Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что включает в себя персональные данные гражданина». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
-
В 2022 году нужно использовать ФСБУ 27/2021: как по-новому работать с документами
2,3 тыс. 0
Персональные данные: подробное руководство и шаблоны документов
Это базовые сведения о гражданах (субъектах персональных данных), большая часть которых отражена в паспорте. Их используют при устройстве на работу, прохождении учебы, армейской службы и вносят в соответствующие документы – военный билет, диплом об образовании, трудовую книжку, личную карточку сотрудника.
Для получения и использования ПД общего характера не требуется письменное разрешение частного лица – достаточно «галочки» в графе обычной или онлайн-анкеты. Общедоступными личные сведения делает именно такая форма согласия.
Специальные данные включают закрытую информацию о частном лице:
- национальность;
- политические убеждения;
- вероисповедание;
- состояние здоровья;
- сексуальные предпочтения.
Распространение таких сведений может нанести человеку существенный ущерб, поэтому большинство из них обрабатывают лишь с его письменного разрешения. Еще жестче ограничения на использование информации о судимости – обработку ПД в этом случае осуществляют на основании закона (вне зависимости от согласия гражданина).
Автоматически определяет тип обращения
- Автоматически проставит теги с точностью 95% по завершении разговора
- Экономит затраты и время ваших сотрудников на прослушивание звонков
- Поможет узнать, какие переговоры приводят к продажам, а какие не окупают вложения в каналы трафика
- Проанализирует продвижение и работу ваших менеджеров по отдельным продуктовым направлениям
- Для оценки и анализа эффективности не потребуется интеграции с CRM
Статья 11. Информация о гражданах (персональные данные)
В разрешении на обработку ПД нет необходимости, если их субъект:
- Является участником договора.
- Подвергается судебному разбирательству.
- Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).
Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:
- сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
- фото или видео с общественных мероприятий или полученные на платной основе;
- ИНН без привязки к другой информации;
- государственные номера транспортных средств.
- данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
- информация, предназначенная для передачи только внутри компании (группы компаний)
Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.
Оператор персональных данных обязан:
- не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта персональных данных, не допускать утечки;
- изменять или удалять сведения по требованию субъекта персональных данных;
- размещать и хранить архив с информацией на российских серверах.
Для защиты ПД применяют организационные меры и технические средства – противовирусное программное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.
При низком уровне защиты личная информация граждан может попасть в руки преступников – воров, мошенников, шантажистов. Оператор за халатное отношение к своим обязанностям будет отвечать перед законом.
- Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
- Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
- Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.
Выделяют несколько видов персональных данных:
- Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
- Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
- Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
- Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Чтобы решить эту проблему, в 2021 году Госдума в 10 раз подняла штрафы за разглашение персональных данных. Для граждан — с 500–1000 рублей до 5000–10 000 рублей, для должностных лиц — с 4000–5000 рублей до 40 000–50 000 рублей. Помимо этого, систематически вносимые в законодательство поправки довели ответственность юрлиц за мелкие нарушения до 200 000 рублей.
Персональные данные для digital-маркетинга: полный гайд и шаблоны документов
- Большинство россиян считают, что за безопасность персональных данных в интернете должны отвечать государство или владельцы сайтов, но не они сами. К цифровой самозащите готов лишь каждый пятый гражданин, следует из результатов опроса, проведённого Аналитическим центром НАФИ.
- Роскомнадзор вправе инициировать судебные иски в отношении операторов персональных данных, которые допустили нарушения. Но сведений об использовании Роскомнадзором такого права практически нет.
Все, что происходит с ПДн — это обработка:
- передача;
- запись;
- хранение;
- извлечение;
- изменение;
- обезличивание;
- анализ;
- удаление.
Сбор — это тоже обработка.
Обработка бывает трех видов:
- Автоматизированная — с помощью СВТ (средств вычислительной техники). Это компьютеры, телефоны и другие электронные устройства, базы данных, программы, скрипты.
- Смешанная — обработка человеком при участии СВТ. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
- Неавтоматизированная — без автоматизации, на бумажных носителях.
Условия. Обработка ПДн должна проходить с согласия субъектов. Для обработки должны быть четкие цели, например, для рассылки. В соответствии с целями, можно обрабатывать только ограниченный набор данных и не больше. Например, для рассылки не нужны паспортные данные и ИНН.
Если информация о субъектах хранится на серверах, жестких дисках, флешках, в облаке или даже в распечатанном виде — это называется хранением персональных данных.
Условия. К обработке ПДн много требований со стороны 152-ФЗ.
- Данных нужно хранить столько, сколько достаточно для выполнения целей обработки.
- Информация должна храниться так, чтобы можно было определить субъекта, не дольше, чем того требуют цели обработки.
- Если данных не хватает или они неточные, то оператор обязан их уточнить или удалить.
- Если есть базы данных с разными ПДн, собранными для разных целей, их нельзя объединять.
- После обработки ПДн должны быть уничтожены или обезличены.
- Если ПДн передаются в другую страну, нужно удостовериться, что там есть подходящая система защиты, а субъект дал на это отдельное согласие (если страна не входит в перечень стран, обеспечивающих адекватную защиту прав субъектов ПДн).
Субъект может в любой момент запросить у оператора (в письменном или электронном виде с помощью усиленной квалифицированной ЭП) какие данные на него есть, цели обработки и состав данных. А если информация неточная или старая — может потребовать ее обновить.
Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.
Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.
Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?
Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.
На основании п. 2.5 указанного документа к личным данным относятся:
- имя, отчество и фамилия гражданина;
- дата его рождения (число, месяц и год);
- место рождения;
- адрес регистрации или место фактического проживания;
- сведения о семейном положении и детях;
- социальное положение;
- данные об имуществе;
- размер и источники дохода;
- сведения об оконченных учебных заведениях;
- профессия и занимаемая должность.
При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.
Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:
- Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
- Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.
Что такое персональные данные. Объясняем простыми словами
Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.
Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.
Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.
В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.
Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.
Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.
Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.
В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.
Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.
Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Примеры:
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Персональные данные: что это такое, как обрабатывать и защищать по закону
Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.
Примеры:
- работодатель, обрабатывающий ПД своих работников;
- продавец, обрабатывающий ПД клиентов-граждан;
- госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
- владельцы сайтов, собирающие ПД пользователей сайта.
Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.
Согласие на обработку ПД должно быть оформлено:
- письменно, если того требует закон (см. выше);
- в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).
Пункты, которые обязательно должно содержать письменное согласие:
- Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
- название организации или Ф.И.О. и адрес оператора;
- цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
- перечень ПД, которые будет обрабатывать оператор;
- информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
- перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
- срок, на который выдано согласие;
- способ отзыва согласия;
- подпись.
Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).
Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.
- Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
- Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
- Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.
Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
- считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
- считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.
Однако оба довода являются спорными.
Причин может быть несколько:
- оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
- оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
- оператор хочет перестраховаться.
Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд 2
. Хотя, по нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей. Еще раз подчеркнем, что в качестве персональных данных можно рассматривать лишь такие сведения, которые не просто относятся к конкретному лицу, но которых при этом достаточно для того, чтобы установить его личность.По этой причине многие суды не рассматривают в качестве персданных человека номер его…
- Свежие
- Посещаемые
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) пункт утратил силу. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
5) пункт утратил силу. (в ред. Федерального закона от 29.07.2017 N 223-ФЗ)
3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации». (в ред. Федерального закона от 29.07.2017 N 223-ФЗ)
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом. (в ред. Федерального закона от 08.12.2020 N 429-ФЗ)
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
Что такое персональные данные
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
В июле 2016 года было введено в действие соглашение о защите конфиденциальности между ЕС и США EU-U.S. Privacy Shield. Данное соглашение является фреймворком, который определяет подходы коммерческих компаний к защищенному обмену ПДн между Евросоюзом и Северной Америкой. Цель такого соглашения — привести в соответствие нормы GDPR по защите ПДн в ЕС и методы обеспечения их безопасности в США. Предшественником данного фреймворка было соглашение Safe Harbor Privacy Principles («Принципы Безопасной Гавани для защиты личных данных»), которое действовало с 2000 по 2015 годы и подтверждало, что методы обеспечения безопасности ПДн в США соответствуют нормам Европейской Директивы 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». Указанное соглашение было подвергнуто критике из-за выявленных фактов целенаправленного постоянного доступа к ПДн европейских граждан со стороны правительства США, в частности, Агентства Национальной Безопасности. Это было учтено Европейским судом, который вынес в октябре 2015 года решение о недействительности Принципов Безопасной Гавани. Таким образом, в настоящее время компании из США, желающие обрабатывать ПДн граждан Евросоюза, должны соответствовать требованиям EU-U.S. Privacy Shield. Подтверждение соответствия осуществляется в виде добровольной самостоятельной сертификации в Министерстве торговли США. Компания-оператор должна выполнять следующие базовые требования, подтверждающие адекватный уровень защиты ею ПДн граждан Евросоюза:
- информирование субъектов об обработке их ПДн, что включает в себя указание на защиту ПДн в соответствии с Privacy Shield в политике компании по защите личных данных (Privacy Policy), уведомление субъектов ПДн об их правах и напоминание об обязанностях самой компании в случае получения законного запроса на предоставление ПДн со стороны государственных органов;
- предоставление бесплатного и доступного инструмента для разрешения споров, что означает обязанность компании в течение 45 дней ответить на жалобы субъекта, предоставить бесплатный правовой механизм оперативной обработки обращений субъектов, участвовать в процедурах рассмотрения жалоб, поступивших от европейских Data Protection Authorities (регуляторов по вопросам защиты данных);
- взаимодействие с Министерством торговли США в части предоставления ответов на запросы, касающихся соблюдения норм Privacy Shield;
- поддержание целостности данных и ограничений на их использование путем лимитирования объема обрабатываемых ПДн до релевантного целям обработки, а также путем соответствия принципам ограничения сроков хранения ПДн;
- обеспечение ответственности за передачу ПДн третьим лицам, что подразумевает:
- в случае третьего лица, выступающего в роли оператора, — соответствие принципам уведомления субъектов и их осознанного согласия (т.н. Notice and Choice Principles), внесение в договор с третьим лицом пунктов об обеспечении им защиты передаваемых ему ПДн (что означает ограничение на использование ПДн, обеспечение адекватного уровня защиты ПДн, уведомление в случае нарушения данных требований);
- в случае третьего лица, выступающего в роли агента, т.е. обработчика, — выполнение требований по передаче ему ПДн только для достижения ограниченных и конкретных целей по защите ПДн на уровне не ниже, чем это осуществляется оператором, по проверке выполнения обработчиком данных требований, по необходимости — уведомления обработчиком оператора в случае невозможности выполнения требований и по прекращению обработки ПДн обработчиком в случае выявленных нарушений;
- открытая публикация отчетов Федеральной торговой комиссии США по оценке и соответствию компании нормам Privacy Shield;
- соблюдение норм защиты полученных компанией ПДн даже в том случае, если она принимает решение выйти из соглашения Privacy Shield.
- Как мы видим, требования, предъявляемые в рамках Privacy Shield, гармонизированы с европейскими нормами защиты ПДн, а также в определенной степени напоминают принципы, задекларированные в отечественном 152-ФЗ.
Персональные данные: ответы на популярные вопросы
В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:
- Общедоступные — те, которые опубликованы в открытых источниках с согласия владельца (если субъект хочет удалить сведения, он может подать заявление оператору либо обратиться в суд). К таким относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, образование.
- Специальные — ПДн, которые касаются сексуальной жизни субъекта, его политических, философских и религиозных воззрений, а также расовой и половой принадлежности. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
- Биометрические — любые биологические либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Оператору для обработки подобных ПДн нужно предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Однако если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических ПДн (в зависимости от ситуации их можно определить как специальные либо общедоступные).
- Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.
Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:
- сведения в муниципальных и государственных ИС;
- личные сведения в полностью автоматизированных системах;
- ПДн, необходимые для агитации политических сил, раскрутки товаров и услуг;
- трансграничная передача данных (когда информация передается за пределы страны).
Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.
Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации. Представьте себе работу кредитно-финансовой или телекоммуникационной компании, которая потеряла хотя бы часть информации о своих клиентах. Долго ли просуществует такая компания на рынке?
Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области ПДн основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.
В 1981 году Совет Европы принял Конвенцию «О защите личности в связи с автоматической обработкой персональных данных». 25 ноября 2005 г. Государственная Дума ратифицировала данную Конвенцию (ФЗ от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»), возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн. Первым шагом в реализации взятых обязательств стало принятие Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных». Закон вступил в силу в январе 2007 года.
Закон № 152-ФЗ определил высокоуровневые требования, которые затем были конкретизированы в подзаконных актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
Каждый из этих актов и документов посвящен отдельным областям и тематикам законодательства и будет раскрываться в дальнейшем по ходу изложения материала. Целью российского законодательства в области ЗПД является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой ПДн, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
Что относится к персональным данным
В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.
Законодательство определяет различные категории персональных данных. К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.
Общедоступные ПДн
Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
Специальные категории ПДн
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
- субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.
Категории персональных данных, обрабатываемых в ИСПДн
Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:
Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПДн.
Категория 4 – обезличенные и (или) общедоступные персональные данные.
Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. Этот параметр может принимать следующие значения:
- В информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта РФ или Российской Федерации в целом.
- В информационной системе одновременно обрабатываются персональные данные от 1000 до 100000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования.
- В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.
Такое категорирование персональных данных необходимо для определения класса ИСПДн, от которого зависят меры по обеспечению безопасности ПДн при обработке в информационных системах.
Биометрические персональные данные
Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.
Исходя из определения биометрических ПДн, к ним относятся фотографии и видеизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения – в системах видеонаблюдения и т.п.
- относящихся к субъектам ПДн, которых с оператором связывают трудовые отношения;
- полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора
и заключения договоров с субъектом ПДн; - относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных
целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн; - являющихся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем (далее ИС), а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов ПДн.
При этом бытует ошибочное мнение о том, что в случае, если нет необходимости регистрироваться как оператор ПДн в Роскомнадзоре (а законом такие случаи предусмотрены), то компания не является оператором ПДн и на нее не распространяются обязанности, предусмотренные законодательством. Более того, таким образом компании пытаются оправдать свое бездействие в области обеспечения безопасности ПДн. Если компания не предпринимает никаких усилий по защите персональных данных, это однозначно расценивается как «невыполнение требований российского законодательства».
В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку. При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку). Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.
Ст. 9 закона «О персональных данных» предполагает согласие гражданина на обработку его персональных данных. Дети — несовершеннолетние граждане, поэтому согласно ч. 1 ст. 64 Семейного кодекса их права защищают родители и законные представители. Давая согласие, родитель подтверждает, что такая обработка является законной и не нарушает права ребенка. Также в любой момент можно отозвать ранее данное согласие на обработку, после отзыва согласия данные должны быть удалены.
Заслуженный юрист России, доктор юридических наук Иван Соловьев:
«Как правило, персональные данные наших детей запрашивают образовательные учреждения и организации здравоохранения. Как законные представители детей родители должны давать согласие на обработку этих данных. В связи с этим родитель имеет полное право запросить информацию о том, каков точный объем собираемых данных и будут ли они передаваться в другие организации. И если будут, то с какой целью. Кроме того, не стоит буднично и поверхностно относиться к процессу передачи персональных данных своего ребенка».
При даче согласия на обработку персональных данных ребенка эксперт советует обратить внимание на следующие детали:
— перечень персональных данных и сроки их хранения;
— цель и способы обработки персональных данных ребенка;
— способ уведомления родителя о факте обработки персональных данных;
— источник получения персональных данных ребенка;
— сведения о должностных лицах, которые получат право, а следовательно, доступ к персональным данным;
— сроки обработки персональных данных;
— способы защиты персональных данных.
Свое согласие на работу с личной информацией несовершеннолетнего ребенка родители должны выразить в письменном виде с обязательной собственноручной подписью.
Изображение человека также относится к его персональным данным, поэтому использование фотографий всех граждан (в том числе детей) регулируется законом. Если фотография ребенка была опубликована в интернете без согласия родителей, они вправе обратиться с жалобой в прокуратуру, а если публикация фотографий причинила ребенку (или его представителям) нравственные страдания, родители могут обратиться в суд с иском о возмещении морального вреда.
Заслуженный юрист России, доктор юридических наук Иван Соловьев:
«В случае нарушения положений закона о персональных данных родитель может потребовать немедленного устранения нарушения, допущенного хранителем этих данных, а если это не принесет результата, то подготовить аргументированное заявление в органы прокуратуры. Они будут обязаны провести проверки и вынести меры прокурорского реагирования».
За публикацию фотографий детей в интернете без согласия родителей предусмотрена ответственность ст. 137 Уголовного кодекса РФ. В случае если суд признает вину, лицо, опубликовавшее фотографию, будет наказано штрафом в размере до 200 тыс. руб. или в размере зарплаты или другого дохода за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.
Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.
Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.
Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.
Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.
Похожие записи: