По определению Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера, персональные данные означают любую информацию об определенном или поддающемся определению физическом лице.
По Федеральному закону "О персональных данных", к персональным данным относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
К персональным данным можно отнести, например: паспортные данные, место регистрации, ИНН, банковские реквизиты, медицинскую информацию, информацию о профессиональной деятельности, доходы и расходы граждан, национальность, вероисповедание, партийная принадлежность и многое другое.

Защита персональных данных — это комплекс организационных и технических мер исключающих доступ к информации, содержащей персональные данные, лиц, не обладающих соответствующими полномочиями, а также исключающих возможность неправомерного использования такой информации.

Неправомерное искажение, фальсификация, уничтожение или разглашение информации наносит серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия. Для граждан, от степени защищенности информации персонального характера зависит физическая и имущественная безопасность субъектов персональных данных, а для операторов — обеспечение надлежащего функционирования организации.

Физическое лицо.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

В соответствии с Федеральным законом "О персональных данных", Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Однако, на данный момент, такие требования Правительством Российской Федерации не разработаны и операторы обязаны принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий по своему усмотрению.
Для граждан основным способом защиты их персональных данных будет проявление бдительности при предоставлении кому-либо информации личного характера, а также знание прав и обязанностей, которыми наделяет Федеральный закон операторов информационных систем и субъектов персональных данных.

Лица, виновные в нарушении требований Федерального закона "О персональных данных", несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является Федеральная служба по надзору в сфере связи (Россвязьнадзор).

Закон защищает персональные данные физических лиц, которые находятся у юридического лица.

Закон регулирует отношения связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств.

Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Если данные касаются работников одного предприятия (организации), систему можно относить к типовым класса К3, поскольку целями обработки является идентификация работников и никакой дополнительной информации, кроме позволяющих определить нужное лицо и вступить с ним в контакт, в корпоративном телефонном справочнике нет.

Четкого определения понятию «состояние здоровья» закон не дает. Поэтому можно говорить только об экспертном мнении. Оно таково: сведения об инвалидности, годности к работам и т.п. к сведениям о состоянии здоровья не относятся, поскольку не раскрывают диагноза, который и характеризует состояние здоровья. Причной инвалидности может быть состояние зрения, слуха, опорно-двигательной системы, последствия заболевания и т.д. Запись «инвалид 2-1 группы этой информации не дает. Подобные сведения являются сведениями об ограничении трудоспособности, а не состоянии здоровья.

Любую комбинацию типа ФИО + номер одного из указанных документов, я бы отнес к категории 3, поскольку такая комбинация во-первых - уникальна, а во-вторых – однозначно идентифицирует субъекта. Любой из этих номеров, конечно же, уникален, но без ФИО никак человека не идентифицирует. Для идентификации понадобится база данных, содержащая список таких номеров и привязанные к ним ФИО. А вот если комбинация будет ФИО+ номер + еще номер, то это уже 2 категория персональных данных.

Как Вы понимаете, всё, что у нас есть – это Приказ ФСБ/ФСТЭК/МинСвязи от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Весь вопрос в трактовке. Мы понимаем это так. Возьмем, к примеру, любую анкету. Идентифицировать субъекта можно по его ФИО + паспортные данные, или по ФИО+ адрес и год рождения (тогда это категория 3 ПДн). Все остальное, сведения об образовании, о местах работы, о размерах заработка, номера телефонов, других документов – все это дополнительная информация о субъекте (категория 2 ПДн). Иными словами мы подходим к вопросу категоризирования данных с точки зрения необходимости и достаточности. Если каких-то данных достаточно для идентификации субъекта и они остро необходимы для такой идентификации = категория 3. Всё, что идет сверху – дополнительная информация и категория 2.

Ответ очень простой – К3. Это классическая типовая система, где Хпд=3, поскольку данные только идентифицируют личность, а Хнпд=2, т.к. количество обрабатываемых записей – от 1000 до 100000.

Такая система относится к ИСПДн класса К3 и требует точно такого же обращения, как и все остальные. Вам необходимо будет разработать нормативные документы, а также выполнить требования ФСТЭК по защите однопользовательской ИСПДн класса К3. Плюс, домашний ПК директора наверняка имеет выход в интернет, что требует также дополнительной защиты. Стоит обдумать вариант с бумажным ведением кадрового учета (хотя бы декларативно).

Такие данные можно отнести к персональным данным, если кроме ФИО представителя есть еще хоть какие-нибудь данные, облегчающие его идентификацию. Если Вы сможете доказать, что данные общедоступные (а обязанность доказывать это лежит на операторе ПД), то такая система будет классифицироваться как К4.

В требованиях по обеспечению безопасности ПД при их обработке в ИСПДн есть четкий регламент – разные ИСПДн должны быть отделены друг от друга межсетевыми экранами. В случае если у Вас все базы данных находятся в одном сегменте сети, то они все будут являться подсистемами единой ИСПДн. И будут классифицироваться по максимальному классу ИСПДн, входящей в состав общей. Другими словами, если у Вас 2 базы данных (подсистемы), классифицированных по классу К2 ИСПДн, и одна – классифицированная по классу К1 ИСПДн, то и вся общая единая ИСПДн будет соответствовать классу К1 с соответствующими требованиями по защите.
С другой стороны, в федеральном законе №152 «О персональных данных» есть статья 5 «Принципы обработки персональных данных», один из которых звучит как
«недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных». Соответственно, нужно определить цели создания Ваших баз данных и, если для отдельных баз они будут несовместимы, то придется производить сегментирование и отделять их друг от друга.

На вопрос по аттестации – Вы будете аттестовывать информационную систему. Если у Вас ИСПДн будет много, то и аттестовывать придется их все. Если же они будут признаны подсистемами одной единой ИСПДн, то аттестуете ее одну.