Защита персональных, личных данных

Что такое персональные данные

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни, позволяющие идентифицировать его личность, содержащиеся в личном деле либо подлежащие включению в его личное дело.

Что такое Защита персональных данных

Защита персональных данных — это комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Защита персональных данных, моментов личной жизни, а так же различные истории граждан в России сводятся к 3 (трем) ключевых направлениям:

1. В рамках трудовых отношений
2. В рамках оказываемых услуг (связь, банки и т.д.)
3. В Сети интернет, но с условием ВС РФ разрешил СМИ публиковать фамилии подсудимых и суть дела.

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152 «О персональных данных», ст.8).

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории. 

Закон предусматривает, что иски о защите прав субъекта персональных данных, в том числе о возмещении убытков или компенсации морального вреда, могут предъявляться в суд по месту жительства истца. Закон устанавливает обязательность согласия субъекта персональных данных на их дальнейшую обработку.

Что является персональными данными

Главные ПД, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

1. фамилия, имя, отчество;
2. место жительства или регистрация;
3. дата и место рождения;
4. семейное, социальное или имущественное положение;
5. сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПД, которые разделяются по степени информативности

1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как:
   • информация о расовой и национальной принадлежности субъекта;
   • его религиозные или философские убеждения;
   • информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как:
   • Ф.И.О. субъекта;
   • адрес;
   • сведения о доходах и пр.
3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть скрытыми, то есть не являются конфиденциальными.

Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

Важно знать:

1. Адрес и место жительства являются персональными данными.
2. Штраф за нарушение закона о персональных данных.
3. Ответственность за разглашение персональных данных.

Что входит в персональные данные

Для физических лиц — граждан

Персональными данными физических лиц считаются:

1. фамилия, имя и отчество;
2. дата рождения;
3. идентификационный номер;
4. место рождения;
5. гражданство;
6. информация о регистрации по месту жительства или месту проживания;
7. свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
8. сведения о семейном положении (о супруге, детях и родителях);
9. информация об образовании; информация о роде занятий;
10. о пенсии;
11. о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
12. о налоговых обязательствах;
13. об исполнении воинской обязанности.

Для юридических лиц

1. Наименование юридического лица.
2. Организационно-правовая форма.
3. Юридический адрес.
4. Адрес местонахождения юридического лица. ОГРН (основной государственный регистрационный номер). ИНН (идентификационный номер).
5. КПП (код причины постановки на учет).
6. Расчетный счет.

Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?

Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.

1. Файлы cookies — были признаны ПД в деле, многим известной, социальной сети  Linkedin: Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016. Однако, помимо файлов cookies, в социальной сети Linkedin осуществлялся сбор таких ПД, как фамилия, имя, адрес электронной почты и иное.

Возникает вопрос  — являются ли файлы cookies ПД сами по себе, или в совокупности с другими данными, такими как ФИО, адрес электронной почты и иные ?

2. ID пользователя — было признано ПД Постановлением 13 ААС от 01.07.2016 по делу № А56-6698/2016. По обстоятельствам дела Оператор ПД ПАО «Ростелеком» поручил третьему лицу обработку следующих данных: Хэш-ID Пользователя; время просмотра web-страницы; URL; HTTP referer; User Agent; HTTP Cookie.

Как и в предыдущем кейсе — ID пользователя обрабатывалось в совокупности с другими данными. Будет ли ID пользователей ПД при их обработки автономно от иных имеющихся данных?

3. Данные ЯМ и ГА — были названы ПД при рассмотрении жалоб неизвестных лиц на сайт 2019/vote, сайт А.А. Навального “Умное голосование”: Решение Таганского районного суда г. Москвы  от 19.12.2018 по делу № 02-4261/2018.

4. IP адрес. Стоит рассматривать отдельно статический и динамический IP адреса: Статический IP — является ПД; Динамический IP — не является ПД.

Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.

5. Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email  адрес ПД или нет.

6. ФИО (или отдельно Ф, И, О) и номер телефона — пожалуй, наиболее часто обрабатываемые данные. 

Существует два исторических подхода

За рубежом сложились два основных подхода к определению персональных данных:

• В некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).
• В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.
• В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

Нас больше волнует самая живая проблема, это интернет. Об этом и пойдет речь.

Сегодня сеть Интернет содержит массу необходимых и ценных данных, с одной стороны, но с другой — настоящий склад личной информации, которая является конфиденциальной. Граждане России, имевшие неосторожность указать свой мобильный телефон или адрес электронной почты в графе персональных данных при заполнении различных бланков, карточек и анкет в сети интернет, часто сталкиваются со спамом, засоряющим электронный ящик.

Конституция Российской Федерации содержит понятие правового режима информации о гражданине, в том числе персональных данных и ее защиты.

• Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
• Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
• Ограничение этого права допускается только на основании судебного решения, а также сбор, хранение, использование и распространение информации о частной жизни без его согласия не допускаются.

Что такое личная информация

Личная информация — это ваши имя и фамилия, паспортные данные (номер, серия, копия паспорта), пароли для доступа к различным сервисам и электронным кошелькам. Также личной информацией стоит считать:

• номер вашего телефона,
• номера телефонов ваших родственников,
• ваш домашний адрес,
• ваш возраст и дату рождения,
• ваше место работы — если вы работаете, и номер школы и класса — если вы учитесь,
• любые другие данные, с помощью которых можно разыскать вас или ваших родственников.

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

Защита данных на предприятии

Защита персональной информации может обеспечиваться несколькими источниками права:

• Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника.
• Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере.
• Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией возникает на протяжении всего рабочего процесса:

• между работодателем и сотрудником, между сотрудниками, а так же между третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идут уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ.

Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежат лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Предохранительные меры

Организационные:

1. Ограниченный доступ к хранилищам и архивам материалов.
2. Верификация запрашивающего лица перед предоставлением информации.
3. Ознакомительный формат предоставления сведений.
4. Санкции и штрафы за нарушения правил.

Технические:

1. Криптография и шифрование данных.
2. Создание отдельных серверов и каналов связи.
3. Уничтожение неактуальных материалов.
4. Экранировка помещений и устройств, для защиты от взлома.

Защиту персональной информации работник может реализовать через:

• Свободное бесплатное обращение к документам, где фигурируют его личные материалы. Работник может потребовать копию любого нормативного документа.
• Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
• Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Перечень документов

Акты:

• Акт уничтожения переносных носителей ПД.
• Акт классификации носителей ПД.
• Акт о итога проведения верификации исправности систем и средств защиты ПД.

Инструкции:

• Инструкция к действиям оператора базы ПД.
• Инструкция по обеспечению информационной безопасности. Инструкция пользователя при манипуляциях с ПД.

Письма и запросы:

• Запрос на изменение, удаление, модификацию содержимого ячейки базы ПД.
• Извещение о прекращении действия оператора баз ПД.
• Ответ на запрос получения или обработки информации. Приказы: Генеральный приказ о работе базы ПД.
• Приказ о назначении администрации и персонала базы ПД.
• Приказ об охране информации в ячейках базы данных.
• Приказ о проверке классификации ячеек БД.

Этапы защиты данных

В организации

Как реализовать на предприятии:

• Разработка проекта алгоритма обработки персональных сведений.
• Разработка системы согласия и отказа на обработку личных материалов.
• Разработка проекта уведомительных сообщений о включении личных материалов в общий поток.
• Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом.
• Издательство приказа о введении материалов работников предприятия в базу данных.
• Приказом определяется порядок и способ обработки и передачи информации, выполняется назначение ответственных, обозначаются санкции и штрафы за нарушение устава.
• Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

На сайте интернет-магазина

Пользовательское соглашение на сайте интернет-магазина, где указаны:

1. общие условия использования ресурсом;
2. факторы ответственности владельца организации;
3. Как происходит защита прав на сайте, чем она гарантирована.

Разрешение на рассылку пользователям разного рода уведомлений, порядок оспаривания конфликтных ситуаций.

Соглашение пользователя – это договор интеграции, который принимается субъектом без претензий, целиком. Соглашение пользователя заранее регулирует возможные конфликтные случаи, связанные с объемом услуг и порядком их предоставления.

Публичная оферта на дистанционный оборот товаров, предоставление услуг. Здесь изложены условия и очередность оформления договора торговли через Интернет.

Политика анонимности. Она определяет алгоритм обработки ПДН в связи с оформление договора на пользование сайтом, исходя из соглашения пользователя и договора купли-продажи.

В медицинских учреждениях

Правила и требования такие:

1. Подтверждение согласия на обработку персональных материалов оператором, а также обозначение цели данной обработки.
2. Способы и методы обработки личных материалов, применяющиеся оператором.
3. Сведения о лицах, которые получат доступ к личным сведениям.
4. Перечень обрабатываемых личных сведений и источник их получения.
5. Сроки обработки личных сведений, в т. ч. сроки их хранения.
6. Сведения о юридических последствия для субъекта, которые может повлечь за собой обработка его материалов.
7. Разъяснения последствий в случае его отказа в предоставлении своих персональных сведений тогда, когда это установлено в качестве обязанности гражданина федеральным законом.

Таковы правила для медицинских учреждений.

Вы сами выбираете, какую информацию о себе сообщить

В интернете никто не может заставить вас предъявить паспорт или назвать настоящую фамилию. Некоторым сайтам (например, интернет-магазинам) необходимо знать о вас правду, но стоит ли раскрывать свои данные — всегда решаете вы. Если вы сомневаетесь в том, что какому-либо сайту можно доверить вашу личную информацию, — лучше не доверяйте.

Защита в России осуществляется Роскомнадзором (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций), в соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 года № 228.

Каждый сайт в сети интернет собирающий любыми способами данные пользователей заходящих на сайт обязан до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Подробнее о защите персональных данных пользователей и с целью соблюдения законы и избежания ответственности, можно ознакомиться в нашей данной статьей.

Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года. Руководствуясь положениям п. 3 ст. 22 Федерального закона «О персональных данных» Роскомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных.

Проверить наличие сайта в базе можно по ссылке http://rkn.gov.ru/personal-data/register. Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации.

Заполненные уведомления должны быть направлены в письменной форме и подписаны уполномоченным лицом или направлены в электронной форме и подписаны электронной цифровой подписью в соответствии с законодательством Российской Федерации в территориальные управления Роскомнадзор, на подведомственной территории которых оператор осуществляет (будет осуществлять) обработку персональных данных.

Топ-3 вопросов о персональных данных

1. Что указать в качестве цели обработки персональных данных, если хотим использовать их для рекламы? Используйте формулировку: «Обработка персональных данных субъекта осуществляется в целях продвижения товаров, работ, услуг с помощью прямых контактов с потребителем посредством использования телефонной связи, электронных средств связи (включая SMS-информирование) и почтовых средств связи».
2. Какие документы нужны, чтобы обрабатывать персональные данные покупателей при дистанционной продаже товаров? Для начала получите согласие покупателей на обработку персональных данных. Скачайте шаблон согласия в системе Юрист и разместите его на сайте при оформлении заказа.
3. Обязана ли организация предоставить персональные данные по запросу суда, и как это оформить? Да, обязана. В этом случае даже не нужно получить согласие гражданина на передачу его персональных данных. Чтобы у сотрудников компании не возникало вопросов, какие данные можно передавать без согласий, составьте Регламент ответов на запросы субъектов персональных данных. 

Данные в таргетированной рекламе

В настоящее время многие рекламные компании используют таргетированную (от англ. target- цель) рекламу, которая позволяет накапливать данные о пользователях, которым получение тех или иных сообщений наиболее релевантно.

Подобный механизм подразумевает особый набор персональных данных, а именно cookie- файлов. Cookie это небольшой файл, как правило, из букв и цифр, который загружается на устройство, когда пользователь посещает определенные веб-сайты. Данные cookie затем отправляются обратно на веб-сайт и отображаются при каждом последующем визите автора. Информация, содержащаяся в cookie имеет ценность, потому что она позволяет признать устройство пользователя, заходящего на сайт и использовать его личные данные.

Использование сookie

Использование сookie и подобных технологий в течение некоторого времени было обыденной процедурой, в частности в предоставлении многих онлайн-сервисов.

Однако, в последнее время остро стоит вопрос о защите персональной информации в сети Интернет, что заставляет обратить внимание на использование cookie-файлов. Законодательство Российской Федерации пока не содержит положений, которые могли бы отразить, как действовать оператору и пользователю при использовании cookie-файлов.  Если обратиться к международному опыту регулирования обработки персональных данных, то  законодательств Евросоюза имеет ряд нормативных документов, закрепляющих положения о защите персональных данных. Согласно Директиве 2002/58/ЕС «О конфиденциальности и персональных средствах связи» операторы могли использовать персональные данные пользователей по средством cookie-файлов без предварительного одобрения, до тех пор, пока пользователь не заявит о своем отказе от сбора его персональных данных.

Нормы, закрепленные в Директивах Евросоюза о персональных данных формально не регулируют отношения по защите персональных данных в РФ, но трансграничный характер использования информации в сети Интернет порождают вопросы использования данных норм российскими вебсайтами.

Необходимо ли в таком случае придерживаться правил, установленных Директивами ЕС не понятно. Практика на данный момент не дает ответа на этот вопрос.