В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться  фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.

Категории персональных данных, обрабатываемых в Информационных Системах Персональных Данных.

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:

• Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
• Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
• Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПДн.
• Категория 4 – обезличенные и (или) общедоступные персональные данные.

Оператор персональных данных

Согласно Закону №152-ФЗ операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Под обработкой ПДн понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.

Исходя из определения, можно сделать вывод о том, что все без исключения организации или компании независимо от форм собственности являются операторами персональных данных, поскольку они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках в соответствии с российским законодательством (Трудовой Кодекс РФ). Помимо этого многие компании по роду своей деятельности обрабатывают сведения о своих клиентах, партнерах, поставщиках и субподрядчиках, которые им необходимы для выполнения функций в соответствии с их назначением.

Обеспечение безопасности ПДн, обрабатываемых в информационных системах персональных данных (ИМПДн)

Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПДн при их обработке в ИСПДн полностью возлагается на оператора персональных данных. В связи с этим оператор обязан:

• проводить мероприятия, направленные на предотвращение несанкционированного доступа (далее НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
• своевременно обнаруживать факты НСД к персональным данным;
• не допускать воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
• незамедлительно восстанавливать ПДн, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
• осуществлять постоянный контроль за обеспечением уровня защищенности ПДн.


Какие ИСПДн существуют?

Персональные данные обрабатываются в массе приложений. Их количество может варьироваться от 3 до 5 в малых и средних компаниях, от 30 до 50 – в крупных компаниях. К информационным системам персональных данных могут быть отнесены:

• CRM-системы (данные о клиентах – физических лицах и представителях клиентов – юридических лиц);
• биллинговые системы (данные о клиентах, осуществляющих оплату услуг);
• автоматизированные банковские системы (данные о сотрудниках банка, о клиентах, партнерах и т.п.);
• автоматизированные медицинские системы (данные о пациентах и т.п.);
• Call-центры (данные о клиентах и сотрудниках в зависимости от предназначения call-центра);
• кадровые системы (данные о сотрудниках организации);
• бухгалтерские системы (данные о сотрудниках и клиентах организации);
• системы документооборота (данные о сотрудниках организации, клиентах, партнерах);
• почтовые системы (данные о сотрудниках организации, клиентах, партнерах, заполненные карточки в адресных книгах почтовых систем и т.п.);
• автоматизированные системы бюро пропусков (данные о посетителях).