напомнить, что от правильной классификации зависит успех работы системы защиты и корректность выполнения требований законодательства.
Таблица определения уровня защищенности
| Категории ПДн | Специальные | Биометрические | Иные | Общедоступные | |||||||
| Собственные работники | нет | нет | да | нет | нет | да | нет | нет | да | ||
| Количество субъектов | >100 тыс | <100 тыс | >100 тыс | <100 тыс | >100 тыс | <100 тыс | |||||
| Тип актуальных угроз | 1 | 1 УЗ | 1 УЗ | 1 УЗ | 1 УЗ | 1 УЗ | 1 УЗ | 1 УЗ | 2 УЗ | 2 УЗ | 2 УЗ |
| 2 | 1 УЗ | 2 УЗ | 2 УЗ | 2 УЗ | 2 УЗ | 3 УЗ | 3 УЗ | 2 УЗ | 3 УЗ | 3 УЗ | |
| 3 | 2 УЗ | 3 УЗ | 3 УЗ | 3 УЗ | 3 УЗ | 4 УЗ | 4 УЗ | 4 УЗ | 4 УЗ | 4 УЗ | |
Если у вас остались вопросы по определению категории персональных данных или уровню защищенности — обращайтесь к нашим экспертам. Мы поможем провести корректную классификацию и выбрать оптимальные меры защиты.
