Что входит в понятие персональных данных в РФ?

Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.

Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».

Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица.

Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен.

Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».

Что входит в понятие персональных данных в РФ?

На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте».

То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.

Как быть, если отсутствует однозначность определений

Что входит в понятие персональных данных в РФ?

В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:

Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность.

Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.

Для лучшего понимания ситуации рассмотрим пример:

Что входит в понятие персональных данных в РФ?

Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.

Зачем Роскомнадзор вводит понятие «идентификатора»

И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

  • Номер и серия паспорта.
  • Страховой номер индивидуального лицевого счета (СНИЛС).
  • Идентификационный номер налогоплательщика (ИНН).
  • Биометрические данные.
  • Банковский счет, номер банковской карты.

Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:

  • Фамилия, имя, отчество, дата рождения, место прописки.
  • Фамилия, имя, отчество, дата рождения, должность.
  • Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.

При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные.

Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.

Файлы cookie и персональные данные

Что входит в понятие персональных данных в РФ?

Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска

Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать

Что входит в понятие персональных данных в РФ?

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

  • фамилия, имя, отчество;
  • место, дата рождения;
  • место постоянной или временной регистрации;
  • фотография или видеозапись человека, позволяющие идентифицировать человека;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях, или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
  • биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут.

Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.

ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

  • Немного подробнее по каждой категории.
  • Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
  • Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
  • судимостях.

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят, передают и уничтожают.

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

  • сбор;
  • передача;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

В свою очередь, обработка может осуществляться тремя путями:

  • Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.

Определить срок хранения документа онлайн

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

  • обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
  • обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
  • неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

  • Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  • Отвечать на обращения субъектов и предоставлять им всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
  • Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Смотреть, что будет, если неправильно хранить документы

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

  • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
  • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
  • обработка персональных данных, находящимся в открытом доступе;
  • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
  • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Что входит в понятие персональных данных в РФ? Создайте свой блог, выскажитесь и станьте суперзвездой «Клерка» Создать блог

Защита персональных данных по 152-ФЗ: требования к системам, права и обязанности сторон

Что входит в понятие персональных данных в РФ?

Закон «О защите персональных данных» действует в России уже 14 лет. Он был нужен – ситуация складывается так, что все чаще конфиденциальная информация становится общедоступной. А в последние годы это стало еще актуальнее – регулярно происходят серьезные утечки с крупных ресурсов: фото, пароли, адреса. Так как злоумышленники только и ждут удобного случая нажиться на чужой беде, разберемся, как защитить себя и наказать виновных в утечке информации.

Согласно Федеральному закону 152-ФЗ от 27 июля 2006 года «О защите персональных данных» вся информация, получаемая работодателями, учреждениями, компаниями, соцсетями, продавцами от сотрудников и клиентов подлежит тщательному хранению.

За передачу ПД третьим лицам предусмотрена административная и, в редких случаях, уголовная ответственность.

При этом для получения любой частной информации должен быть назначен уполномоченный человек, который будет заниматься обработкой полученных данных и обеспечит их сохранность.

Собирать персональные данные можно только с согласия от опрашиваемого человека. При этом устного разрешения зачастую будет недостаточно – лучше потратить время и подписать небольшое соглашение или предусмотреть поле с требованием поставить галочку (если это интернет-ресурс) о согласии на обработку переданных ПД, чем в дальнейшем доказывать свою правоту.

Что же касается предмета закона, то под понятием персональных данных стоит понимать информацию, которая относится к конкретному человеку и помогает определять его личность.

Последние серьезные изменения были приняты в июле 2017, по которым усилились требования к хранению персональных данных и ужесточилась ответственность за несоблюдение установленных правил.

Кому пригодится этот закон?

Закон важен для каждого. Все мы, так или иначе, передаем информацию о себе разным учреждениям и организациям, а потом надеемся, что ее не передадут посторонним.

Например, банки запрашивают наши паспортные данные и сведения о доходах, продавцы в интернет-магазинах получают номера телефонов, электронную почту и личные данные с днем и местом рождения.

А в соцсетях вообще выставляется вся своя жизнь.

Поэтому самая главная цель закона – обеспечение защиты интересов и прав обычных людей.

В свою очередь, нормы закона должны знать и четко исполнять все владельцы сайтов, которые имеют на своей странице:

  • возможность зарегистрировать и использовать личный кабинет;
  • анкеты с личными данными;
  • форма для оформления рассылки, заказа или обратной связи;
  • сбор личной информации или биометрических данных.

В этих случаях ресурс оперирует персональными данными – а потому должен обеспечивать их сохранность.

Что конкретно имеется в виду под персональными данными?

Российское законодательство определяет как минимум 6 основных категорий персональных данных:

  1. Общие или общедоступные. Это данные, которые не относятся к конфиденциальным. Найти их можно в общедоступных базах, справочниках, адресных книгах. Чаще всего такая информация находится в свободном доступе в соцсети. К таким данным относят: ФИО, место жительства или регистрации, место работы или вид занятости, номер телефона.
  2. Специальные. Это такие данные, которые чаще всего находятся в закрытом доступе, а для их обработки нужно получить личное письменное согласие субъекта. К подобному виду информации относят данные о судимости, национальной принадлежности, личной жизни, состоянии здоровья, политических взглядов, религиозных убеждений. Узнать все это можно только лично от человека, или сделать официальный запрос в уполномоченную службу. Однако если дело касается правонарушений и информация нужна для следствия, тогда запрос на получение информации передается уполномоченным лицом под его личную ответственность.
  3. Биометрические. Это ряд данных, которые определяют физиологические или биологические особенности человека и применяются, чтобы установить личность. К биометрическим данным относятся:
    • фотография;
    • отпечаток пальца или сетчатка глаза;
    • зубная карта;
    • группа крови;
    • запись образца голоса;
    • другая генетическая информация.

    При этом важно помнить, вся эта информация является биометрической, если используется для идентификации личности, а не общего сбора данных о человеке.

  4. Персональные данные работников. Сюда входит вся та информация, которую получает работодатель о своем сотруднике в процессе трудового взаимодействия. Эти данные защищаются дополнительно статьями ТК РФ.
  5. Персональные данные в интернете. Вся дополнительная информация, получаемая собственниками электронных ресурсов при работе с сайтом: почта, IP-адрес, геолокация, информация о действиях на странице, полученные и отправленные файлы.
  6. Иные или дополнительные данные. Чаще всего к этой группе относят информацию, которая имеет свойство меняться и не носит особой важности или секретности. В эту категорию можно отнести информацию о членстве в обществе или о занятии определенным видом спорта.

Кто отвечает за защиту персональных данных?

Ответственность за защиту данных несет оператор персональных данных. Это может быть любая компания, которая занимается сбором, хранением или обработкой информации.

Компания назначает ответственное лицо – ему передаются полномочия по работе с ПД конкретной категории (клиенты, сотрудники, партнеры и др.).

В случае утечки информации в первую очередь виновным будет тот, кто отвечал за данные по конкретной категории.

Если это электронный ресурс, тогда вся ответственность возлагается на собственника сайта – вне зависимости от того, зарегистрирован ли он как оператор ПД. Если сайт собирает какую-либо информацию, значит по факту собственник уже является оператором.

Если же на сайте нет информации о собственнике ресурса, вся ответственность за распространение информации ложится на администратора домена этого сайта.

Как наказывают виновных в утечке конфиденциальной информации?

Способов множество, но важно, какой именно объем информации распространялся без ведома субъекта и какой ущерб это ему причинило.

Максимальная известная компенсация за утерю персональных данных – 14 миллионов рублей, это было в 2018 году.

Для обеспечения максимальной безопасности все российские компании обязаны хранить информацию на российских серверах. А за неправильное использование данных будут штрафовать:

  1. У компании нет четко разработанной политики работы с персональными данными – штраф от 3 до 6 тыс. для сотрудников, и от 15 до 30 тыс. для компаний.
  2. Информация раскрылась из-за халатности работника – штраф от 4 до 10 тыс. и от 25 до 50 тыс. соответственно.
  3. От 5 до 10 тыс. для сотрудников и от 30 до 50 тыс. для организации – если ведется неправильный или излишний сбор информации без последующей чистки ненужного.
  4. Отказ от удаления данных по требованию субъекта – от 4 до 10 тыс. и от 25 до 45 тыс. соответственно.
  5. При разглашении ПД путем передачи информации о размере зарплаты, передача данных о клиенте в другую фирму: от 10 до 20 тыс. и от 15 до 75 тыс. соответственно.

Помимо штрафов, сотрудника компании могут уволить. А в некоторых особо критичных ситуациях могут быть применены меры уголовного наказания: условные сроки и даже реальное заключение.

Номера телефонов, страницы друзей в соцсети – тоже ПД, и за их хранение и передачу могут наказать?

Нет, не могут. Если вся вышеуказанная информация хранится не в коммерческих целях, а по факту используется для личных нужд, тогда она не является конфиденциальной.

Важен именно процесс использования полученных данных. При передаче номера для личного использования и при соответствующем согласии субъекта персональных данных никакого нарушения нет.

Но если передать номер в частную компанию, к примеру, сетевому продавцу косметики, банку, страховой, или другой организации без ведома собственника персональных данных, а эта организация начнет навязывать свои услуги, то это будет уже незаконное распространение конфиденциальных данных.

В подобной ситуации к ответственности можно привлечь как человека, передавшего ваши данные, так и компанию, которая незаконно воспользовалась полученной информацией. Обращаться можно сразу в Роскомнадзор, который привлечет виновных лиц к ответственности.

Существует ли точный список информации, являющейся персональными данными?

Да, есть строго установленные категории с точным списком данных, которые относят к персональным. Но в зависимости от сферы применения тех или иных данных они могут не подпадать под раздел конфиденциальных.

Следовательно, если вы осуществляете сбор этих данных в качестве оператора, позаботьтесь о получении разрешения на использования полученной информации. Ведь при возникновении судебного спора ответчик должен иметь возможность доказать, что обрабатываемая информация была получена по согласованию сторон.

Как обезопасить себя операторам персональных данных?

Самые простые правила для операторов ПД состоят в том, чтобы четко следовать должностным инструкциям, а именно:

  • оповещать, что ведется сбор информации;
  • получать информацию только по согласию другой стороны;
  • собирать только действительно нужные данные;
  • своевременно удалять устаревшую информацию;
  • применять полученную информацию только в заранее оговоренных целях;
  • держать в открытом доступе информацию о системе обработки персональных данных вашим ресурсом и ее надежности;
  • честно рассказывать о том, как будет применяться информация;
  • соблюдать все нормы и правила сохранности и достоверности полученной информации;
  • при первом требовании удалять ранее полученную информацию;
  • использовать современные системы безопасности для предупреждения утечки.

Если компания нашла в общем доступе мобильный номер, ее можно наказать за навязывание услуг?

Конечно! Именно это и является главным нарушением при использовании чужих персональных данных.

Если организация нашла в свободном доступе номер (на столбе, в рекламе, в личной переписке, со слов другого клиента) это еще не дает ей право свободно им распоряжаться.

Если номер был указан в объявлении, то использовать его могут только лица, звонящие по конкретному объявлению в личных целях.

Если же страховая компания предлагает оформить страховой полис, получив номер из объявления, то эти действия незаконны. Человек не давал компании права на обработку его личных данных, а тем более права предлагать ему свои услуги без получения на это соответствующего согласия.

Возможно ли сохранить свои персональные данные от утечки?

Конечно, если следовать определенным правилам:

  1. Не раздавать свою конфиденциальную информацию посторонним.
  2. При регистрации на неизвестном ресурсе придумывать уникальный и сложный пароль для входа.
  3. Не применять одинаковые пароли к разным сайтам – так учетную запись будет проще взломать.
  4. Использовать многоуровневую защиту: привязка одного или нескольких адресов электронной почты и действующего номера мобильного.
  5. Требовать документ с запретом на разглашение вашей конфиденциальной информации, если она передается третьим лицам (банки, организации).
  6. Не выкладывайте слишком личную информацию в сеть, даже в частной переписке. Подобные диалоги часто взламываются и могут стать достоянием общественности.

Подумайте о том, что в скором времени конфиденциальной информации может попросту не стать. Мы сами создаем обстановку, когда вся информация о нашей жизни становится общедоступной. Позаботьтесь о себе сами, и знайте свои права.

Понятие персональных данных

Данное понятие содержится в ФЗ «О персональных данных» от 27 июля 2006г. №152-ФЗ

Под персональными данными, согласно указанному закону, понимаются любые сведения, относящиеся к прямо или косвенно, определенному или определяемому физическому лицу, т.е., субъекту персональных данных.

К персональным данным может относится любая информация, начиная с самой простой: ФИО субъекта персональных данных, дата и место рождения, и заканчивая наиболее специфическими: сведения об уровне доходов, судимостях, болезнях, образовании.

Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты.

Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина.

Действующие в отношении них ограничения снимаются при наличии согласия обладателя персональных данных. Последнее предполагается также и в том случае, когда субъект выполняет ряд возложенных на него обязанностей, например при оформлении паспорта, регистрации актов гражданского состояния и т.п.

41 вопрос.

Система законодательства о защите персональных данных.

Законодательство в области ПД основывается на Конституции РФ и международных договорах РФ и состоит из ФЗ «О персональных данных» и иных ФЗ определяющих случаи и особенности обработки ПД. Включает в себя также НПА гос-х органов, которые принимаются на основании и во исполнение ФЗ «О персональных данных», эти акты касаются обработки ПД.

За нарушение требований ФЗ «О ПД» лица несут ответственность в соответствии с законодательством РФ. К таким видам ответственности относится дисциплинарная, уголовная и административная.

  • В ТК РФ предусмотрена ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
  • КоАП также предусматривает ответственность за отказ в предоставлении информации, нарушение установленного законом порядка сбора, хранения, использования или распространения информации являющейся ПД, за нарушение правил защиты информации, непредоставление сведений.
  • УК РФ содержит нормы об ответственности за нарушение неприкосновенности частной жизни, отказ в предоставлении гражданину информации.
  • 42 вопрос.

Ликбез по персональным данным для компаний, которые их обрабатывают — Офтоп на vc.ru

Термины, нюансы и частые заблуждения — в материале от экспертов службы безопасности компании «Онланта» (входит в группу компаний ЛАНИТ).

Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде.

Главный закон, который регулирует отношения, связанные с обработкой персональных данных — это Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

Первый термин, который требуется понимать, — персональные данные.

Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. Вы спросите: «А что, моя фамилия, напечатанная на визитке, — это тоже персональные данные?»

Ответ: «Да». По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье — персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже.

Идём дальше. В СМИ постоянно пишут «хранение персональных данных». Правильно говорить не хранение, а обработка персональных данных.

В чём разница? Хранение — это лишь часть того, что называется обработкой персональных данных.

Любые действия, которые вы совершаете с персональными данными (собираете, накапливаете, храните, передаёте, изменяете), в законе обозначены как «обработка персональных данных».

Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработчик — это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее.

На самом деле, обработчик — это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике.

У интернет-магазина есть база данных клиентов, которая размещена в «облаке» сторонней компании. С этой базой работает маркетинговое агентство. Вопрос: сколько операторов персональных данных мы имеем?

Правильный ответ — одного. Это интернет-магазин, который задаёт цели обработки персональных данных. Второй вопрос: сколько обработчиков персональных данных мы имеем? Правильный ответ — два.

  1. Компания, в облаке которой размещена база данных интернет-магазина.
  2. Маркетинговое агентство, которое извлекает данные и на основе этих данных может подготовить рекламное предложение клиентам.

Персональные данные обрабатываются во множестве различных учреждений: например, в банках, школах, поликлиниках, визовых центрах. Не говоря уже про интернет-страницы, где мы регистрируемся, оставляя свои адреса электронной почты и телефонные номера. Но как и где именно?

В законе есть такой малопонятный термин, как «информационная система персональных данных». Если попытаться объяснить простыми словами — это целый комплекс, состоящий из серверов баз данных, технических средств, обеспечивающих их обработку, и информационных технологий. В соответствии с законодательством любую информационную систему персональных данных необходимо защищать.

Методы защиты информации бывают разными.

  • Физическими: например, в комнате, где расположены компьютеры, могут быть установлены камеры, использоваться пропускной режим, сигнализация.
  • Техническими — c помощью специализированных средств защиты информации.
  • Административными: всевозможные регламенты и правила, регулирующие обработку персональных данных внутри компании.

Одно из средств защиты информации — это обезличивание персональных данных. Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу.

Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные?»

Да, если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.

Да, если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.

Да, если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров — это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

И снова да, если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях — там море личной деликатной информации, которую необходимо надёжно хранить.

Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

Главное — не разглашать данные рекламодателям и не публиковать их без разрешения владельцев персональных данных в открытом доступе.

Поздравляем, вы — гордый обладатель звания «оператор персональных данных». Самое важное теперь — понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. N 1119.

Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные — это данные из СМИ или интернета.

Определение понятия персональных данных в Российской Федерации



В последнее время, в связи с бурным развитием автоматизированных систем сбора, хранения и обработки данных, позволяющих за незначительный отрезок времени передавать большое количество данных не только внутри страны, но и за её пределы, стал актуальным вопрос о защите конституционного права на неприкосновенность частной жизни, личную и семейную тайну при использовании персональных данных.

Действительно, благодаря такому стремительному развитию обмен информацией в мире стал более быстрым и легким. Однако наряду с имеющимися преимуществами есть и недостатки.

В частности, одним из таких недостатков является: формирование принципиально новых факторов, носящих угрозы для права граждан на невмешательства в частную жизнь.

Так, к числу таких факторов можно отнести, например, появление баз и банков данных.

Для того чтобы понять, где та самая грань невмешательства необходимо правильно понимать содержание понятия «персональные данные», уметь определять какие сведения о человеке подпадают под данную категорию, а какие нет.

Понятие персональных данных в Российской Федерации

История вопроса об использовании и защите персональных данных в нашей стране началась лишь в начале 2000-ых годов, а именно, 7 ноября 2001 года, когда Россия подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS № 108.

Тем самым, наше государство возложило на себя обязательства по приведению в соответствии с нормами европейского законодательства деятельности в области защиты прав субъектов персональных данных.

Можно сказать, что именно с этого времени в России началось бурное и стремительное формирование качественной нормативно-законодательной базы в данной сфере деятельности. Однако это вовсе не означает, что до 2000-ых годов в нашей стране не предпринимались никакие попытки урегулирования данной сферы.

Так, в частности, если говорить об определении персональных данных, то его можно было встретить во многих актах и до подписания и ратификации Конвенции.

Например, Федеральным законом от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите информации» (далее Закон № 24) впервые на законодательном уровне было закреплено понятие «персональные данные».

Согласно статье 2 упомянутого закона к персональным данным относились «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность» [1].

Однако исследуя данное определение, можно с уверенностью сказать, что оно часто подвергалось критике в научной литературе, поскольку к персональным данным могли относиться только те сведения, которые собирались в целях идентификации ранее неизвестного лица, в то время как информация может собираться и об уже известном лице [2, с. 77–86].

Кроме Закона № 24 вышеупомянутое спорное понятие также было использовано при определении персональных данных гражданского служащего в Указе Президента Российской Федерации от 30 мая 2005 г.

№ 609 «Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», где под персональными данными гражданского служащего понимаются «сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле либо подлежащие включению в личное дело» [3].

Также следует отметить, что исследуемое понятие встречалось и до сих пор встречается в действующем на сегодняшний день «Перечне сведений конфиденциального характера», утвержденном Указом Президента РФ от 6 марта 1997 № 188 (ред. от 13.07.

2015), в котором установлено, что к сведениям конфиденциального характера, в частности, относятся «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях». Необходимо обратить внимание, что согласно данному Перечню персональные данные отнесены к информации, имеющей конфиденциальный характер. Однако и это определение, точно так же, как и определение, содержащееся в Законе № 24, не является бесспорным.

Таким образом, приведя вышеуказанные примеры, преследовала своей целью разрушить сложившийся у многих в обществе стереотип по поводу того, что Россия до 2000-ых годов никак не регулировала деятельность в области защиты прав субъектов персональных данных.

Более верный и разумный подход избрали авторы принятого 27 июля 2006 года Федерального закона № 152-ФЗ «О персональных данных» (далее Закон № 152), где в статье 3 постарались дополнить и конкретизировать понятие персональных данных по сравнению с ранее существующими.

Если говорить обобщенно об этом законе, а не только об исследуемой дефиниции, можно сказать, что его принятие относится к первой попытке установления комплексного правового регулирования защиты персональных данных.

Причиной его принятия, в частности, послужили имевшиеся на тот момент многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа [4].

Можно сделать вывод, что Закон № 152 был принят для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Его основой стали: базовые принципы и условия обработки персональных данных; указание на права субъекта персональных данных, а также на обязанности оператора; механизмы контроля и надзора за обработкой персональных данных; определение ответственности за нарушение требований данного закона.

Итак, возвращаясь к исследуемой дефиниции, возникает вопрос: что получилось у авторов принятого закона? У них получилось следующее определение: «персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой данных физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» [5]. Как видно, данное определение стало наиболее конкретизированным. Представляется, что с помощью него должны были решиться многие проблемы, встречающие в правоприменительной практике, однако, наоборот, оно в некотором роде только усугубило сложившуюся ситуацию: так, у судов наибольшую проблему стало вызывать содержание формулировки «другая информация», указываемая после перечисления конкретных данных о человеке.

Сразу хотела отметить, что несмотря на то, что на данный момент законодательное определение персональных данных претерпело некоторые изменения, а именно, в июле 2011 года были внесены поправки к Закону № 152, где, в частности, также был изменен понятийный аппарат (изменение коснулось исследуемой категории), суды при разрешении дел достаточно часто раскрывают понятие персональных данных именно через положения старой редакции закона.

Что касается новой редакции закона, то в ней понятие «персональные данные» было приведено в соответствие с понятийным аппаратом, закрепленным Конвенцией ETS № 108, и включает в себя «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Таким образом, видно, что законодатель существенно сократил легальное определение по словесной нагрузке (в нем стало намного меньше слов), однако по смысловой нагрузке оно стало более общим. Таким образом, теперь практически любую информацию о человеке можно определить как персональные данные.

Также «кануло в лету» не менее спорная часть понятия «позволяет идентифицировать», что, на мой взгляд, ставит перед правоприменителями проблему следующего характера: отнесение к персональным данным тех или иных сведений, которые, по сути, не всегда позволяют идентифицировать конкретного человека, например, совпадение ФИО у нескольких лиц.

Представляется, что подобной поправкой Закона № 152 законодатель пытался устранить возможные ограничения в толковании понятия персональных данных. Однако, на мой взгляд, эта попытка была безуспешна.

Проблемы толкования определения персональных данных вРоссийской Федерации

Для выявления проблем, встречающихся при толковании понятия «персональные данные», было проанализировано 20 решений судов общей юрисдикции, включая решения судебных коллегий по гражданским делам, а также решения мировых судей по делам об административной ответственности.

12 решений были вынесены в городе Санкт-Петербург и Ленинградской области, 8 решений были вынесены преимущественно в городе Москва, а также в других регионах нашей страны.

Решения подобраны с учетом возможной разнообразности в понимании судами понятия «персональные данные» за период 2012–2015 годов.

Итак, что же получилось? К сожалению, не было выявлено ни одного судебного решения, в котором бы у суда или сторон возникал вопрос о том, является ли некоторая информация персональными данными или нет. Суды достаточно уверенно относят всё, что прямо или косвенно относится к определенному или определяемому физическому лицу, к персональным данным.

Например: содержание кадастрового паспорта (Апелляционное определение от 28 апреля 2014 г. по делу № 33–3718); адрес индивидуального предпринимателя (Апелляционное определение от 24 апреля 2014 г. по делу № 33–4427/2014); информацию об имуществе лица (Апелляционное определение от 27 декабря 2013 г.

по делу № 33–5805/2013); информацию о пересечении государственной границы гражданином (Апелляционное определение от 10 апреля 2014 г. по делу № 33–11688); условия трудового договора работника (Апелляционное определение от 23 октября 2013 г. по делу № 33–4172/2013); идентификационный номер налогоплательщика (Решение от 13 августа 2014 г.

№ 2–3097/2014); реквизиты банковской карты лица (Решение от 11 марта 2014 г. по делу № 2–592/2014) и т. п. Нельзя сделать вывод, говорящий о том, что суды уверенно и обоснованно толкуют легальное определение персональных данных, так как каждый суд использует свои способы толкования.

При этом нынешнее толкование судами понятия персональных данных в большинстве своём представляет не что иное как цитирование устаревшей редакции Закона № 152. Это можно проследить в следующих судебных решениях: Кассационное определение от 1 августа 2011 г. по делу № 33–7668; Определение от 9 декабря 2014 г. № 3–1241/2014.

Исходя из этого, представляется логичным вывод о том, что осуществлённое законодателем изменение (внесение в текст закона поправок) практически не повлияло на практику судов в части толкования понятия персональных данных, так как фактически бывшая легальная часть определения теперь стала частью толкования.

Неудачность нынешнего легального понятия состоит также в том, что оно настолько широко, что может включать в себя как данные, являющиеся информацией ограниченного доступа о субъекте, так и данные, по сути, не являющиеся персональными данными ввиду каких-либо особенностей.

Такое широкое толкование, часто используемое судами, далеко не всегда свидетельствует о повышении уровня защиты прав субъекта персональных данных, поскольку формальное обращение к защите таких сведений способно привести к существенному нарушению прав, гарантированных другими законодательными актами, зачастую более важными, нежели право на защиту персональных данных.

Всё же, не смотря на достаточно смелое отнесение судами той или иной информации к персональным данным, у судов существуют некоторые критерии, по которым можно распознать персональные данные.

Самым важным и часто встречающимся критерием является возможность идентификации по соответствующим данным конкретного лица.

Не могу согласиться с тем, что данный критерий всегда работает и позволяет судам делать логичные выводы, потому что зачастую данные выводят на совокупность людей, а не конкретное лицо, в этом случае иногда суд не признает это персональными данными.

В конкретных же случаях это оказывается достаточно нелогично, так как не учитываются некоторые субъективные критерии, по которым даже не полно опубликованные данные позволяют большому количеству людей идентифицировать конкретное лицо.

Намного проще ситуация обстоит с теми делами, в которых истцы запрашивают некие данные, касающиеся интересующего их лица. Примером может служить Апелляционное определение от 22 мая 2014 г. по делу № 33–14709. Гражданин подал заявление мировому судье в порядке частного обвинения, в связи, с чем запросил в отделе МВД РФ по району Соколиная гора по г.

Москве паспортные данные граждан, в отношении которых подал исковое заявление. В данном случае необходимое лицо уже идентифицировано и требуется лишь заполучить нужную информацию.

Практика по таким случаям достаточно однозначна — запрашивающим отказывают в предоставлении данных на основании того, что они являются персональными и защищены Федеральным законом № 152-ФЗ «О персональных данных». Указанное ранее Апелляционное определение не стало исключением. В нем также последовал отказ.

В таких ситуациях информация может быть предоставлена только с согласия лица, чьи персональные данные подлежат разглашению. Исключением являются случаи, когда соответствующие данные уже находятся в свободном доступе или принадлежат должностному лицу и связаны с его деятельностью по осуществлению своих полномочий.

В итоге хочу подчеркнуть, что сама практика обращения судов к понятию персональных данных достаточно велика, а значит, мой анализ судебных решений на выявление проблем толкования понятия является достаточно узкой выборкой.

Несомненно, для более уверенных выводов необходимо исследование сотен решений различных судов, тогда полученные результаты будут носить достаточно уверенный и непротиворечивый характер.

И всё же, полагаю, что с большой уверенностью можно заявить об одном важном моменте, встречающемся в большинстве решений — это прямое заимствование судами в своих решениях определения персональных данных из старой редакции Федерального закона № 152 «О персональных данных» без указания каких-либо ссылок.

То есть, в этом случае мы видим достаточно неудачное введение изменений законодателем в столь важное понятие.

Преследовалась цель — лишить суды возможности ограниченно толковать понятие персональных данных, а в результате получили настолько более широкое понятие, что судами во многом весьма целесообразно сужается данное понятие.

Персональные данные очень важно разграничивать с другой информацией, поэтому определяющее их понятие должно быть чётким настолько, чтобы не вызывало проблем определить и назвать его границы с другими данным, как ограниченными в распространении, так и свободными и общедоступными данными.

Литература:

  1. Собрание законодательства Российской Федерации. 1995. № 8. Ст.609.
  2. Калятин В. О. Персональные данные в Интернете // Журнал российского права. 2002. № 5. С. 77–86.
  3. Собрание законодательства Российской Федерации. 2005. № 23. Ст. 2242.
  4. Богатыренко З. С. Новейшие тенденции защиты персональных данных работника в российском трудовом праве // Трудовое право. — М.: Интел-Синтез, 2006, № 10.
  5. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» // Собрание законодательства Российской Федерации. 2006. № 31 (ч.1). Ст. 3451.

Основные термины (генерируются автоматически): данные, суд, ETS, информация, дело, конфиденциальный характер, Российская Федерация, Россия, сведение, частная жизнь.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *