+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Специальные категории пдн. Специальные категории персональных данных и кто может запрашивать к ним доступ

Содержание

Специальные категории персональных данных и другие виды: охрана, обработка, исключения из правил

Специальные категории пдн. Специальные категории персональных данных и кто может запрашивать к ним доступ

Бизнес юрист > Гражданское право > Специальные категории персональных данных и кто может запрашивать к ним доступ

В повседневной деятельности человека возникают ситуации, когда ему требуется предоставить данные о себе. Важно, если субъект просит получения доступа к ним, разрешить обработку может только их владелец, помимо отдельных моментов, прописанных в законе.

Общее понятие

Это сведения, относящиеся к физическому лицу, которые идентифицируют его на этом основании.

Персональные данные

Для определения личности человека достаточно одного или нескольких сведений, персональные данные (ПД) имеют конфиденциальный характер, и при обработке оператором это требование обязано соблюдаться.

В качестве оператора могут выступать органы государственной и муниципальной власти, организации и даже обычные люди. Например, при создании сайта, для регистрации требуется введение какой-то запрашиваемой информации: номера телефона, имени или почтовый адрес. Владелец этого ресурса получает к ней доступ и несет законодательную ответственность за сохранение ее в тайне.

Виды персональных данных:

  • Специальные сведения
  • Общедоступные сведения
  • Биометрические сведения
  • Иные сведения

Специальные данные

Специальные категории персональных данных – сведения, затрагивающие отношения к расе или нации, вопросы политических, религиозных и философских взглядов. Также сюда относится информация о здоровье физического лица и его интимной жизни. Операторы не запрашивают и не распространяют эту информацию без письменного подтверждения о согласии владельца.

Исключение составляют случаи:

  1. Разрешение в письменной форме гражданина.
  2. Субъект выложил эти сведения в источники публичного доступа.

    Защита персональных данных

  3. Обработка информации нужна для установления диагноза или профилактики заболеваний.
  4. Сведения необходимы для предотвращения риска жизни и здоровья, при условии невозможности получения разрешения владельца.
  5. Обработка происходит по законам, регламентирующим трудовую деятельность, деятельность пенсионной системы РФ.
  6. Если гражданин состоит в общественном или религиозном обществе, а обработка предполагается их организационно-правовой формой. При этом сведения не распространяются за пределы объединения без письменного разрешения владельца.
  7. Если разглашение данных поможет защитить права владельца информации или иных лиц, а также совершить правосудие.
  8. Обработка происходит в рамках законов России, в частности регламентирующих безопасность и противодействие терроризму, коррупции и работу оперативно-розыскных органов.

Общедоступные данные

Общедоступные данные — это информация, которую получает другой субъект о ком-то с согласия конкретного лица. Для подтверждения согласия достаточно ограничиться устным разрешением, но при этом оператор должен суметь доказать это согласие в случае возникновения спорных вопросов.

Неразглашение персональных данных

Сюда относятся данные, которые расположены в источниках открытого доступа. К таковым относятся справочники и адресные книги, когда материалы помещены там с согласия указанной личности.

Невозможно контролировать доступ к этой информации, ее может узнать любой человек.

Общедоступными сведения также становятся, если субъект самолично выложил их в открытом доступе, но даже тогда оператор обязан запрашивать разрешение на распространение.

По требованию субъекта эти сведения должны быть немедленно изъяты из общедоступных мест, если на это есть соответствующее решение суда или других органов, имеющих полномочия.

К общедоступным сведениям относятся:

  • Полные ФИО
  • Адрес
  • Дата рождения
  • Семейное положение
  • Образование физического лица
  • Другие сведения

Биометрические данные

Биометрические сведения — это информация, которая определяет людей по особенностям физиологии. Исходя из этого, можно установить личность необходимого человека. Для получения таких сведений требуется обязательное письменное разрешение владельца, исключая случаи, указанные в законе.

К информации такого рода относятся в первую очередь фото- и видеосъемка. Однако видео с камер охраняемой территории не относится к биометрическим сведениям, пока не используется для установления личности конкретного человека.

То же можно сказать о данных, находящихся в медицинской карте и истории болезни субъекта, так как медицинские учреждения не используют эту информацию в целях определения человека и не передают никому. Но как только эти материалы будут переданы по запросу в уполномоченные органы для оперативно-розыскной деятельности, они меняют свой статус.

На что стоит обратить внимание

Закон имеет нюансы, которым также нужно уделить внимание:

  1. Любая обработка информации должна следовать конкретной цели. Если итог и цель не совпадают, то такой сбор сведений не законен. Поэтому нельзя совмещать несколько информационных баз в одну, если их цели различны.
  2. Оператор информации отвечает за актуальность и полноту сведений, при этом удаляет или корректирует материалы вследствие их изменений.

    Как избежать утечки персональных данных

  3. Существует важный нюанс, если лицо осуществляет обработку по поручению кого-то, то оно не несет обязательства перед владельцем ПД, а также не обязано запрашивать у него разрешение. Все взаимоотношения производятся между оператором и субъектом информации. Но третье лицо несет обязательства перед оператором.
  4. Если личные данные необходимы для личных или семейных нужд, это не регламентируется указанным законом. Сюда относятся страницы друзей в социальных сетях, телефоны в записной книжке.
  5. К письменному согласию приравнивается разрешение, составленное в виде электронного документа, заверенного такой же подписью.
  6. Недееспособное лицо не вправе дать одобрение на обработку сведений о себе, за него это делает законный представитель. То же касается несовершеннолетних детей.

Субъект персональной информации может только разрешить или не разрешить обработку своих данных в форме, допускающейся законом. Обязательства за сохранение конфиденциальности возложены на оператора. Разглашение и неправомерное использование данных, особенно относящихся к специальной категории, преследуется по закону и регламентируется Роскомнадзором.

Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Специальные категории персональных данных и кто может запрашивать к ним доступ

Специальные категории пдн. Специальные категории персональных данных и кто может запрашивать к ним доступ

Здравствуйте, в этой статье мы постараемся ответить на вопрос «Специальные категории персональных данных и кто может запрашивать к ним доступ». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации.

Настоящим Регламентом определяется порядок обращения с персональными данными покупателей-клиентов ООО «Техоборонэксперт» (далее – Компания).
Персональные данные клиента – любая информация, относящаяся к конкретному субъекту персональных данных и необходимая Компании.

Штрафы, суды и другие ужасы

Идём дальше. В СМИ постоянно пишут «хранение персональных данных». Правильно говорить не хранение, а обработка персональных данных. В чём разница? Хранение — это лишь часть того, что называется обработкой персональных данных.

Любые действия, которые вы совершаете с персональными данными (собираете, накапливаете, храните, передаёте, изменяете), в законе обозначены как «обработка персональных данных».
Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик.

Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

Это любые сведения о человеке вместе или по отдельности, будь то имя, фамилия, номер телефона, его электронная почта и пр.

Не сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, а также в случаях, установленных федеральным законом.

Сведения о персональных данных клиентов относятся к числу конфиденциальных (составляющих охраняемую законом тайну Компании).

При утрате индивидуальности ПД в разрешении их владельца во внесение сведений в общий доступ нет необходимости.

При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.

На самом деле, обработчик — это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике.

И если теперь вы получаете звонки от банков и коллекторов, которые никак не оставят в покое не только вас, но и ваших родственников, а также коллег, то пора отозвать согласие на обработку ПД. Конечно, они уже были переданы этим организациям, но данный шаг поможет вам спугнуть вымогателей.

При этом согласно ФЗ-152 здесь существуют ограничения, а именно, доступ может быть осуществлен только с письменного разрешения владельца.

По характеристикам безопасности ПД, обрабатываемых в информационной системе, ИС подразделяются на типовые и специальные.

Немного про опасность утечек персональных данных

В вопросах хранения и использования персональных данных кодекс отсылает читателя к специализированному законодательству и подзаконным актам, т.е. к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» .

С июля 2021 года была изменена ответственность за нарушение законодательства о персональных данных. Один из новых составов правонарушений – невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки таких данных (далее – Политика).

И если сотрудник начнет оспаривать это решение в суде, то работодатель обязан доказать, что разглашенная информация относится к тайне, сведения которой сотрудник обязывался никому не сообщать.

Один из новых составов правонарушений – невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки таких данных (далее – Политика). Причем названная обязанность существует еще с 2011 года, но специальная ответственность за ее невыполнение установлена только сейчас.

И если сотрудник начнет оспаривать это решение в суде, то работодатель обязан доказать, что разглашенная информация относится к тайне, сведения которой сотрудник обязывался никому не сообщать.

Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки.

Информационная система персональных данных и оператор – что это?

Обязательно! Этого требуют положения ФЗ «О персональных данных». На интернет сайтах это реализуется включением в формы обратной связи, формы подписки на рассылку, формы для регистрации пользователей и другие формы ссылки на политику конфиденциальности и соответствующего текста.

В ФЗ «О персональных данных» сказано, что «Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных…». Поэтому документ мы назовем «политика в отношении обработки персональных данных».

Одно из средств защиты информации — это обезличивание персональных данных. Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Вобщедоступные источники персональныхданных с письменного согласия субъектаперсональных данных могут включатьсяего фамилия, имя, отчество, год и месторождения, адрес, абонентский номер,сведения о профессии и иные персональныеданные, сообщаемые субъектом персональныхданных.

Следует помнить, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Исходя из этой классификации можно констатировать, что любые медицинские данные, а также кадровый учет, содержащий графу “национальность” (а таковы почти все действующие анкеты и личные листки по учету кадров, используемые в настоящее время), необходимо относить к первой категории. Понятно также, что фрагменты персональных данных почти всегда имеют меньшую категорию, чем их совокупность.

Исходя из того, что в обязательном порядке требуется обеспечение конфиденциальности данных, можно выделить необходимые элементы информационной системы для обработки персональных данных.

Заработная плата – это персональные данные или нет?

При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При принятии решений, затрагивающих интересы клиента, Компания не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.

Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Объясняем термины человеческим языком

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных».

В организации могут создаваться сводные перечни (списки) источников, которые находятся в общем доступе.

По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет.

Собирая информацию такого рода, работодатель, согласно закону №152-ФЗ, получает статус оператора, а работник — субъекта данных.

Ответ: «Да». По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье — персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже.

Если гражданин состоит в общественном или религиозном обществе, а обработка предполагается их организационно-правовой формой.

Изменение персональных данных работника

Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ.

Все,что нужно знать о категориях персональных данных

Специальные категории пдн. Специальные категории персональных данных и кто может запрашивать к ним доступ

Задача современного мира — обеспечить защиту персональных данных от внутреннего нарушителя частной информации. 

Что представляют собой подобные сведения и как проводится их защита?

Защита и прием персональных данных проводится в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных»

Персональные данные

Персональные сведения — существенная информация, относящаяся к конкретному лицу.

Персональная информация:

  • ФИО конкретного лица.
  • Полные год, месяц, а также полная дата рождения.
  • Адрес подобного физического лица, а также положения в семье и в обществе.
  • Образование подобного лица, основная профессия и уровень доходов.
  • Другая информация, которая содержится в действующем на территории страны федеральном законодательстве.

К другой информации относятся нижеперечисленные данные:

  • Паспортные данные физического лица.
  • Разнообразные финансовые ведомости.
  • Медицинская карта человека.
  • Биометрия.
  • Иная информация, которая, так или иначе, носит какой-либо идентифицирующий характер.

Общедоступные источники предоставления информации:

  • Адресные книги.
  • Всевозможные списки.
  • Иное обеспечение.

В подобные источники включается информация о конкретном лице, но сведения о человеке вносятся только с письменного согласия самого лица.

Для внесения требуются данные:

  • ФИО человека.
  • Год и точное место рождения.
  • Полный адрес регистрации или же прописки.
  • Абонентский номер конкретного гражданина.
  • Иная информация, которую согласен предоставить человек.

Иные данные относятся к специализированной категории ограниченного доступа.

По этой причине сведения должны быть надежно защищены действующим на территории нашей страны законом.

При проведении формирования требований по безопасности систем, данные подразделяются сразу на четыре категории.

Установленные категории данных

Ниже определено количество категорий.

К подобным категориям относятся:

  • Общедоступные.
  • Специальные.
  • Категории, подвергающиеся обработке непосредственно в информационных системах.
  • Биометрические.
  • Какие-либо иные категории.

Описание категорий

  • Общедоступные данные — сведения, которые получает гражданин ли группа лиц, с согласия определенного субъекта.

Источники общих данных — адресные книги, справочники и прочие общедоступные способы получения информации.

Такая информация исключается из источников по решению суда и других уполномоченных органов.

  • Специальные данные — сведения о национальности человека, расы и взглядов на политическую деятельность.

Подобную информацию получают только в ситуации, когда человек самостоятельно подписывает согласие на проведение установленной процедуры обработки персональных сведений.

  • Личные данные, обрабатывающиеся в специализированных информационных системах.

Определяются отдельные категории:

  1. первые касаются национальной и расовой принадлежности, а также политических взглядов;
  2. вторая категория позволят провести идентификацию человека и получить о нем информацию;
  3. данные, позволяющие по каким-либо сведениям провести идентификацию субъекта;
  4. общедоступные данные.

В разнообразных системах проводится обработка личных сведений, в среднем, в одно и то же время проводится обработка данных примерно ста тысяч человек.

  • Последний тип данных – биометрический.

Биометрический тип характеризуется данными об особенностях физиологии конкретного человека. Благодаря сведениям о физиологии есть возможность легко установить личность каждого определенного человека.

Сведения должны обрабатываться только при наличии личного согласия человека на совершение такого действия. Без согласия физического лица процедуру использования сведений можно проводить только на основании вынесенного решения суда.

Сюда относятся фото и видео субъекта.

Права субъекта

В качестве субъекта выступает определенное конкретное лицо, которое идентифицируется по внесенным им данным.

Это фактическое лицо, нуждающееся в защите на основании текущего закона.

Перечень прав субъекта:

  • Субъект получает неограниченный доступ к внесенным в программы или документы данным.

Доступ заключается в том, что субъект имеет право на грамотное предоставление сведений о непосредственном операторе данных.

Человек может потребовать  от  оператора частичное или полностью заблокировать уточнение имеющихся в программе данных.

В программе может содержаться:

  1. цель проведения обработки;
  2. способы, при помощи которых проводится обработка;
  3. сроки проведения обработки;
  4. перечень лиц, которые допущены к проведению обработки;
  5. перечень источников непосредственного получения личных данных;
  6. сведения о последствиях проведения обработки информации.
  • Обработка в ситуации, напрямую касающейся продвижения различного товара, выполнения работ или агитации, должна проводиться с согласия самого субъекта.
  • Физические лица самостоятельно принимают объективное решение в ситуации, когда их данные будут обрабатываться автоматизированным способом.

То есть, при проведении обработки персональных данных, субъект в обязательном порядке должен дать свое письменное согласие по форме на проведение действий, касающихся сведений.

Случаи, при которых письменное согласие требуется, четко оговариваются в текущем законодательстве.

  • Субъект обжалует действие или же напротив бездействие своего фактического оператора, занимающегося обработкой предоставленных ему данных.

Это право действует, когда человек по существенным причинам полагает, что оператор проводит процедуру обработки внесенных данных неправильным образом.

Человек может обратиться в профильный орган, занимающийся защитой прав существующих субъектов.

[box type=»download»] Каждый субъект имеет существенное право на возмещение убытков и компенсации фактического морального вреда, путем непосредственного обращения в суд с письменным исковым заявлением.[/box]

Оператор персональных данных

В качестве непосредственного оператора признается специализированный орган государства.

Организует требующуюся обработку, а также определяет фактические цели и содержание обработки данных.

Каждая организация, которая осуществляет сбор, хранение или уточнение имеющихся данных, является своего рода зарегистрированным оператором.

Некоторые организации, особенно, гсоударственные, по роду своей деятельности собирают и обрабатывают данные, принадлежащие их клиентам.

Оператор имеет полное право не уведомлять о проведенной обработке Роскомнадзор.

Оператор использует сведения без какого-либо уведомления:

  • Субъекта с непосредственным оператором связывают трудовые взаимоотношения.
  • Оператор получил личную информацию на основании зарегистрированного договора, одной из сторон — субъект.

Без предупреждения информация не распространяется и не передается посторонним третьим лицам.

  • Субъекты относятся к участникам общественных движений, а также религиозных организаций.
  • Данные полностью общедоступны.
  • Сведения содержат только ФИО субъекта.
  • Информация требуется только для однократного доступа субъекта на территорию, на которой находится оператор.

Обязанности оператора:

  • Контроль за безопасностью обработки данных.
  • Соблюдать уведомительный характер проведения обработки полученных персональных данных.
  • При получении личных данных, оператор должен получить письменное согласие субъекта на проведение грамотной обработки.
  • По первому требованию оператор предоставляет субъекту имеющиеся на текущий момент времени данные и вносит изменения.
  • Оператор предоставляет доказательство, что он получил согласие от субъекта на обработку данных.
  • По запросу специализированного органа, оператор дает имеющуюся информацию об определенном субъекте.

Обработка персональных данных

Основные принципы, на основании которых производится обработка принятых данных:

  • Оператор определяет цели в соответствии со своими действующими полномочиями.
  • Характер обработки соответствует поставленным целям.
  • Нельзя объединять персональные данные, представленные для целей разного направления.
  • По достижении поставленных целей персональная информация удаляется.

Два основных способа обработки персональных данных: автоматизированный и неавтоматизированный.

  • Неавтоматизированный метод обработки сведений — без использования средств автоматизации.

Запрещается фиксировать на одной и том же материальном носителе сведения, цели обработки несовместимы.

При обработке категорий персональных данных для их фиксации используются разные носители.

  • Второй способ обработки – автоматизированный.

Комплекс предоставляемых личных сведений подвергается обработке при помощи автоматизированных систем.

При этом операции проводятся полностью с использованием автоматизированных процессов или  частично.

Распространено использование частичного способа, так как это позволяет проводить обработку самостоятельно самим оператором, а хранить ее при помощи специальных программ.

Как обеспечивается безопасность персональных сведений?

В соответствии с законодательством, оператор должен принимать необходимые меры для защиты сведений от неправомерного или же ненамеренного доступа к ним.

Установление защиты достигается:

  • Исключение умышленного доступа к имеющимся данным.
  • Исключение случайного доступа к принятым данным.

Обязанность по обеспечению безопасности хранения информации полностью ложится на плечи оператора обработки данных.

По этой причине каждый оператор должен проводить следующие ключевые мероприятия:

  • Защищать информацию от несанкционированного доступа.
  • Обнаружить факт несанкционированного доступа к принятым личным данным.
  • Восстанавливать поврежденные персональные сведения.
  • Защищать вверенные ему сведения.

Контроль и надзор за выполнением требований закона

За выполнением  требований законодательства следит Роскомнадзор.

Роскомнадзор имеет право на:

  • Запрос у лиц информации, требующейся для грамотного контроля.
  • Проверка сведений, которые содержатся в предоставляемых уведомлениях.
  • Требование от действующего оператора уточняющей информации.
  • Блокирование или полное уничтожение предоставленных сведений, полученных каким-либо незаконным путем.
  • Принятие мер по приостановке или полному прекращению процедуры обработки сведений.
  • Обращение в суд для защиты прав субъектов.
  • Направление в прокуратуру или в другой уполномоченный орган материалов, необходимых для возбуждения уголовного дела из-за нарушения процедуры обработки личных данных.
  • Внесение в действующее Правительство предложений, которые направлены исключительно на совершенствование регулирования процедуры обработки внесенных данных.
  • Привлечение к установленной ответственности лиц, которые виновны в нарушении законодательства, регулирующего вопросы обработки информации о лице.

Персональные данные: что является ПДн, оператор ПДн, документы для обработки ПДн

Специальные категории пдн. Специальные категории персональных данных и кто может запрашивать к ним доступ

04.09.2021

Наверное, нет таких предпринимателей, которых бы не пугали Роскомнадзором в 2021 году. Защищать персональные данные своих сотрудников и клиентов прошлым летом ринулись многочисленные предприниматели и в особенности интернет-предприниматели.

И тому была веская причина — ответственность за нарушение порядка обработки персональных данных была серьезно ужесточена — теперь есть ответственность в виде штрафа за неопубликование Политики обработки персональных данных.

При этом дела передали рассматривать от прокуратуры в Роскомнадзор, который куда более оперативно стал проводить проверки и рассматривать жалобы.

Что такое персональные данные?

Если вы зададите такой вопрос Роскомнадзору (а его не задавал только ленивый), то получите типовой ответ из Закона о персональных данных, что ПДн — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а также их совокупность». Исходя из этого мы можем сделать вывод, что ПДН — это практически любая информация, а чаще её совокупность (например, ФИО и дата рождения), с помощью которой определяется или может быть определено конкретное физическое лицо.

Поскольку законодательство не содержит конкретного перечня персональных данных, к таковым может быть отнесена любая информация о гражданах, в частности:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация и т.п.;
  • контактная информация (адрес, номер телефона и т.п.);
  • семейное положение, наличие детей;
  • факты биографии;
  • СНИЛС;
  • дата и место рождения;
  • адрес;
  • email;
  • финансовое положение, включая сведения о зарплате (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • фотография и видеозапись, позволяющие установить личность человека (Разъяснения Роскомнадзора);
  • ссылка на персональный сайт;
  • ссылка на профиль в социальных сетях.

При этом само по себе ФИО или email ещё не будут персональными данными, т.к. не позволяет определить конкретное лицо, а вот вместе с дополнительными сведениями — об адресе, дате рождения или месте работы — уже будут являться ПДн. В отношении email есть интересная позиция: если адрес электронной почты содержит имя и фамилию гражданина, то он сам по себе тоже является персональными данными.

Отдельный вопрос, являются ли файлы файлы cookies (в которых собираются поведенческие сведения о пользователи конкретного ПК: посещенные сайты, длина сессий, аутентификационный идентификатор и т.п.

), данные о поведении пользователя на сайте, IP-адрес и сведения о геопозиции персональными данными? Роскомнадзор считает эти данные персональными и не только в совокупности с ФИО или фотографией пользователя, но и сами по себе.

В действительности cookies и IP-адрес лишь передают сведения о конкретном ПК или ином устройстве, выходящем в интернет, но не обязательно о конкретном пользователе.

IP-адрес ещё менее «надёжно» определяет пользователя, так как компьютеры и прокси могут совместно использоваться несколькими пользователями, а один компьютер может использовать разные IP-адреса в разных сессиях (динамический IP-адрес).

Есть несколько примеров, когда суды принимали решение признать персональным данными только имя в онлайн-форме на сайте (к примеру, постановление Тамбовского областного суда от 04.10.2021 по делу № 4А-288 в отношении тамбовской юридической фирмы). Ориентироваться на такую судебную практику не стоит:

  1. При желании можно найти решения суда, подтверждающие практически любую позицию, но это не значит, что эта позиция верна.
  2. Постановление Тамбовского областного суда — яркий пример судебного акта, который должен был быть отменён как незаконный и необоснованный, однако «нарушитель» не стал его обжаловать в Верховный суд РФ. Ведь очевидно, что имя не позволяет определить конкретное лицо с необходимой степенью достоверности.

К «неперсональным данным» относятся:

  • ИНН, так как он включен в ЕГРЮЛ и свободно доступен;
  • рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте);
  • видеозапись в публичных местах и на охраняемой территории;
  • образцы почерка (подписи) и фотография гражданина в его личном деле у работодателя согласно позиции Роскомнадзора, что «поскольку… личность уже определена и чьи персональные данные уже имеются в распоряжении оператора».

Однако если они будут использованы для идентификации человека, то сразу же становятся ПДн и более того специальной категорией — биометрическими ПДн.

Кто является оператором персональных данных?

Многие до сих пор считают, что операторы персональных данных — это какие-то компании, оперирующие огромными массивами данных о гражданах, но никак не они сами. На самом деле нет бизнеса, который бы не являлся оператором персональных данных, ведь при наличии хотя бы одного работника, пусть даже это и сам владелец бизнеса, вы уже являетесь оператором.

Вы проводите семинар и просите слушателей оставить свои контактные данные (ФИО, email, название компании, должность, телефон и т.п.) в этом случае кем бы вы не являлись обычным гражданином или предпринимателем — вы оператор персональных данных, который:

  • собирает (как раз на семинаре);
  • систематизируете и записываете (вы делает отдельный файл в Excel со списком участников данного мероприятия);
  • накапливает (будете собирать в этот же файл или другой ПДн слушателей с других своих семинаров) и хранит;
  • уточняет (слушатель сообщил вам, что сменил номер телефона или место работы);
  • извлекаете сведения для передачи в сервис почтовых рассылок;
  • после неудачной доставки некоторым из пользователей, у которых не удалось уточнить их email вы их просто блокируете или удаляете.

Все эти действия и называются обработкой.

Часто считают, что оператором ПДн становятся только в случаях подачи уведомления в Роскомнадзор, однако Закон о персональных данных связывает статус оператора как раз именно с началом обработки ПДн, а не с подачей уведомления регулятору.

Поэтому разработка мер защиты ПДн — это задача каждого юридического лица, ИП и даже гражданина, который их обрабатывает. Естественно, интерес у контролирующих органов к обычным гражданам куда меньше, чем к бизнесу, который к тому же планово проверяется.

Но не стоит думать, что Роскомнадзор не может проверить гражданина, который владеет сайтом и собирает через него заказы или обращения.

Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Когда надо получать согласие на обработку персональных данных?

Во-первых, надо чётко понимать, будет ли собираемая совокупность данных являться персональными. Во-вторых, для каждой группы граждан, данные которых собираются, должны быть определены цели такой обработки.

К примеру, при размещении на сайте формы подписки на рассылку, в которой будет только email и впоследствии не будет дополнительно требоваться ФИО, согласие на обработку ПДн не требуется. Многие сайты стараются получать согласия во всех случаях сбора данных о пользователе, т.к. нельзя исключать, что Роскомнадзор может изменить свой подход к ситуации.

Когда не нужно согласие на обработку персональных данных?

Если целью является исполнение требования какого-либо закона, то получать согласие на обработку ПДн не требуется, однако если компания преследует какие-то иные коммерческие или некоммерческие цели, то такое согласие необходимо.

К примеру, работодатель в соответствии с Трудовым Кодексом РФ выполняет ряд действий с ПДн работников, акционерные общества, страховые и кредитные организации размещают в силу закона на своих сайтах сведения об аффилированных лицах и входящих в состав управляющих органов без какого-то согласия с их стороны.

Но для того, чтобы установить систему контроля доступа и использовать отпечатки пальцев или радужку глаз, просто изображение гражданина — потребуется письменное согласие работника или иного лица, которого вы будете идентифицировать.

Такое согласие не требуется в случаях, когда обработка персональных данных:

  1. необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  2. осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, естественно при условии, что ПДн не передаются дальше;
  3. осуществляется для статистических или иных научных целей при условии обязательного обезличивания;
  4. необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (к примеру, при экстренной госпитализации или ЧС);
  5. необходима для доставки почтовых отправлений, осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  6. осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  7. осуществляется в отношении данных, подлежащих опубликованию в соответствии с законодательством в отношении государственных и муниципальных служащих, а также кандидатов на выборные должности.

Защита персональных данных

Ключевым моментом, связанным с вопросом персональных данных, является именно их защита — на это нацелены все усилия государства и построена вся логика работы с этими данными. Конкретные действия по защите определяет сам оператор (тот, кто обрабатывает ПДн) кроме единственного вопроса — назначения ответственного за организацию обработки ПДн, что он должен сделать сразу и безусловно.

Такие меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними.

Если проверяющие посчитают, что такие меры были недостаточными, то последует штраф и предписание, за неисполнение которого также предусмотрен ещё один штраф.

И так до того момента, пока вы не выполните всё ожидаемое от вас даже если вам это будет мешать вести бизнес.

Все мероприятия делятся на два вида:

  1. Юридические — по созданию комплекта документов.
  2. Технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. К примеру, установить антивирус, файерволл, пароль на ПК, иногда установить шифрование, обучить сотрудников.

В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе или закрывающемся шкафу или комнате, иметь замки в офисе, охранную систему).

Для защиты электронных данных вам потребуется определить, какой у вас тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности. От уровня защищенности будет зависеть конкретный комплекс мер, которые вы должны принять.

Специальные требования по защите ПДн предусмотрены для отдельных категорий операторов, к примеру, органов власти. Компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR), в том числе если они продают товары гражданам Евросоюза, должны учитывать также требования этого регламента.

Производить видеозапись или фотографирование клиентов, в т.ч.

пациентов не запрещено, если целью является контроль за оказанием услуг или их улучшение (фото- и видеофиксация, создание обучающих видео), однако Роскомнадзор придерживается позиции, что в «целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер».

Совет: установите в Политике по обработке персональных данных (является обязательным документом для всех, кто вообще обрабатывает их) порядок и сроки хранения фото- и видеозаписей с изображением сотрудников и клиентов, приведите в соответствие с ними настройки вашей техники, ограничьте доступ к этим записям лиц, не имеющих служебной необходимости их просматривать.

Минимальный комплект документов для законной обработки персональных данных:

  1. Политика в отношении обработки персональных данных — документ в котором устанавливаются категории, цели, способы обработки ПДн, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению. Документ должен быть размещён онлайн или на видном месте в помещении компании.
  2. Приказ о назначении лица, ответственного за организацию обработки персональных данных.
  3. Приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц, который выполняет требование разграничения доступа и позволяет установить, какой из сотрудников имел доступ в случае разглашения.
  4. Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Читайте вторую часть: инструкция по защите ПДн на сайте.

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.