что считать персональными данными физического лица
Что считать персональными данными физического лица
Для физических лиц
История становления института защиты персональных данных Мировая история защиты персональных данных
С начала 60-х годов прогресс в области электронной обработки данных и появление первых ЭВМ позволило государственным органам и крупным предприятиям создавать обширные банки данных для повышения эффективности и увеличения сбора, обработки взаимосвязанных личных данных. Хотя такое развитие событий привнесло значительные преимущества с точки зрения эффективности и производительности, в свою очередь, это породило и явную тенденцию к массовому электронному хранению данных, касающихся частной жизни людей.
Первые шаги в этом направлении были предприняты в начале 70-х годов, когда впервые были установлены Принципы защиты персональных данных в автоматизированных банках данных в частном и государственном секторе. Цель состояла в том, чтобы привести в движение развитие национального законодательства на основе этих резолюций. Однако в ходе подготовки этих документов стало очевидно, что комплексная защита персональных данных будет эффективной только через дальнейшее укрепление таких национальных правил посредством обязательных международных норм. Это же предложение было сделано на Конференции европейских министров юстиции в 1972 году.
Только в 1981 году, после четырех лет переговоров, была заключена Конвенция «О защите физических лиц при автоматизированной обработке данных личного характера», известная как Конвенция 108. Договаривающиеся Стороны настоящей Конвенции должны предпринимать необходимые меры во внутреннем законодательстве для реализации принципов, изложенных в Конвенции 108, в отношении персональных данных каждого гражданина на их территории.
Конвенция 108 была первым юридически обязательным международным документом мирового значения о защите данных, отчасти вдохновленная уже существующей на тот момент европейской конвенцией о Правах человека и основных свободах, которая была открыта для подписания в 1950 году. В частности, ст. 8 гласит, что «каждый человек имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции».
Основными принципами обработки и защиты персональных данных, предлагаемыми Конвенцией 108, стали добросовестность и законность получения и обработки персональных данных, хранение персональных данных для определенных и законных целей и неиспользование их способом, не совместимым с этими целями. Защита персональных данных должна осуществляться с применением соответствующих мер безопасности, что делает невозможным их случайное или несанкционированное уничтожение или случайную потерю, а также предотвращает несанкционированный доступ, модификацию и распространение персональных данных.
Конвенция предусматривает свободный поток персональных данных между государствами-участниками Конвенции. Этот свободный поток не может быть ограничен по соображениям защиты персональных данных, если только Стороны не отступают от этого условия, что они могут сделать только в двух конкретных случаях: когда защита персональных данных другой Стороны не «эквивалентна» или когда данные передаются в третью страну, которая не является Стороной Конвенции.
Предпосылки к построению системы защиты ПД
В связи со стремительным развитием информационной и телекоммуникационной сферы, с внедрением новых технологий, распространением инновационных, глобализационных и интеграционных процессов, Конвенция 108 стала основой для дальнейшего развития регулирования в сфере защиты персональных данных.
Поскольку ст. 4 предусматривает, что государства должны ввести в действие адекватное законодательство, прежде чем стать участником Конвенции, 38 государств ратифицировали Конвенцию и 13 ратифицировали дополнительный протокол. Другие страны готовятся ратифицировать документы, которые, с прецедентным правом Европейского суда по правам человека, являются частью образованного сообщества. Вместе с тем, эти инструменты не ограничиваются государствами-членами Совета Европы, поскольку ст. 23 для государств, которые не являются членами Совета Европы, предусматривается присоединение к Конвенции.
Уполномоченные органы, как омбудсмены, которые стали неотъемлемой частью системы управления в демократическом обществе, должны интерпретировать принципы Конвенции и применять их при решении новых проблем и вопросов. Вместе с тем, опыт показывает, что ни принципы Конвенции, ни национальные правила по защите данных не могут регулировать точно каждую ситуацию, в которой персональные данные собраны в различных секторах: медицинская помощь и исследования, социальное обеспечение, страхование, банки, полиция, телекоммуникация и прямой маркетинг и т.д. Конечно, в каждой из этих областей данные должны быть собраны и обработаны в соответствии с основными принципами Конвенции, но пути и средства могут быть разными.
Защита персональных данных в Российской Федерации
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст.2 № 152-ФЗ «О персональных данных»).
Что же такое «персональные данные»?
Согласно базовому закону, персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональными данными являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта и т.п. Однако, здесь существуют нюансы, которые четко прописаны в законодательстве. Например, само по себе имя или даже имя, фамилия, отчество не будут являться персональными данными в том смысле, который мы вкладываем в рамках законодательства. Если на листке бумаги написать «Иванов Иван Иванович», это еще не означает, что в открытом доступе находятся чьи-то персональные данные и его права, как гражданина и субъекта персональных данных, ущемлены. Только если по этим данным возможно прямо или косвенно определить конкретную личность, они будут являться персональными данными.
В законодательстве о персональных данных все мы, физические лица, являемся «субъектами персональных данных», соответственно, имеем право на защиту своих прав, и Роскомнадзор является регулятором в данной области, выступая уполномоченным органом по защите прав субъектов персональных данных.
Берегите ваши персональные данные!
Многие граждане уже привыкли, что в магазинах, турфирмах, спортивных клубах, на сайтах интернет-магазинов, в учебных заведениях и кредитно-финансовых учреждениях собирается огромное количество ксерокопий паспортов и иных, удостоверяющих личность, документов, теряются медицинские карты, выбрасываются на мусорку мешки с финансовыми документами, содержащими персональные данные. Между тем, принципы обработки персональных данных очень хорошо описаны в ст.5 закона «О персональных данных». В частности, данные должны обрабатываться только в объёме, соответствующем целям обработки, запрещён сбор избыточных данных («на всякий случай»), обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Помните: в соответствии с требованиями российского законодательства субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, соответственно, оператор персональных данных обязан предоставить данную информацию субъекту по запросу.
На Ваши вопросы готовы ответить специалисты Управления.
Обратите внимание, что жалобы и запросы принимаются только в письменной форме. Для этого достаточно отправить письмо по электронному, почтовому адресу или через форму отправки электронного сообщения. Вся необходимая контактная информация размещена в разделе КОНТАКТЫ
Время публикации: 18.04.2014 15:26
Последнее изменение: 22.08.2017 16:17
Что такое персональные данные
Понятие персональных данных и правовое регулирование
Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.
Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.
Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?
Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.
На основании п. 2.5 указанного документа к личным данным относятся:
При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.
Иные персональные данные
Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:
Особенности отнесения некоторой информации к личной
Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.
Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.
Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.
В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.
Номер телефона
Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.
Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.
Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.
Электронная почта
Ответ на вопрос, является ли электронная почта персональными данными, менее очевиден, поскольку на законодательном уровне он не регламентируется. Исходя из общих положений, при отсутствии иных сведений о лице, которому принадлежит e-mail, электронный адрес не относится к персональным данным.
Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.
Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.
ИНН, СНИЛС, паспортные данные
В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.
Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.
Итоги
Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.
Кратко и доступно: что такое персональные данные, их хранение и обработка
Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.
Что относится к персональным данным
Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.
Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.
То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.
Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:
| Не ПДн | ПДн |
| ivan999@mail.ru | ФИО: Иванов Иван Иванович, email: ivan999@mail.ru |
| 30% опрошенных женаты | Иванов Иван Иванович женат |
Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.
Какие бывают виды персональных данных
В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.
Общие персональные данные
К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.
Специальные персональные данные
Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.
Биометрические персональные данные
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.
А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.
Иные персональные данные
В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.
Иные данные сложнее всего отличить от специальных. Разница следующая:
Кто такие оператор и субъект персональных данных
В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.
Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:
Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.
В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.
Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.
Как оператор обязан защищать персональные данные
Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:
Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.
В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Как суды и Роскомнадзор (РКН) определяют что является персональными данными, а что нет?
В ст. 3 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» закреплено понятие “Персональные данные” (ПД), это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В сущности, понятие не содержит в себе какой-либо помощи тому, кто пытается понять, что такое ПД.
С одной стороны, это дает определенную свободу Операторам ПД, но с другой стороны, это развязывает руки РКН и судьям при рассмотрении дел, связанных обработкой ПД. Ни один сотрудник РКН еще не дал однозначного ответа на вопрос, что является ПД, а что нет.
Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?
Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.
ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных
Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.
Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email адрес ПД или нет.
Существует точка зрения, что если email содержит в себе ФИО (например: lev.kusnetsov@gggg.ru), то он является ПД. Ну и тут возникает вопрос, чем тогда такой email адрес отличается от просто ФИО, которые не являются ПД (см. пункт ниже)?
К сожалению, законоприменительная практика по вопросам ПД разнится от случая к случаю и по многим вопросам существуют различные решения суда и РКН. Нет однозначного ответа, какая комбинация данных, по мнению законодательного и административного органов, является ПД, а какая нет.
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!