Подробности в статье, где подробно изложен перечень видов ПД с расшифровкой, дано определение операторов и их функции, порядок защиты сведений и подачи заявки в реестр. Узнайте размер штрафов на компанию, нарушившую 152-ФЗ: он может быть колоссальным, кроме того, штрафные санкции предусмотрены для граждан, ИП и должностных лиц.
Также см. “Согласие на обработку персональных данных: бланк и образец“.
Определить непросто
На самом деле достаточно сложно точно установить, что именно относится к персональным данным.
Согласно статьи 3 вышеуказанного закона – это информация, относящаяся к определенному или только определяемому субъекту ПД – физическому лицу прямо или косвенно. Т.е. если по каким-то сведениям можно определить гражданина, то это уже схожесть с персональной информацией.
Приказ Роскомнадзора 94 от 30 мая 2017 года несколько конкретизирует перечень, но не определяет его как исчерпывающий. Если вы перечислите, что относится к персональным данным и включите в список нижеперечисленные позиции, то будете правы:
- источники и размеры доходов;
- сведения о семье, детях, должностях, профессии, принадлежащем субъекту ПД имуществе;
- место проживания фактически;
- данные о ВУЗе и иных законченных учебных учреждениях.
По законодательству ПД условно подразделяются на 4 вида:
- Из общедоступных источников (справочники, адресные книги), куда включается ФИО;
- Место и год рождения;
- Профессия;
- Абонентский номер и др. о которых сообщает указываемое лицо.
Произвольные данные из Интернета общедоступными не считаются.
Согласие нужно не всегда
По статье 10 152-ФЗ к специальной категории персональных данных относятся состояние здоровья, национальность, раса, политические, философские, религиозные убеждения. Здесь обработка не допускается, за исключением, к примеру, случаев применения трудового/пенсионного законодательства с разрешения субъекта, выданного в письменном виде. Если согласие невозможно, то обрабатывание сведений сужается, например, до случаев необходимости защитных мер в отношении жизни.
В 11 статье федерального закона определено, что относится к биометрическим персональным данным – это биологические и физиологические особенности субъекта ПД. Сюда включается рисунок радужки глаз, отпечатки пальцев, генетические сведения, фото- и видеоизображения лица субъекта, запись голоса.
Оператор обрабатывает их в контексте идентификации личности с разрешения под письменную подпись. Например, сдача анализов крови в поликлинике не относится к обрабатыванию, если по их результатам не определяется физлицо. Допускается обработка без разрешения в целях судебного производства, по законодательству о госслужбе, государственным процедурам дактилоскопии и пр.
Какие сведения относятся к персональным данным общего типа
Те, которые не входят в вышеперечисленные 3 вида. Это может быть ФИО, сведения из паспорта, стаж работы, email, геолокация. Часть из этого вида данных по отдельности может не относиться к ПД. К примеру, телефон по отдельности не позволяет определить, какому гражданину он принадлежит.
Электронная почта, включающая перед @ имя, фамилию, год рождения, место проживания, позволяет идентифицировать субъекта с некоей долей вероятности. Поэтому владельцы сайтов и приложений должны учитывать это при запросе на заполнение форм или автоматическом определении местонахождения пользователя. Их могут счесть операторами, которые по 152-ФЗ должны предпринимать ряд операций по защите, иметь утвержденные внутренние документы.
Относительно ИНН существуют разногласия между разными ведомствами. Минфин, например, считает назначением этого номера упорядочение учета по плательщикам налогов, а не ПД. Но наряду со СНИЛС его лучше считать персональными данными.
Кто обрабатывает ПД
Статья 3 Федерального закона № 152 определяет в качестве операторов государственные и муниципальные органы, физические и юрлица, которые на самостоятельной основе или совместно с иными лицами организуют (осуществляют) обрабатывание персональных сведений физлиц. Данные могут:- собираться \ удаляться \ уничтожаться;
- блокироваться / обезличиваться / передаваться;
- накапливаться \ систематизироваться \ храниться;
- уточняться / передаваться (в иное государство только на основании отдельного разрешения физлица, при условии, что там есть соответствующая структура для обработки такой информации).
Совокупность действий может быть автоматизирована, выполняться в ручной или смешанной форме (ручное занесение информации в компьютер).
Хранение собранных сведений осуществляется на бумажных, электронных носителях, в облаке (при передаче данных в ЦОД ответственность с оператора не снимается). Процесс организовывают так, чтобы срок сохранности позволял идентифицировать физлицо, но не дольше, чтобы сведения можно было обновить, уничтожить по требованию субъекта или в силу закона, или после истечения срока пользования. Персональная информация, собранная в разных целях не подлежит объединению.
Требования по защите
Если информация, относящаяся к персональным данным, обрабатывается в информационных системах, то оператор обеспечивает безопасность, основываясь на Постановлении Правительства 1119 от 01.11.2012.
Документ определяет 4 уровня защищенности, исходя из 3 типов угроз.
- Первый из них связан с недостаточной документированностью \ декларированностью в системном ПО;
- Второй – в прикладном;
- Третий – не связан с недекларированной \ недокументированной опции в программном обеспечении.
Уровень защиты определяется на основе обрабатываемых данных, числа субъектов (стандартный порог 100 000 лиц).
Физическое лицо в любое время может посредством заявления, составленного от руки, или поданного в электронном виде с удостоверением электронной подписью (усиленной, квалифицированной) узнать у операторов, состав хранимых на него сведений и цели обрабатывания. Если информация устарела, то физлицо имеет право требовать ее обновления.
Регистрация в реестре
Операторы вносятся в реестр, при подаче заявления в который указываются: цели (трудовые, гражданско-правовые отношения, к примеру), место хранения сведений, разработанные локальные нормативные акты, уровень защищенности, порядок восстановления при несанкционированном доступе, правила допуска.
Также Роскомнадзор требует указать меры внутреннего контроля, способы предотвращения проникновения посторонних лиц в места хранения, уточненные категории субъектов, в зависимости от рода деятельности фирмы (заемщик, соискатель на рабочее место, абонент, вкладчик), адрес обработки данных, ответственное лицо, наличие трансграничной передачи сведений и др.
Пример размеров штрафов по КОАП (ст.13.11)
Нарушение | Санкции на гражданина (тыс. руб.) | Штраф для ИП (тыс. руб.) | Штрафные санкции на должностное лицо (тыс. руб.) | Санкционные меры к юридическому лицу (тыс. руб.) |
Данные обрабатывались в целях, отличных от заявленных при сборе без уголовной составляющей | До 6 | До 20 | До 100 | |
При повторном нарушении такого вида | До 12 | До 100 | До 50 | До 300 |
Не получено письменное разрешение субъекта ПД, если его получение предусмотрено законом | До 10 | До 40 | До 150 | |
Политика оператора ПД в отношении обрабатываемых сведений не опубликована | До 3 | До 20 | До 12 | До 60 |
Самый большой размер штрафа за повторное нарушение предусмотрен для юридического лица-оператора, которое неправильно записало, копило, хранило, систематизировало, извлекло, уточнило ПД с использованием баз данных, находящихся в России (в т.ч. с применением Интернета). Он доходит до 18 млн. российских рублей.
Поэтому организациям желательно детализировать и задокументировать порядок взаимоотношений с собственными работниками и их семьями, контрагентами, внимательно следить за содержимым форм, предлагаемых к заполнению на сайте. Это убережет от претензий третьих лиц, утечки важной информации, крупных штрафных санкций.