Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Категории ПД

Закон № 152-ФЗ делит информацию по информативности, сложности использования и уровню раскрытия сведений. Категории персональных данных, которые нельзя использовать без согласия: обезличенные, общие и специальные, биометрические данные.

Общие личные данные о человеке

К ним относится базовые инфоматериалы о конкретном физическом лице:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес регистрации и проживания;
• номер телефона;
• ИНН;
• паспортные данные – серия, дата его выдачи и др.;
• СНИЛС;
• место работы;
• размер заработной платы.

Персональные сведения, отнесенные к общему типу, зафиксированы в базовых документах гражданина (это паспорт, трудовая книжка и др.). Во многих случаях для их обработки хватает и косвенного разрешения.

Такие упрощенные случаи характерны для заполнения онлайн-анкет с минимумом сведений, когда от субъекта хватит галочки в соответствующем поле вместо письменного подтверждения.

Тут передача данных происходит по открытым каналам связи.

Некоторые из этих сведений не являются персональными, если используются автономно от других. Текущая позиция Роскомнадзора заключается в том, что только по одному телефонному номеру (без соотнесения его с фамилией владельца) возможность идентификации физического лица отсутствует. По этой причине неперсонифицированная SMS-рассылка не является нарушением законодательства.

• Шампиньоны в духовке: рецепты приготовления запеченных грибов
• Вакуумный тренажер для похудения — результаты с фото до и после. Противопоказания для занятий на баротренажере
• Как варить цветную капусту — сколько времени

Биометрические

Сюда относятся физиологические и биологические параметры физического лица:

• дактилоскопия (отпечатки);
• группа крови;
• рост;
• вес;
• цвет глаз;
• особые приметы, связанные с внешностью (например, приобретенные увечья).

К этой же категории относятся любые аудиовизуальные файлы – фотографии конкретного физического лица, записи с диктофона, видеорегистратора и др.

Развитие технологий находит широкое применение биометрическим параметрам – они используются в медицине, приеме на работу в госструктуры, оформлении загранпаспортов.

Часто такие данные наносят вред субъекту в профессиональной деятельности или личной жизни.

Специальные данные

В эту категорию включены:

• национальность;
• политические предпочтения;
• вероисповедание;
• наличие судимости;
• медицинский диагноз;
• сексуальная ориентация;
• интимная жизнь.

Подобные сведения содержатся в специальных документах. Они могут быть использованы для дискриминации конкретного физического лица. По этой причине, согласно статье 10 Закона № 152-ФЗ, доступ к сведениям этого типа для общих случаев не допускается. Исключениями из этого являются ситуации, когда:

• Субъект дал письменное согласие на обработку ПД.
• Досье конкретного человека изучается для сохранения жизни/здоровья этого человека или третьих лиц, когда получение разрешения нельзя (например, пострадавший в автокатастрофе находится в коме и срочно требуется операция). Этот случай может быть распространен на все ситуации постановки диагноза и оказания услуг медицинского характера, при условии, что это осуществляется уполномоченным работником и он сохраняет профессиональную тайну.
• Эти ПДн стали публичными по инициативе лица, которому они принадлежат (например, эстрадный исполнитель дает интервью телеканалу о своей сексуальной ориентации). Сюда же относится обработка сведений в связи с осуществлением Всероссийской переписи населения или реализацией программ социальной помощи, трудового или пенсионного законодательства.
• Производится обработка персональных данных об участниках общественного объединения или религиозной организации (например, эту личную информацию могут собирать в муниципалитете или органах государственной статистики). Определяющим тут является условие нераспространение таких сведений без письменного согласия субъектов ПД.
• Извлечение необходимой личной информации связано с осуществлением конституционных прав этого физического лица или производством правосудия (по закону, это разрешено, например, сотрудникам полиции или прокуратуры). Сюда же входят ситуации исполнения законодательства об обороне, противодействию терроризму, транспортной безопасности, антикоррупционной деятельности и пр.
• Такая ситуация возникает при необходимости реализации законодательных требования об обязательных видах страхования, о гражданстве Российской Федерации и при проверке родителей, берущих на воспитание детей-сирот.

Обезличенные ПД

В соответствии с Законом № 152-ФЗ, сюда относятся сведения, соотнесение которых с конкретным человеком невозможно без уточнений. Это может быть любая из составляющих ПД, лишенная других сведений, например:

• Фамилия, имя, отчество человека, его число, месяц, год рождения, улица, номер дома и квартиры в совокупности являются персональными данными.
• Каждое из этих сведений по отдельности (например, только имя, без фамилии и другой информации) не может являться ПД.

Обезличивание является дополнительным методом защиты. К нему часто прибегают государственные органы, уполномоченные на обработку персональных сведений о гражданах, передавая массив информации на стороннее изучение. К примеру:

1. В результате переписи населения у Федеральной службы государственной статистики (Госкомстата) скапливается большое число анкет, содержащих личные данные. Это могут быть сведения о возрасте, национальности и пр.
2. Отправляя такие данные в другие ведомства для аналитического изучения по их профилю работы, сотрудники Госкомстата принимают меры для защиты ПД. Для этого личная информация лишается персонификации. Например, в Министерство социальной защиты РФ передается выборка данных о лицах, с указанием их национальности, возраста и образования, но без упоминания имени и фамилии.

Big Data

Сюда относятся сведения, поступающие в интернет от конкретного пользователя или накапливающиеся в его цифровых устройствах:

• IP-адрес компьютера;
• история просмотра страниц;
• данные авторизации на сайтах;
• никнеймы и аватары форумов или социальных сетей.

Неоднозначность этой категории в юридическом ракурсе рассмотрения связана со следующими особенностями:

• Эта информация прямо или косвенно может указывать на конкретного человека.
• Сам обладатель не может полностью контролировать их.
• При желании они могут быть фальсифицированы (например, один человек может зарегистрироваться в соцсети под именем своего знакомого и оставлять от его лица порочащие сообщения).

С учетом этих обстоятельств, не все сведения из категории Big Data являются ПДн. Если они прямо не указывают на конкретного человека, то, по мнению Роскомнадзора, они не относятся к категории ПД. Тогда на них не распространяются требования Закона № 152-ФЗ. Примеры таких сведений:

• Фото человека. Если оно сопровождается именем и фамилией, то является персональными данными, ведь указывает на конкретную личность.
• Аватар (юзерпик) и никнейм на форуме. Эти позиции не являются ПДн. Они напрямую не указывают на определенного человека. Есть исключение: когда на картинке представлено фото человека с именем, фамилией или другими сведениями.
• К категории ПД не относятся поисковые запросы пользователя компьютера и информация о его местоположении, которые обрабатываются для предоставления ему контекстной рекламы и геотаргетинга (выдачи данных в зависимости от географического расположения физического лица).

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

• Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
• Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
• Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
• Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
• Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  Материальный отчет для Бухгалтерии 3.0

• Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
• Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
• Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
• Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

• данные обрабатываются в рамках трудовых отношений;
• сведения получены в результате заключения договора и не передаются иным лицам;
• информация является общедоступной;
• обрабатываются только фамилия, имя, отчество;
• данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
• данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Какие сведения считаются персональными данными

Распространенные персональные данные:

• Фамилия, имя, отчество физического лица. В этом ракурсе физлицо выступает в виде субъекта ПДн.
• Дата и место рождения.
• Адрес регистрации и проживания.

Персональные данные работника концентрируются в информационной системе (ИС). Она может быть цифровой или аналоговой (компьютерной базой или личным делом в бумажной папке). При этом законодательные требования распространяются на ПД вне зависимости от технической реализации инфосистемы. Существуют разные способы обработки личной информации физлица – сбор, классификация, уточнение и др.

Понятие ПДн относится не только к гражданам, но и к юридическим лицам вне зависимости от организационно-правовой формы (фирмы, компании, организации, коммерческие предприятия и т. д.). Их особенностью является то, что на их основе происходит идентификация не конкретного человека, а определенной компании. Официальные сведения о компании нужны при заключении договоров и т. д.

Физические лица

К персональным сведениям для этой категории субъектов относятся:

• ФИО;
• дата и место рождения;
• гражданство;
• адрес регистрации и проживания;
• решение о полной или частичной недееспособности;
• семейное положение + информация о членах семьи;
• образование;
• место работы;
• оклад, страховые и налоговые отчисления;
• воинская обязанность.

Существуют особенности отнесения разных данных к категории персональных у физических лиц:

• Номер телефона. Относится к ПДн, если информация о владельце есть в общедоступном источнике (например, на сайте депутата указаны контакты для прямого обращения).
• Верификационные параметры для авторизации на разных интернет-сервисах являются ПДн по определению и не подлежат разглашению третьим лицам.
• Фото- и видеозаписи. Относятся к ПДн только в ситуации, когда по ним можно провести идентификацию физического лица. Исключением является фото- или видеосъемка, произведенная на мероприятиях, имеющих массовый характер. Если запись порочит честь, достоинство или деловую репутацию человека, он в соответствии с частью 1 статьи 152 Гражданского Кодекса РФ может требовать опровержения.

Работники предприятия

К числу персональных сведений в этом случае относится информация, которую сотрудник должен сообщить при устройстве на работу. В основной части они совпадают с ПДн для физлица и предназначены для занесения в личное дело работника. По причине того, что сотрудник заполняет типовой бланк, в ИС могут попадать сведения, не связанные с выполнением им своей работы.

Дополнительно к личной информации физлиц персональное досье работника предприятия в обязательном порядке включает:

• должность;
• ИНН;
• заявление о приеме на работу;
• оклад;
• СНИЛС;
• трудовой стаж (+ на этом предприятии);
• справки о поощрениях и взысканиях со стороны администрации;
• информацию об использованном отпуске;
• медсправки и/или документы о диспансеризации (если это требуется условиями работы).

Работодатель не имеет права (и это прописано в законах):

1. Передавать третьим лицам личные данные без согласия самого работника (защита данных).
2. Запрашивать сведения о состоянии здоровья сотрудника без согласия. Исключением являются ситуации, когда это непосредственно связано с выполнением работником своих функций.

Обязанностью работодателя является:

• Защитить имеющиеся в его распоряжении ПД от стороннего доступа и разрешить знакомство с ними только специально уполномоченных сотрудников, предоставляя им данные в пределах их компетенции.
• Предупреждение третьих лиц, которым передается информация о работнике, что она может быть использована только для конкретных затребованных целей. Законодательством наложен запрет на несанкционированное распространение личных данных и виновные могут быть привлечены к ответственности.
• Закрепить соответствующим образом (например, подписью в специальном бланке) обязательство соблюдения конфиденциальности лицами, которым передаются ПД.

  Способы начисления амортизации в бухгалтерском учете

Государственные или муниципальные служащие

Помимо массива сведений, обязательного для работника предприятия, в число ПДн для этой категории тружеников входит:

• стаж + выслуга лет;
• должность;
• классный чин (если есть);
• разряд по тарифной сетке;
• ученая степень, награды, поощрения;
• допуск для работы с секретными материалами;
• справки об аттестации и повышении квалификации;
• справка о судимости;
• медсправки, копии больничных.

Юридические лица

К этой категории сведений относятся:

• наименование организации;
• юридический и фактический адрес;
• номера лицензий;
• ОГРН;
• ИНН;
• КПП;
• номер расчетного счета и другие банковские реквизиты.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
2. Запрашивать согласие на обработку персональной информации.
3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.

 Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.

Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

«Классические» персональные данные

К «классическим» персональным данным относятся Ф.И.О. физического лица, ведь они позволяют его идентифицировать среди остальной массы людей, поэтому без согласия человека обработка таких персональных данных не допускается.

Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).

Помимо Ф.И.О.

к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.

Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя.

Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга.

Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).

Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц.

При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных.

Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.

Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную доверенность конкретному человеку.

Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных.

Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).

В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо.

В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность.

У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.

Персональные данные под вопросом

Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд 1. По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно,…

Закон о персональных данных. Кто будет отвечать за сохранность и распространение информации?

Депутаты во втором чтении приняли Закон «О персональных данных».  Теперь личная информация, которую мы предоставляем банкам, магазинам, медицинским центрам, будет находиться под надежной защитой.

Персональная информация гражданина сегодня представляет интерес для многих структур. Считается, что в цифровом обществе, в котором мы живем, искусственный интеллект – это вечный двигатель. А данные – его горючее. Неудивительно, что есть целое направление бизнеса по покупке-продаже персональных сведений.

Из-за отсутствия ясных и однозначных правовых подходов («правил игры») по их использованию уже на протяжении многих лет существуют серые сервисы по продаже такого типа информации. 

Ею обмениваются, чтобы, к примеру, увеличивать клиентскую базу. Есть и много других способов применения данных, в том числе мошеннических. Зная личные сведения о человеке, гораздо проще его обмануть, представившись официальным представителем ведомства или учреждения. Еще один способ – психологическое давление на гражданина.

Достаточно вспомнить, как деструктивные силы в буквальном смысле оказывают сегодня прессинг на силовой блок, журналистов, государственных служащих, намеренно публикуя их данные в сети, сопровождая их фейковой и оскорбительной информацией.  До недавнего времени вопрос сбора персональных данных о наших гражданах не был до конца урегулирован.

Но вскоре ситуация изменится.

Игорь Мартынов, депутат, заместитель председателя Постоянной комиссии по национальной безопасности, отмечает, что законопроект действительно назревший:

– Вопреки мнениям так называемых аналитиков, которые утверждают, что его писали в спешке, буквально за пару месяцев, должен сказать, что работа над ним началась еще в 2018 году.

В 2019-м он был принят в первом чтении. Изначально назывался «О защите данных», ко второму чтению название было изменено.

Мартынов подчеркивает, что очевидную необходимость принятия этого законопроекта общество почувствовало особенно остро летом прошлого года, когда в сети стали появляться личные данные граждан. Попробуем разобраться, как будет работать система защиты персональных сведений после вступления в силу нового закона.

Что такое персональные данные?   

Депутат говорит, что под этим определением понимается любая информация, которая относится к физическому лицу:

– Это объемное определение. В него входят, к примеру, паспортные данные, место регистрации, проживания, семейный статус, телефон, информация о близких родственниках, наличие транспортного средства, недвижимого имущества. Все это будет считаться и являться персональными данными гражданина.

Будут ли признаны персональными данными аккаунты в социальных сетях? Мартынов обращает внимание, что нет, так как странички в социальных сетях априори являются распространением информации о человеке, которую он сам публикует в общем доступе.

Кто сможет собирать данные о гражданине?

Согласно новому закону, оператором по сбору персональных данных может стать любая организация.

– К примеру, все торговые сети, которые выдают скидочные карты в обмен на личные данные. Учреждения системы здравоохранения, налоговая и многие другие. Когда мы приходим в поликлинику, то все, что на нас там имеется, по сути – наши персональные сведения. Не только Ф.И.О.

, но и диагнозы, обследования. Информация о нас в налоговой, наши декларации – тоже персональные данные.

Теперь каждая из этих организаций, получив статус оператора, сможет сохранять у себя информацию в объеме, который им нужен, и будет обязана нести ответственность за ее распространение, – рассказывает собеседник.

В законе для операторов прописан определенный порядок работы, а также как именно они должны собирать и обрабатывать персональные данные. Кроме того, там указано, на каких основаниях организацию смогут лишить статуса оператора по обработке персональных сведений. Мартынов подчеркивает важную деталь: любой оператор может собирать информацию только с согласия гражданина.

• Как это будет контролироваться?
• Совет Министров должен в трехмесячный срок определить орган, который станет регулировать работу всех операторов: контролировать их и обобщать всю информацию.
• – Уполномоченный орган будет следить за тем, как операторы распоряжаются данными, кому и по какой причине они их предоставляют, – отметил депутат.
• Любой гражданин, согласно закону, может один раз в год бесплатно обратиться к оператору, чтобы уточнить, использовал ли кто-то его личные данные.

Оператор обязан предоставить эту информацию. Также появится возможность обратиться с просьбой удалить те или иные сведения из базы данных оператора.

В случае несоблюдения оператором своих обязанностей вопрос придется решать в судебном порядке. По решению суда уполномоченный орган сможет выдать предупреждение оператору, а при наступлении особо тяжких последствий – лишить его этого статуса. 

– Ответственность для операторов предусмотрена как административная, так и уголовная. Все будет зависеть от того, сколько и в каком объеме они незаконно распространили персональных данных и какие последствия наступили в результате этого.

 Если будут такие ситуации, как случались в прошлом году, когда, к примеру, семье сотрудников органов внутренних дел после слитых в сеть персональных данных начинали угрожать, то это одна ответственность. Если же кто-то ради любопытства подсмотрел какие-то личные сведения по типу даты рождения – это уже другая степень ответственности.

Меру ответственности за подобные деяния законотворцам еще предстоит выработать, – сообщил Мартынов.

Интересно знать

Что является персональными данными по закону

Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств. 

В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.

С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.

Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием. 

Меры защиты и ответственность

В ч.1 и ч. 2 статьи 13 № 323-ФЗ указано, что личные сведения гражданина не могут быть разглашены без его согласия. Особенно строгие меры защиты приняты в отношении врачебной тайны, которую запрещается раскрывать даже в случае смерти субъекта.

Статья 137 УК РФ настоящего закона вводит уголовную ответственность за несанкционированный сбор и разглашение информации о личной жизни субъекта персональных данных. Распространение сведений возможно только при письменном согласии лица.

  Также является незаконным разглашение информации в публичных выступлениях, в публикуемых художественных произведениях и СМИ. Закон запрещает распространение персональных данных в рамках служебного положения. 

Федеральный закон № 323 четко провозглашает, что за разглашение персональных данных любое лицо может быть привлечено к уголовной ответственности. Специалисты в области IT-безопасности обращают пристальное внимание на предоставление социальным сетям, мобильным приложениям и различным сервисам возможности сбора данных.  

При сохранении возможности настройки приватного доступа к отдельной информации в социальных сетях проблема защиты персональных данных фактически остается нерешенной.

Кража общедоступных сведений считается распространенным явлением. Кроме того, любые данные, размещенные в соцсетях, постоянно обрабатываются веб-сервисами.

Любое физическое лицо вправе сделать запрос через оператора персональных данных на запрет обработки информации.

Персональные данные и Интернет 

Ценные данные предоставляются через IP или веб-службы. Данные сведения позволяют компаниям, связанным с рекламной деятельностью, структурировать информацию и передавать ее третьим лицам. Получить доступ к данным такие компании могут с помощью специализированного программного обеспечения. 

Персонализация веб-страниц преследует цель подробного изучения интересов пользователей и потенциальных клиентов. С помощью программного обеспечения специалисты могут отслеживать активность каждого пользователя, находящегося на веб-ресурсе, что помогает определить область его интересов. Отслеживание активности пользователя позволяет повышать конверсию продаж.

Какая информация относится к персональным данным?

Закон № 152 указывает, что к ПД можно отнести любые данные, с помощью которых определяется физическое или юридическое лицо. Зачастую предоставление ПД необходимо для оформления документов, в том числе гражданского паспорта, ИНН и т.д.  Закон позволяет вести обработку персональных данных физическим, юридическим лицам, муниципальным органам и государственным учреждениям. 

К перечню основных персональных данных относятся: 

• ФИО субъекта;
• место постоянного (временного) проживания;
• дата рождения;
• любые данные о семейном, финансовом положении;
• любые данные, связанные с родом деятельности, заработком, образованием. 

Все персональные данные принято делить на четыре группы:

1. К первой относятся сведения общего характера, – национальность, приверженность к религии, наличие инвалидности и т.п. Такую информацию часто вносят при заполнении анкет для приема на работу, она также может содержаться в медицинских справках. 

2. Ко второй относятся данные, позволяющие выполнить идентификацию лица. К ним причисляют ФИО, адрес, занимаемую должность, место работы и т.д. 

3. Третья группа ПД включает биометрику: снимок сетчатки глаза, отпечатки пальцев, данные анализа ДНК. 

4. В четвертую входят общедоступные персональные данные. Это сведения, которые не позволяют идентифицировать лицо. Согласно закону, их нельзя причислять к конфиденциальным данным. Например, уровень дохода представителей муниципалитетов, государственных учреждений.

Персональными данными физических лиц по закону считаются:

• ФИО;
• ИНН и дата рождения;
• гражданство согласно гражданскому паспорту и место рождения;
• данные о регистрации и фактическом месте жительства;
• данные о родственниках и супругах;
• данные о дееспособности, свидетельство о смерти;
• сведения о наличии образования;
• сведения о пенсионных доходах;
• данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
• данные о налоговых платежах;
• информация о воинской обязанности. 

Персональными данными юридических лиц по закону считаются:

• наименование юрлица;
• юрадрес и организационно-правовая форма;
• местоположение юрлица;
• ОГРН;
• ИНН и КПП;
• номер расчетного счета.

К данному перечню также можно причислить сведения о руководителе. 

Что не является персональными данными? 

Развитие Интернета привело к доступности данных. Веб-поиск позволяет каждому желающему найти интересующую информацию о конкретном лице. Однако согласно закону № 152-ФЗ любой оператор, ведущий обработку ПД, не имеет права разглашать данные без согласия субъекта.

Оператором признается лицо или государственный (муниципальный) орган, который производит обработку персональных данных. По согласию ОПД может передавать информацию сторонним лицам для проведения обработки (ч. 3 ст. 6). 

Оператор отвечает перед субъектом за действия, совершаемые с персональными данными сторонними лицами. В свою очередь, они не несут ответственности перед субъектом, но отвечают перед оператором.

Много вопросов вызывают такие сведения, как IP-адрес, электронный ящик, номер телефона. Можно ли отнести их к персональным данным, если зачастую такие сведения остаются общедоступными? Если обратиться к статье ФЗ-152, можно сделать следующие выводы:

• Номер телефона можно причислить к персональным данным, так как с его помощью достаточно легко идентифицировать абонента, используя дополнительные средства. В соответствии с определением ПД, номер телефона не может быть разглашен без согласия субъекта. 
• Адрес электронного ящика по аналогии также может быть причислен к ПД. Однако если в адресе не фигурирует ФИО субъекта, такая информация считается обезличенной. 
• Фото и видео являются персональными данными, если с их помощью можно установить личность субъекта. При этом, согласно статье 152.1 ГК РФ, фотографии и видео могут публиковаться на массовых и публичных мероприятиях. 
• Логины и пароли не входят в категорию персональных данных, однако могут быть причислены к коммерческой тайне.

Классификация информационных систем персональных данных (ИСПД)

Для того чтобы классифицировать ИСПД, необходимо знать степень (категорию), к которой относятся данные и определить их объем. 

По объему ПД системы делят на три типа:

1. К первому относятся ИСПД, насчитывающие свыше 100 000 субъектов в пределах Российской Федерации.

2. Ко второму – ИСПД, в которых ведется обработка ПД более 1 000 субъектов, которые живут в конкретном муниципальном образовании. Сюда также входят субъекты, занятые в экономике или конкретном органе государственной власти.

3. К третьему – информационные системы с данными не более 1 000 СПД, занятых в конкретной компании.

Проанализировав исходные данные, можно присвоить системе соответствующий класс:

• В ИС первого класса нарушения безопасности хранения и обработки ПД опасны, поскольку могут привести к серьезным пагубным последствиям для их обладателей.
• Второй класс присваивают системам, нарушение обработки и хранения ПД в которых способно привести к ощутимым нежелательным последствиям.
• Третий объединяет ИСПД, нарушения в которых способны привести к незначительным последствиям.
• К четвертому принадлежат ИСПД, в которых в случае нарушения параметров безопасности обрабатываемым данным ничего не угрожает.

Классы принято условно обозначать буквой «К». Порядок проведения классификации ИСПД регламентирован приказом ФСТЭК. 

Какие существуют требования по обеспечению защиты ИСПД?

Для ИСПД четвертого класса все мероприятия, направленные на обеспечение защиты ПД, устанавливаются оператором. 

Системы третьего класса должны пройти процедуру декларирования или аттестацию, а также получить лицензию ФСТЭК по техзащите конфиденциальных данных, если такие системы являются распределенными.

ИСПД второго класса должны обязательно проходить аттестацию, для них должны проводиться мероприятия, направленные на обеспечение защиты данных от побочных электромагнитных излучений и наводки. Соответственно, для реализации подобных мер могут потребоваться специальные средства защиты информации. Для распределенных систем также необходимо получать лицензию ФСТЭК.

ИСПД первого класса должны обязательно проходить аттестацию, и также подвергаются мероприятиям, направленных на защиту от побочных электромагнитных излучений и наводок. Обязательно получение лицензии ФСТЭК для осуществления деятельности по техзащите конфиденциальных сведений.

Как защитить ИСПД? 

Для обеспечения защиты ИСПД необходимо сделать следующее:

1. Уведомить уполномоченные органы о намерении проводить обработку ПД.
2. Собрать исходные данные.
3. Присвоить класс.
4. Спрогнозировать угрозы для структуры и составить модель.
5. Спроектировать систему защиты ПД.
6. Выполнить реализацию и интеграцию системы.
7. Выполнить все требования к инженерной защите, охране, пожарной безопасности, экологические требования и т.д.
8. Пройти аттестацию.
9. Позаботиться о квалификации персонала, который будет вести обработку ПД.

В каких случаях необходимо проходить аттестацию и сертификацию?

Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс. Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов.

Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия. Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.

Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.

05.03.2020