Персональные данные: что это такое, как обрабатывать и защищать по закону

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: что это такое, как обрабатывать и защищать по закону». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

• Персональные данные — это конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
• Оператор персональных данных собирает, обрабатывает и обеспечивает защиту информации.
• Перед обработкой персональных данных нужно уведомить Роскомнадзор о своем намерении.
• Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность вплоть до уголовного преследования.

Как составить согласие на обработку персональных данных

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

• наименование оператора персональных данных;
• место и дата составления документа;
• фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва.

Блок 1. «Любая информация»

Персональными данными могут считаться любые сведения о субъекте:

• объективные (имя лица, номер телефона, адрес электронной почты);
• субъективные (субъективные оценки, мнения относительно конкретного лица).

На практике субъективные персональные данные активно используются в финансовом секторе (например, банк определяет уровень платежеспособности клиента) или в трудовых отношениях (оценка эффективности работы конкретного работника (KPI).

В то же время необязательно, чтобы информация была правдивой. Если у контролера данных есть возможность идентифицировать лицо по сведениям, которые не соответствуют действительности, они все равно составляют персональные данные по GDPR.

Персональные данные могут быть выражены в форме:

• букв (имя человека);
• цифр (идентификационный код лица);
• графики (рисунок (картина), что позволяет идентифицировать его автора)
• фото (фото в паспорте);
• звука (запись телефонного разговора с работником банка);
• видео (запись с камер видеонаблюдения).

Обработкой ПДн считается вообще любое действие оператора с ними. Использование персональных данных — это тоже обработка. Эти действия должны быть обоснованны. Нельзя собирать паспортные данные для рекламной рассылки. Срок хранения данных определяется либо законом либо целями обработки. Поэтому нет четкого ответа на вопрос «Сколько хранятся персональные данные» — всё зависит от самих ПДн и оператора. Обработку можно классифицировать по использованию в ней электронных систем:

• Автоматизированная обработка: исключительно с помощью компьютеров;
• Смешанная обработка: с частичным использование электронных систем. Например, ПДн вносятся в компьютер вручную;
• Неавтоматизированная обработка: исключительно вручную. Например, работодатель собирает ПДн и хранит в архиве «на бумаге».

В законе выделены две основные категории, подпадающие под действие законодательства.

Субъект – это непосредственно физическое лицо, которое в каких-либо условиях сообщает информацию о себе. Это касается заполнения данных медицинской карты, личного дела в учебном заведении или на работе. Даже заказывая доставку в кафе или вещь в интернет-магазине и предоставляя свое имя и адрес, вы становитесь официальным субъектом.

Оператор – это физическое лицо или организация, собирающая, обрабатывающая, хранящая или распространяющая ПДн. Также именно они определяют цели подобных действий. Оператором становится любой, имеющий доступ к какой-либо информации. Социальная сеть, сайт интернет- магазина, приложение, работодатель или государственная организация. Даже если вы становитесь хранителем информации о одном сотруднике, уже получаете официальный статус оператора и обязаны заботиться о защите персональных данных сотрудника.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

• в течение трех рабочих дней с момента обращения;

• или в срок, указанный в постановлении суда;

• или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Прежде чем рассматривать, что относится к персональным данным физического лица, давайте уделим внимание правовому основанию этого аспекта взаимодействий. В качестве базового закона используется № 152-ФЗ, принятый в 2006 году. В нём регламентированы все вопросы, что касаются получения, использования, передачи, а также других действий, которые могут проводиться с персональными данными. Там же рассмотрена и их защита. Что подразумевают под персональными данными? Под этим понимают любую информацию, относящуюся к определенному физическому лицу, а также помогает прямо или косвенно установить его личность. Наиболее часто встречаемыми являются фамилия, имя, отчество, дата рождения, адрес регистрации (и местожительства, если они различаются), семейное, социальное, имущественное положение и тому подобное. Если интересует полный перечень того, что относится к персональным данным физического лица, то необходимо обращаться непосредственно к закону. Из-за его большого размера (хватит на книгу) в статье будут приведены только наиболее важные и часто встречаемые моменты.

Значит, нужно продумывать, кто может иметь доступ и в каком объёме. Например, номер телефона и дата рождения – это сочетание, которое не признаётся персональными данными. Почему? Да хотя бы потому, что идентифицировать по ним конкретное лицо не представляется возможным. Конечно, если необходимо по определённым соображениям получить доступ, то специальные органы могут проигнорировать закон «О защите персональных данных», получить телефон, в судебном порядке от оператора связи взять данные о перемещении и узнать, где был какой-то человек. Но это маловероятный сценарий, который встречается как исключение. А так, безусловно, телефон относится к персональным данным физического лица, только в случае, если о человеке известно что-то существенное, то же Ф.И.О.

Законно ли собирать данные людей? Что говорит об этом закон

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» не регламентирует объём той информации, которую можно считать персональными данными. В связи с чем на практике при сборе определённой информации, представители тех структур, в которые обратился потребитель, сами того нехотя, переходят ту невидимую грань, когда определённые запрашиваемые ими сведения являются персональными данными, которые нуждаются в особой правовой защите.

Часто от потребителя требуют сообщить достаточно исчерпывающую информацию, непосредственным образом относящуюся к его личности. Примером может стать примитивная анкета для получения бонусной или дисконтной карты, которую выдают сейчас практически все сферы услуг, будь то это простой продуктовый магазин, магазин детских товаров, зоомагазин, салон красоты, SPA-центр, медицинская клиника или дилерский центр по обслуживанию автовладельцев. Как правило, в таких анкетах стандартный набор вопросов, характер которых разнообразный — семейное положение, состояние здоровья, место жительства, данные, касающиеся имени и фамилии, количества детей в семье и их данные и т.д.

Вместе с тем зачастую запрашиваемая информация никаким образом не относится к непосредственной деятельности представителя той или иной услуги для потребителя. Тем самым представитель конкретной услуги переходит тонкую грань, отделяющую персональные данные от сведений, составляющих тайну частной жизни, личную или семейную тайну потребителя.

Проблема, касающаяся непосредственно объёма той информации, которую можно считать персональными данными, значима еще и потому, что в разных видах деятельности под персональными данными понимаются очень часто не совпадающие наборы данных. А разрозненность законодательной базы в данной области – также создаёт дополнительные трудности, при определении той информации, которая даёт возможность идентифицировать лицо. Так, например, в Федеральном законе от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» к персональным данным отнесены сведения, касающиеся инициалов лица-потребителя той или иной медицинской услуги, его пола, даты и места рождения, гражданства, сведения о документе, удостоверяющем личность, данные о страховом номере индивидуального лицевого счета в системе обязательного пенсионного страхования, сведения, касающиеся анамнеза, диагноза и т.п.

Персональными данными в соответствии с Федеральным законом от 15.11.1997 N 143-ФЗ «Об актах гражданского состояния» считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния. Максимально подробно регламентированы правоотношения относительно персональных данных работника в Трудовом кодексе РФ (глава 14). Вместе с тем объем персональных данных определяется здесь достаточно широко: это информация, которая требуется работодателю в связи с трудовыми отношениями и касающаяся конкретно-определённого работника. Однако трудовое законодательство содержит прямое указание на то, что требовать от лица, поступающего на работу, документы или данные помимо регламентированных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ – запрещено.

Цель использования данных

Нельзя не сказать и еще об одном отличии персональных данных от другой информации – это целевой характер использования персональных данных.

Так, например, исходя из п. 1 ст. 86 ТК РФ обработка данного вида информации может производиться исключительно в целях, «обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества». Данное положение также весьма эффективно способствует отграничить персональные данные от иной информации.

Таким образом, вышеприведённые критерии разграничения дают возможность на практике без труда отграничить персональные данные от иной информации, что исключит ошибки в процессе их использования, а также станет эффективным механизмом в защите прав потребителя.

А как насчет возмещения вреда?

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).
Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

Защита персональных данных

Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.

К исключениям относятся:

• только ФИО субъектов;
• трудовые отношения;
• договорные отношения;
• общедоступные персональные данные;
• однократные пропуска на территорию;
• когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
• транспортная безопасность.

---

Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.

Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.

Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).

Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.

Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.

Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:

• Положение о персональных данных;
• Приказ об утверждении положения;
• Приказ о назначении ответственного лица;
• Политика в отношении обработки и безопасности персональных данных;
• Пользовательское соглашение в приложении и на сайте;
• Инструкция ответственного за организацию обработки персональных данных;
• Приказ о выделении помещений для обработки персональных данных + правила доступа;
• Журнал учета машинных носителей информации с персональными данными.

Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.

Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

Работа со специальными категориями данными

Обработка информации, которая связана с личными политическими взглядами и религией, может быть проведена только в исключительных ситуациях. Сюда также относятся такие моменты, как национальность, особенности личной жизни. Но доступ к подобной информации и ее последующий анализ возможны только при определенных условиях:

1. На обработку предварительно было получено письменное разрешение.
2. Информация является общедоступной.
3. Сведения, которые касаются здоровья человека, могут быть использованы только для сохранения его жизни.
4. Есть необходимость в проведении судебных мер.
5. Требуется провести определенную розыскную деятельность или мероприятия, отвечающие за безопасность.

Несмотря на то, что даже при определенных разрешениях можно получить доступ к персональным данным, человек имеет право отказать в этом праве.

Отказ в предоставлении ПД

Если ранее предоставленное разрешение на предоставление данных начинает тем или иным образом мешать человеку, он имеет право отозвать его. Отказ нужно оформить в виде специального заявления. Отправляется оно не только на фактический адрес организации, но также на юридический.

Чтобы переслать письменное заявление на отказ, рекомендуется использовать обычную почту РФ. К заказному письму следует приложить копию паспорта и иных имеющих отношение к делу документов. Одновременно с этим нужно помнить, что каждая ситуация требует использования индивидуальных мер. Довольно часто требуется участие полиции.

Если перечисленные меры не будут соблюдены, если незаконное разглашение продолжается и причиняет моральный вред владельцу персональных данных, он может подать иск в суд. При доказанном нарушении организациям будет грозить уголовная ответственность. Пострадавший же получит возмещение морального ущерба и имущественного, а также получит компенсацию по убыткам, которые были понесены в результате разглашения ПД.

Похожие записи:

• Какие скидки инвалидам на жд билеты?
• Как восстановить ордер на муниципальную квартиру в Волгограде
• Купить авто с пробегом: алгоритм действий в 2023 году