Правовое определение персональных данных

от

Правовое определение персональных данных

Согласно статье 3 Федерального закона № 152-ФЗ «О персональных данных» (152-ФЗ), персональные данные (ПДн), это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Это фундаментальное определение является отправной точкой для всего российского законодательства в области защиты приватности.

Это юридическое определение имеет ключевые элементы, раскрывающие его суть:

  • Любая информация. Понятие не ограничено конкретными типами данных. Это могут быть не только ФИО, дата рождения или паспортные данные, но и электронный адрес, фотография, история покупок, IP-адрес, биометрические параметры и даже служебные характеристики. Критерий «любая» делает сферу применения закона чрезвычайно широкой, охватывая как структурированные базы данных, так и неформализованные заметки, переписку, аудио- и видеозаписи.
  • Относящаяся к физическому лицу. Информация должна быть связана с конкретным человеком. Связь может быть прямой (анкетные данные) или опосредованной, например, через принадлежность к организации, владение имуществом или поведенческие паттерны в цифровой среде.
  • Прямо или косвенно определённому. Прямое определение — когда информация однозначно идентифицирует человека (например, по паспорту). Косвенное — когда для идентификации требуется сопоставление нескольких данных (например, должность + компания + город, если сотрудник один в таком сочетании). Судебная практика показывает, что даже данные, которые не идентифицируют человека в масштабах страны, могут сделать его определяемым в рамках конкретного контекста (например, небольшой коллектив, клиентская база микрорайона).
  • Определяемому лицу. Это важнейший и самый динамичный критерий в эпоху big data. Даже если в данных нет прямого указания на ФИО, они всё равно считаются персональными, если с их помощью можно с достаточной вероятностью выделить конкретного человека из общей массы. Например, совокупность cookie-файлов, истории посещения сайтов, геолокации и предпочтений может сделать пользователя определяемым. Подход Роскомнадзора и судов всё больше склоняется к тому, что техническая возможность сопоставления данных (даже если оператор этого не делает) может быть достаточным основанием для отнесения информации к ПДн.

определение из 152-ФЗ является не статичным списком, а гибкой правовой конструкцией, которая расширяется вместе с технологическими возможностями по сбору и анализу информации. Для IT-специалиста это означает, что при проектировании любой системы, работающей с данными о людях, необходимо исходить из презумпции, что эти данные могут оказаться персональными.

Ключевые категории персональных данных

Законодательство и правоприменительная практика выделяют несколько категорий ПДн, которые требуют различного правового режима обработки и, что критически важно для IT-отрасли, различных подходов к технической защите. Классификация данных — первый и обязательный шаг для построения адекватной системы защиты информации (СЗИ).

Общедоступные ПДн

К ним относятся данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта (например, информация в профессиональных соцсетях вроде LinkedIn или HeadHunter) или которые в соответствии с федеральными законами не подлежат сокрытию (например, данные из ЕГРЮЛ/ЕГРИП, реестра избирателей). Их обработка осуществляется в упрощённом порядке, но с обязательным соблюдением общих принципов 152-ФЗ, таких как законность целей и ограничение обработки этими целями.

Важный нюанс для разработчиков: если общедоступные данные загружаются в вашу информационную систему и начинают обрабатываться в комплексе с другими данными, не являющимися общедоступными, весь массив может утратить статус «общедоступного» и потребовать применения стандартных или усиленных мер защиты в соответствии с моделью угроз ФСТЭК.

Биометрические ПДн

Это сведения, которые характеризуют физиологические и биологические особенности человека и используются оператором для установления его личности. Ключевая фраза — «используются для установления личности». Не всякая фотография является биометрией: снимок в личном деле — это, как правило, просто ПДн, а вот цифровой шаблон лица, созданный системой контроля доступа для верификации,, это уже биометрические ПДн.

Примеры: отпечатки пальцев, изображение лица (для систем распознавания), образец голоса, радужная оболочка глаза, анализ ДНК, геометрия ладони.

Их обработка, согласно ст. 11 152-ФЗ, требует письменного согласия субъекта, за исключением строго ограниченных случаев, предусмотренных законом (например, в целях обороны, безопасности, борьбы с преступностью, оперативно-розыскной деятельности, проведения судмедэксптизы).

С технической точки зрения, для хранения биометрических шаблонов предъявляются повышенные требования. ФСТЭК рекомендует хранить их отдельно от других идентификаторов (ФИО, номера пропуска) и использовать криптографическую защиту. Попытка создать собственную систему биометрической аутентификации без проведения обязательной оценки соответствия (сертификации) средств защиты информации чревата серьёзными штрафами.

Специальные категории ПДн

Закон относит к ним данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка таких данных, по общему правилу, запрещена (ст. 10 152-ФЗ).

Разрешаются исключительные случаи, например: получено явное письменное согласие субъекта; данные сделаны общедоступными самим субъектом; обработка необходима для установления или осуществления прав субъекта; обработка осуществляется медицинской или реабилитационной организацией; обработка необходима в связи с осуществлением правосудия. Для IT-проектов, связанных со здравоохранением (медицинские информационные системы), это означает необходимость реализации особых организационных мер и, как правило, применение самых высоких уровней защищённости ИСПДн по классификации ФСТЭК.

Иные категории в практической плоскости

На практике, особенно при построении систем защиты, операторы классифицируют данные по иным, более прикладным критериям, часто опираясь на документы ФСТЭК.

  • ПДн, обрабатываемые в ИСПДн. Это центральное понятие для технического специалиста. Как только вы начинаете автоматизированную обработку ПДн с использованием средств вычислительной техники, вы создаёте информационную систему персональных данных (ИСПДн). Для неё в обязательном порядке определяется уровень защищённости (всего их 4), строится модель угроз и реализуется система защиты в соответствии с приказами ФСТЭК. Уровень зависит от объёма и категории обрабатываемых данных, а также от актуальности угроз.
  • Обезличенные данные — сведения, которые не позволяют определить субъекта без использования дополнительной информации, хранящейся отдельно и защищённой от несанкционированного доступа. Их обработка не подпадает под действие 152-ФЗ. Однако процесс обезличивания должен быть необратимым для оператора. Простое удаление столбца «ФИО» из базы данных недостаточно, если остаются другие уникальные сочетания признаков. Методы обезличивания (аггрегация, псевдонимизация, добавление шума) должны быть тщательно проработаны.
  • Данные сотрудников (кадровые данные). Обработка осуществляется в рамках трудовых отношений на основании ст. 86 ТК РФ и 152-ФЗ. Часто для таких ИСПДн актуальны типовые модели угроз, разработанные ФСТЭК, что упрощает процесс построения СЗИ.

Что не является персональными данными

Чёткое понимание границ понятия не менее важно, чем само определение. Это позволяет оптимизировать затраты на защиту информации и избежать избыточного регулирования. Не является ПДн в контексте 152-ФЗ:

  • Информация о юридическом лице (название компании, ИНН, КПП, юридический адрес, финансовые показатели). Однако данные о представителе компании (например, генеральном директоре), выступающем как физическое лицо,, это ПДн.
  • Анонимные данные, не относящиеся к конкретному физическому лицу. Например, статистика: «60% пользователей нашего сервиса — мужчины 25-34 лет». Ключевое условие — невозможность даже теоретически выделить из этой выборки конкретного человека.
  • Данные о человеке, который уже умер. Закон защищает персональные данные только живых физических лиц. Но следует помнить о возможных смежных правах (например, на охрану изображения гражданина).
  • Данные, надёжно и необратимо обезличенные. Как уже отмечалось, это данные, которые не могут быть обратимо сопоставлены с конкретным человеком силами оператора, у которого отсутствует специальный ключ или таблица соответствия, хранящаяся в соответствии с требованиями к защите ПДн.
  • Служебная информация, не связанная с характеристикой личности. Например, логи системного мониторинга, содержащие только технические параметры работы учётной записи без привязки к её владельцу. Но как только в этих логах появляется информация о действиях пользователя (например, «пользователь Иванов И.И. отредактировал документ Х»), они превращаются в ПДн.

Роль ФСТЭК в регулировании защиты ПДн

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является ключевым регулятором в области технической защиты информации, включая ПДн. В то время как Роскомнадзор фокусируется на соблюдении общих правовых норм (согласие, уведомление, права субъектов), ФСТЭК задаёт конкретные «технические правила игры» для информационных систем.

В её компетенцию входит:

  • Установление требований по защите ПДн при их обработке в информационных системах. Это, в первую очередь, приказы ФСТЭК, которые являются обязательными для исполнения государственными органами и для большинства коммерческих операторов при построении ИСПДн. Базовые документы: Приказ № 21 (общие требования), Приказ № 17 (обезличивание), Приказы о моделях угроз и методах их актуализации.
  • Утверждение методик и моделей угроз безопасности ПДн. ФСТЭК предоставляет как типовые модели угроз (для распространённых случаев, например, кадровых ИСПДн), так и методику разработки частных моделей угроз. Разработка такой модели — обязательный этап, на основе которого определяется набор необходимых средств защиты информации.
  • Сертификация средств защиты информации (СЗИ). Средства защиты, используемые в ИСПДн (межсетевые экраны, системы обнаружения вторжений, средства криптографической защиты информации), должны быть сертифицированы по требованиям ФСТЭК или ФСБ России. Использование несертифицированных СЗИ может быть расценено как невыполнение требований по защите ПДн.
  • Надзорная деятельность. ФСТЭК осуществляет надзор за выполнением требований по защите информации в государственных информационных системах и системах критической информационной инфраструктуры (КИИ). Для коммерческих организаций проверки ФСТЭК чаще инициируются по поручению Роскомнадзора, если тот выявляет признаки недостаточности технических мер защиты в ходе своей проверки.

для оператора, создающего ИСПДн, путь к легальной обработке данных лежит через чёткий алгоритм: 1) определить тип обрабатываемых ПДн и категорию ИСПДн; 2) разработать (или выбрать типовую) модель угроз; 3) на её основе сформировать требования к системе защиты; 4) внедрить сертифицированные СЗИ и организационные меры. Игнорирование этого пути, попытка ограничиться только юридическими документами (политиками, согласиями) без реализации технических мер — прямой риск попасть под санкции регуляторов.

Практические шаги для IT-компании: с чего начать

Для российской IT-компании, разрабатывающей продукт или внутреннюю систему, работающую с данными пользователей или сотрудников, следующий алгоритм действий является базовым.

  1. Инвентаризация и классификация. Составьте полный реестр всех информационных ресурсов, которые хранят или обрабатывают данные о физических лицах. Для каждого ресурса определите, какие именно ПДн обрабатываются, их категорию (обычные, биометрические, специальные) и контекст обработки (сотрудники, клиенты, посетители сайта).
  2. Определение правового основания. Для каждого случая обработки должно быть определено основание, указанное в ст. 6 152-ФЗ: согласие субъекта, договор, исполнение закона, защита жизни и здоровья, осуществление профессиональной деятельности журналиста и т.д. Это юридическая задача, но её результат влияет на технические требования.
  3. Отнесение ИС к определённому типу и уровню защищённости. На основе объёма и категорий данных определите, является ли ваша система ИСПДн, и если да, то к какому уровню защищённости (1-4) она относится согласно приказу ФСТЭК № 21. Этот этап лучше проводить с привлечением специалистов по информационной безопасности.
  4. Разработка модели угроз и модели нарушителя. На основе типовых документов ФСТЭК или с привлечением экспертов разработайте частную модель угроз безопасности ПДн для вашей системы. Это документ, который описывает, от кого и какие угрозы исходят.
  5. Планирование и внедрение системы защиты. Исходя из модели угроз и требуемого уровня защищённости, спроектируйте и внедрите систему защиты. Она будет включать как технические меры (СЗИ, настройки ОС и СУБД, шифрование), так и организационные (регламенты, инструкции, обучение сотрудников).
  6. Документирование и поддержание процесса. Вся деятельность по защите ПДн должна быть документирована: Политика в отношении обработки ПДн, приказы о назначении ответственных, журналы учёта носителей и т.д. Система защиты не статична — её необходимо актуализировать при изменении ИС или модели угроз.

Следование этой логике не только минимизирует правовые риски, но и формирует у клиентов и партнёров доверие к компании как к ответственному оператору данных.

Оставьте комментарий