«Бухгуру»

Персональные данные: что к ним относится

Actual for 23.09.2023

Цифровизация всех сфер деятельности привела к росту числа случаев утечки информации, мошеннических действий с данными. Для защиты сведений о физических лицах в 2006 году был принят ФЗ «О персональных данных». Знаете ли вы, что к специальной категории персональных данных относятся пикантные факты из вашей личной жизни?

Подробности в статье, где подробно изложен перечень видов ПД с расшифровкой, дано определение операторов и их функции, порядок защиты сведений и подачи заявки в реестр. Узнайте размер штрафов на компанию, нарушившую 152-ФЗ: он может быть колоссальным, кроме того, штрафные санкции предусмотрены для граждан, ИП и должностных лиц.

Также см. “Согласие на обработку персональных данных: бланк и образец“.

Определить непросто

На самом деле достаточно сложно точно установить, что именно относится к персональным данным.

Согласно статьи 3 вышеуказанного закона – это информация, относящаяся к определенному или только определяемому субъекту ПД – физическому лицу прямо или косвенно. Т.е. если по каким-то сведениям можно определить гражданина, то это уже схожесть с персональной информацией.

Приказ Роскомнадзора 94 от 30 мая 2017 года несколько конкретизирует перечень, но не определяет его как исчерпывающий. Если вы перечислите, что относится к персональным данным и включите в список нижеперечисленные позиции, то будете правы:

По законодательству ПД условно подразделяются на 4 вида:

  1. Из общедоступных источников (справочники, адресные книги), куда включается ФИО;
  2. Место и год рождения;
  3. Профессия;
  4. Абонентский номер и др. о которых сообщает указываемое лицо.

Произвольные данные из Интернета общедоступными не считаются.

Согласие нужно не всегда

По статье 10 152-ФЗ к специальной категории персональных данных относятся состояние здоровья, национальность, раса, политические, философские, религиозные убеждения. Здесь обработка не допускается, за исключением, к примеру, случаев применения трудового/пенсионного законодательства с разрешения субъекта, выданного в письменном виде. Если согласие невозможно, то обрабатывание сведений сужается, например, до случаев необходимости защитных мер в отношении жизни.

В 11 статье федерального закона определено, что относится к биометрическим персональным данным – это биологические и физиологические особенности субъекта ПД. Сюда включается рисунок радужки глаз, отпечатки пальцев, генетические сведения, фото- и видеоизображения лица субъекта, запись голоса.

Оператор обрабатывает их в контексте идентификации личности с разрешения под письменную подпись. Например, сдача анализов крови в поликлинике не относится к обрабатыванию, если по их результатам не определяется физлицо. Допускается обработка без разрешения в целях судебного производства, по законодательству о госслужбе, государственным процедурам дактилоскопии и пр.

Какие сведения относятся к персональным данным общего типа

Те, которые не входят в вышеперечисленные 3 вида. Это может быть ФИО, сведения из паспорта, стаж работы, email, геолокация. Часть из этого вида данных по отдельности может не относиться к ПД. К примеру, телефон по отдельности не позволяет определить, какому гражданину он принадлежит.

Электронная почта, включающая перед @ имя, фамилию, год рождения, место проживания, позволяет идентифицировать субъекта с некоей долей вероятности. Поэтому владельцы сайтов и приложений должны учитывать это при запросе на заполнение форм или автоматическом определении местонахождения пользователя. Их могут счесть операторами, которые по 152-ФЗ должны предпринимать ряд операций по защите, иметь утвержденные внутренние документы.

Относительно ИНН существуют разногласия между разными ведомствами. Минфин, например, считает назначением этого номера упорядочение учета по плательщикам налогов, а не ПД. Но наряду со СНИЛС его лучше считать персональными данными.

Кто обрабатывает ПД

Статья 3 Федерального закона № 152 определяет в качестве операторов государственные и муниципальные органы, физические и юрлица, которые на самостоятельной основе или совместно с иными лицами организуют (осуществляют) обрабатывание персональных сведений физлиц. Данные могут:
  1. собираться \ удаляться \ уничтожаться;
  2. блокироваться / обезличиваться / передаваться;
  3. накапливаться \ систематизироваться \ храниться;
  4. уточняться / передаваться (в иное государство только на основании отдельного разрешения физлица, при условии, что там есть соответствующая структура для обработки такой информации).

Совокупность действий может быть автоматизирована, выполняться в ручной или смешанной форме (ручное занесение информации в компьютер).

Хранение собранных сведений осуществляется на бумажных, электронных носителях, в облаке (при передаче данных в ЦОД ответственность с оператора не снимается). Процесс организовывают так, чтобы срок сохранности позволял идентифицировать физлицо, но не дольше, чтобы сведения можно было обновить, уничтожить по требованию субъекта или в силу закона, или после истечения срока пользования. Персональная информация, собранная в разных целях не подлежит объединению.

Требования по защите

Если информация, относящаяся к персональным данным, обрабатывается в информационных системах, то оператор обеспечивает безопасность, основываясь на Постановлении Правительства 1119 от  01.11.2012.

Документ определяет 4 уровня защищенности, исходя из 3 типов угроз.

  1. Первый из них связан с недостаточной документированностью \ декларированностью в системном ПО;
  2. Второй – в прикладном;
  3. Третий – не связан с недекларированной \ недокументированной опции в программном обеспечении.

Уровень защиты определяется на основе обрабатываемых данных, числа субъектов (стандартный порог 100 000 лиц).

Физическое лицо в любое время может посредством заявления, составленного от руки, или поданного в электронном виде с удостоверением электронной подписью (усиленной, квалифицированной) узнать у операторов, состав хранимых на него сведений и цели обрабатывания. Если информация устарела, то физлицо имеет право требовать ее обновления.

Регистрация в реестре

Операторы вносятся в реестр, при подаче заявления в который указываются: цели (трудовые, гражданско-правовые отношения, к примеру), место хранения сведений, разработанные локальные нормативные акты, уровень защищенности, порядок восстановления при несанкционированном доступе, правила допуска.

Также Роскомнадзор требует указать меры внутреннего контроля, способы предотвращения проникновения посторонних лиц в места хранения, уточненные категории субъектов, в зависимости от рода деятельности фирмы (заемщик, соискатель на рабочее место, абонент, вкладчик), адрес обработки данных, ответственное лицо, наличие трансграничной передачи сведений и др.

Пример размеров штрафов по КОАП (ст.13.11)

Нарушение Санкции на гражданина (тыс. руб.) Штраф для ИП (тыс. руб.) Штрафные санкции на должностное лицо (тыс. руб.) Санкционные меры к юридическому лицу (тыс. руб.)
Данные обрабатывались в целях, отличных от заявленных при сборе без уголовной составляющей До 6 До 20 До 100
При повторном нарушении такого вида До 12 До 100 До 50 До 300
Не получено письменное разрешение субъекта ПД, если его получение предусмотрено законом До 10 До 40 До 150
Политика оператора ПД в отношении обрабатываемых сведений не опубликована До 3 До 20 До 12 До 60

Самый большой размер штрафа за повторное нарушение предусмотрен для юридического лица-оператора, которое неправильно записало, копило, хранило, систематизировало, извлекло, уточнило ПД с использованием баз данных, находящихся в России (в т.ч. с применением Интернета). Он доходит до 18 млн. российских рублей.

Поэтому организациям желательно детализировать и задокументировать порядок взаимоотношений с собственными работниками и их семьями, контрагентами, внимательно следить за содержимым форм, предлагаемых к заполнению на сайте. Это убережет от претензий третьих лиц, утечки важной информации, крупных штрафных санкций.

Exit mobile version