Персональные данные

Что такое персональные данные

Персональные данные или личностные данные — это данные о сведениях, относящиеся к прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных), которые могут быть предоставлены другим лицам.

Анализ судебной практики показывает, что к персональным данным относятся фамилия, имя, отчество, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация, при которой возможно идентифицировать конкретное лицо.

За нарушение законодательства о персональных данных введено четыре вида ответственности: дисциплинарная, материальная, административная и уголовная.

За рубежом сложились два основных подхода к определению персональных данных:

• В некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).
• В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.
• В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

Что такое распространение персональных данных

Это распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Виды персональных данных — ПД

Общедоступные

Это информация, полученная из публичных источников информации: справочников, социальных сетей, различных каталогов, сети интернет.

Общие

Это самая обширная категория, в нее включается почти вся личная информация:

• ФИО;
• паспортные данные;
• ИНН;
• семейное положение;
• образование;
• адрес;
• номера телефонов и др.

Обезличенные

Любые ПД становятся обезличенными, если в результате каких-либо действий определить их принадлежность конкретному человеку становится невозможным. Самый яркий пример использования таких ПД – статистика и разнообразные отчеты.

Специальные

К этому виду ПД относят информацию, касающуюся:

• судимостей;
• расовой и национальной принадлежности;
• вероисповедания;
• политических взглядов;
• религиозных и философских убеждений;
• интимной жизни;
• состояния здоровья.

В отличие от общих данных, в законе приведен исчерпывающий перечень специальных ПД. Для этой информации закон устанавливает особые правила сбора, хранения и обработки.

Биометрические

К этому виду относятся все сведения о биологических или физиологических особенностях человека. Это могут быть:

• рост;
• группа крови;
• вес;
• отпечатки пальцев;
• результаты некоторых анализов;
• иногда фото и видео информация.

Важно, что информация становится биометрическими ПД только в том случае, когда, основываясь на ней, становится возможным установление личности человека.

Виды персональных данных по видам и целям обработки

Для каждой группы ПД имеются особенности и нюансы, касающиеся их использования. Рассмотрим ограничения, установленные законом, развернуто для каждой категории информации.

Общедоступные

Владелец ПД имеет право размещать информацию о себе в публичных источниках и исключать ее оттуда. И если собственный аккаунт в социальной сети можно удалить самостоятельно, то чтобы убрать номер телефона из справочника потребуется письменный запрос. Кроме того, прежде, чем включить информацию о человеке в справочник, составляющая его компания обязана получить письменное согласие.

Общие

Согласие может оформляться отдельным документом или являться частью договора. Важно, что, например, онлайн-заявка на кредит становится недействительной при отсутствии согласия на обработку ПД. Обезличенные Таковыми должны становиться все ПД, когда цель их обработки достигнута или утрачена необходимость достижения цели. При невозможности обезличивания ПД должны быть уничтожены.

Специальные

Ст. 10 Закона гласит, что обработка таких ПД допускается в строго определенных случаях. Это возможно если:

1. Имеется письменное согласие владельца ПД.
2. Владелец ПД сделал их общедоступными.
3. Это необходимо для защиты жизни ли здоровья владельца ПД или других лиц, а получение согласия невозможно.
4. Данные обрабатываются в медицинских целях лицом, обязанным соблюдать врачебную тайну.
5. Информация обрабатывается общественным или религиозным объединением, членом которого является владелец ПД.
6. Однако при этом запрещено распространение ПД.
7. Осуществляется обязательное страхование.
8. Это требуется для осуществления правосудия или противодействия терроризму.

Отдельно стоит упомянуть о судимости. Такая информация может обрабатываться только при наличии Федерального закона, который определяет необходимость такой обработки. Просто письменного согласия тут недостаточно.

Биометрические

Помимо письменного согласия владельца нормативные документы требуют соблюдать специальную процедуру хранения такой информации вне информационной системы (Постановление Правительства РФ от 06.07.2008 N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»).

1. Приказ об ответственном за обработку персональных данных
2. Ответственность за разглашение персональных данных
3. Штраф за нарушение закона о персональных данных
4. Адрес и место жительства являются персональными данными
5. Номер телефона и адрес электронной почты являются персональными данными

Для юридических лиц

1. Наименование юридического лица.
2. Организационно-правовая форма.
3. Юридический адрес.
4. Адрес местонахождения юридического лица. ОГРН (основной государственный регистрационный номер). ИНН (идентификационный номер).
5. КПП (код причины постановки на учет).
6. Расчетный счет.

Распространенные вопросы

Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?

Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.

1. Файлы cookies — были признаны ПД в деле, многим известной, социальной сети  Linkedin: Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016. Однако, помимо файлов cookies, в социальной сети Linkedin осуществлялся сбор таких ПД, как фамилия, имя, адрес электронной почты и иное.

Возникает вопрос  — являются ли файлы cookies ПД сами по себе, или в совокупности с другими данными, такими как ФИО, адрес электронной почты и иные ?

2. ID пользователя — было признано ПД Постановлением 13 ААС от 01.07.2016 по делу № А56-6698/2016. По обстоятельствам дела Оператор ПД ПАО «Ростелеком» поручил третьему лицу обработку следующих данных: Хэш-ID Пользователя; время просмотра web-страницы; URL; HTTP referer; User Agent; HTTP Cookie.

Как и в предыдущем кейсе — ID пользователя обрабатывалось в совокупности с другими данными. Будет ли ID пользователей ПД при их обработки автономно от иных имеющихся данных?

3. Данные ЯМ и ГА — были названы ПД при рассмотрении жалоб неизвестных лиц на сайт 2019/vote, сайт А.А. Навального “Умное голосование”: Решение Таганского районного суда г. Москвы  от 19.12.2018 по делу № 02-4261/2018.

4. IP адрес. Стоит рассматривать отдельно статический и динамический IP адреса: Статический IP — является ПД; Динамический IP — не является ПД.

Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.

5. Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email  адрес ПД или нет.

6. ФИО (или отдельно Ф, И, О) и номер телефона — пожалуй, наиболее часто обрабатываемые данные.

При исполнении судебного решения

Как установлено в п.3.1 ч.1 ст.6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в случае, когда обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

Что такое личная информация

Личная информация — это ваши имя и фамилия, паспортные данные (номер, серия, копия паспорта), пароли для доступа к различным сервисам и электронным кошелькам. Также личной информацией стоит считать:

• номер вашего телефона,
• номера телефонов ваших родственников,
• ваш домашний адрес,
• ваш возраст и дату рождения,
• ваше место работы — если вы работаете, и номер школы и класса — если вы учитесь,
• любые другие данные, с помощью которых можно разыскать вас или ваших родственников.

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

Что такое защита персональных данных

Защита персональных данных — это комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Защита персональных данных, моментов личной жизни, а так же различные истории граждан в России сводятся к 3 (трем) ключевых направлениям:

1. В рамках трудовых отношений
2. В рамках оказываемых услуг (связь, банки и т.д.)
3. В Сети интернет, но с условием ВС РФ разрешил СМИ публиковать фамилии подсудимых и суть дела.

Защита данных на предприятии

Защита персональной информации может обеспечиваться несколькими источниками права:

• Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника.
• Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере.
• Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией возникает на протяжении всего рабочего процесса:

• между работодателем и сотрудником, между сотрудниками, а так же между третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идут уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ.

Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежат лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Предохранительные меры

Организационные:

1. Ограниченный доступ к хранилищам и архивам материалов.
2. Верификация запрашивающего лица перед предоставлением информации.
3. Ознакомительный формат предоставления сведений.
4. Санкции и штрафы за нарушения правил.

Технические:

1. Криптография и шифрование данных.
2. Создание отдельных серверов и каналов связи.
3. Уничтожение неактуальных материалов.
4. Экранировка помещений и устройств, для защиты от взлома.

Защиту персональной информации работник может реализовать через:

• Свободное бесплатное обращение к документам, где фигурируют его личные материалы. Работник может потребовать копию любого нормативного документа.
• Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
• Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Перечень документов

Акты:

• Акт уничтожения переносных носителей ПД.
• Акт классификации носителей ПД.
• Акт о итога проведения верификации исправности систем и средств защиты ПД.

Инструкции:

• Инструкция к действиям оператора базы ПД.
• Инструкция по обеспечению информационной безопасности. Инструкция пользователя при манипуляциях с ПД.

Письма и запросы:

• Запрос на изменение, удаление, модификацию содержимого ячейки базы ПД.
• Извещение о прекращении действия оператора баз ПД.
• Ответ на запрос получения или обработки информации. Приказы: Генеральный приказ о работе базы ПД.
• Приказ о назначении администрации и персонала базы ПД.
• Приказ об охране информации в ячейках базы данных.
• Приказ о проверке классификации ячеек БД.

Этапы защиты данных

В организации

Как реализовать на предприятии:

• Разработка проекта алгоритма обработки персональных сведений.
• Разработка системы согласия и отказа на обработку личных материалов.
• Разработка проекта уведомительных сообщений о включении личных материалов в общий поток.
• Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом.
• Издательство приказа о введении материалов работников предприятия в базу данных.
• Приказом определяется порядок и способ обработки и передачи информации, выполняется назначение ответственных, обозначаются санкции и штрафы за нарушение устава.
• Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

На сайте интернет-магазина

Пользовательское соглашение на сайте интернет-магазина, где указаны:

1. общие условия использования ресурсом;
2. факторы ответственности владельца организации;
3. Как происходит защита прав на сайте, чем она гарантирована.

Разрешение на рассылку пользователям разного рода уведомлений, порядок оспаривания конфликтных ситуаций.

Соглашение пользователя – это договор интеграции, который принимается субъектом без претензий, целиком. Соглашение пользователя заранее регулирует возможные конфликтные случаи, связанные с объемом услуг и порядком их предоставления.

Публичная оферта на дистанционный оборот товаров, предоставление услуг. Здесь изложены условия и очередность оформления договора торговли через Интернет.

Политика анонимности. Она определяет алгоритм обработки ПДН в связи с оформление договора на пользование сайтом, исходя из соглашения пользователя и договора купли-продажи.

В медицинских учреждениях

Правила и требования такие:

1. Подтверждение согласия на обработку персональных материалов оператором, а также обозначение цели данной обработки.
2. Способы и методы обработки личных материалов, применяющиеся оператором.
3. Сведения о лицах, которые получат доступ к личным сведениям.
4. Перечень обрабатываемых личных сведений и источник их получения.
5. Сроки обработки личных сведений, в т. ч. сроки их хранения.
6. Сведения о юридических последствия для субъекта, которые может повлечь за собой обработка его материалов.
7. Разъяснения последствий в случае его отказа в предоставлении своих персональных сведений тогда, когда это установлено в качестве обязанности гражданина федеральным законом.

Таковы правила для медицинских учреждений.

Вы сами выбираете, какую информацию о себе сообщить

В интернете никто не может заставить вас предъявить паспорт или назвать настоящую фамилию. Некоторым сайтам (например, интернет-магазинам) необходимо знать о вас правду, но стоит ли раскрывать свои данные — всегда решаете вы. Если вы сомневаетесь в том, что какому-либо сайту можно доверить вашу личную информацию, — лучше не доверяйте.

Защита в России осуществляется Роскомнадзором (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций), в соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 года № 228.

Каждый сайт в сети интернет собирающий любыми способами данные пользователей заходящих на сайт обязан до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Подробнее о защите персональных данных пользователей и с целью соблюдения законы и избежания ответственности, можно ознакомиться в нашей данной статьей.

Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года. Руководствуясь положениям п. 3 ст. 22 Федерального закона «О персональных данных» Роскомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных.

Проверить наличие сайта в базе можно по ссылке http://rkn.gov.ru/personal-data/register. Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации.

Заполненные уведомления должны быть направлены в письменной форме и подписаны уполномоченным лицом или направлены в электронной форме и подписаны электронной цифровой подписью в соответствии с законодательством Российской Федерации в территориальные управления Роскомнадзор, на подведомственной территории которых оператор осуществляет (будет осуществлять) обработку персональных данных.

Топ-3 вопросов о персональных данных

1. Что указать в качестве цели обработки персональных данных, если хотим использовать их для рекламы? Используйте формулировку: «Обработка персональных данных субъекта осуществляется в целях продвижения товаров, работ, услуг с помощью прямых контактов с потребителем посредством использования телефонной связи, электронных средств связи (включая SMS-информирование) и почтовых средств связи».
2. Какие документы нужны, чтобы обрабатывать персональные данные покупателей при дистанционной продаже товаров? Для начала получите согласие покупателей на обработку персональных данных. Скачайте шаблон согласия в системе Юрист и разместите его на сайте при оформлении заказа.
3. Обязана ли организация предоставить персональные данные по запросу суда, и как это оформить? Да, обязана. В этом случае даже не нужно получить согласие гражданина на передачу его персональных данных. Чтобы у сотрудников компании не возникало вопросов, какие данные можно передавать без согласий, составьте Регламент ответов на запросы субъектов персональных данных. 

Данные в таргетированной рекламе

В настоящее время многие рекламные компании используют таргетированную (от англ. target- цель) рекламу, которая позволяет накапливать данные о пользователях, которым получение тех или иных сообщений наиболее релевантно.

Подобный механизм подразумевает особый набор персональных данных, а именно cookie- файлов. Cookie это небольшой файл, как правило, из букв и цифр, который загружается на устройство, когда пользователь посещает определенные веб-сайты. Данные cookie затем отправляются обратно на веб-сайт и отображаются при каждом последующем визите автора. Информация, содержащаяся в cookie имеет ценность, потому что она позволяет признать устройство пользователя, заходящего на сайт и использовать его личные данные.

Использование сookie

Использование сookie и подобных технологий в течение некоторого времени было обыденной процедурой, в частности в предоставлении многих онлайн-сервисов.

Однако, в последнее время остро стоит вопрос о защите персональной информации в сети Интернет, что заставляет обратить внимание на использование cookie-файлов. Законодательство Российской Федерации пока не содержит положений, которые могли бы отразить, как действовать оператору и пользователю при использовании cookie-файлов.  Если обратиться к международному опыту регулирования обработки персональных данных, то  законодательств Евросоюза имеет ряд нормативных документов, закрепляющих положения о защите персональных данных. Согласно Директиве 2002/58/ЕС «О конфиденциальности и персональных средствах связи» операторы могли использовать персональные данные пользователей по средством cookie-файлов без предварительного одобрения, до тех пор, пока пользователь не заявит о своем отказе от сбора его персональных данных.

Нормы, закрепленные в Директивах Евросоюза о персональных данных формально не регулируют отношения по защите персональных данных в РФ, но трансграничный характер использования информации в сети Интернет порождают вопросы использования данных норм российскими вебсайтами.

Необходимо ли в таком случае придерживаться правил, установленных Директивами ЕС не понятно. Практика на данный момент не дает ответа на этот вопрос.

Увидели опечатку? Выделите фрагмент и нажмите Ctrl+Enter

Подпишитесь на соцсети

Публикуем обзор статьи, как только она выходит. Отдельно информируем о важных изменениях закона.

Получайте статьи почтой

Присылаем статьи пару раз в месяц. Подписываясь, вы соглашаетесь с политикой конфиденциальности.

Поделиться с друзьями