Новые правила обработки и распространения персональных данных с 1 марта 2021 года

Что относится к персональным данным: виды тайн и сведений

Нормативно-правовая база

Основные юридические документы, устанавливающие принципы использования ПДн:

  • Конституция Российской Федерации. Статьи 23 и 24 гарантируют гражданам неприкосновенность частной жизни, личную и семейную тайну, конфиденциальность в переписке, телефонных разговорах и иных сообщениях. Согласно этим положениям, ПДн принадлежат только их носителю и не должны контролироваться третьими лицами без его согласия. Со стороны государства гарантируется защита этого права граждан.
  • Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 определяет, кто и на каких условиях может использовать ПДн гражданина.

Для работников различных отраслей существуют отдельные нормативные акты, регулирующие правила обработки личной информации:

  • Для трудящихся в организациях энергетической отрасли – Приказ Минэнерго России №166 «О работе по обработке персональных данных» от 11.11.2008.
  • Для госслужащих – Федеральный Закон №79-ФЗ «О государственной гражданской службе РФ» от 27.07.2004.

На кого распространяются требования ФЗ 152

Доступ к ПДн конкретного лица разрешен специальным операторам. Это представители структур или организаций, которые производят получение и обработку ПД конкретного физического лица. При отсутствии разрешения субъекта любые операции с его ПДн являются нарушением закона. Личная информация о человеке обязательно должна быть ликвидирована после того, как отпала необходимость в ее использовании.

Законодательство не определяет срок действия согласия на обработку ПДн, поэтому он может быть указан непосредственно в бланке, который подписывает субъект. Такой период может определяться прямо или косвенно – например, «на 3 года» или «на время, указанное в трудовом договоре». Подписывая такие бумаги, проверяйте сроки и следите за тем, чтобы они были написаны реально.

Ответственность за использование персональных данных без согласия

Для нарушителей есть список штрафных санкций. Сюда относятся случаи:

  • Обработки ПД в ситуациях, не предусмотренных законом. Это нарушение влечет за собой предупреждение или штраф: для граждан – 1000–3000, для должностных лиц – 5000–10 000, для юрлиц – 30 000–50 000 рублей.
  • Обработки личных данных без письменного согласия субъекта. За это предусмотрены штрафные санкции: для граждан – 3000–5000, для должностных лиц – 10 000–20 000, для юрлиц – 15 000–75 000 рублей.

Использование ПДн без согласия субъекта может являться составной частью проступка, влекущего наказание по статье 137 Уголовного кодекса РФ. Сюда входят:

  • Незаконное собирание сведений о частной жизни лица, являющихся его личной или семейной тайной. Это подразумевает штраф до 200 000 рублей, обязательные работы до 360 часов либо арест до 4 месяцев и др. Для должностных лиц возможна дисквалификация на срок до 3 лет.
  • Действия по сбору разной информации о человеке, которое совершено с использованием служебного положения. Влечет штраф до 300 000 рублей, принудительные работы на срок до 4 лет либо арест до 6 месяцев и др. В большинстве случаев после наложения этой санкции гражданин лишается права занимать определенные должности на срок до 5 лет.

Что такое персональные данные

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Под информацией понимаются сведения (сообщения, данные) независимо от формы их представления (п. 1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ). Из этих формулировок законодателя можно выделить признаки персональных данных.

Признаки персональных данных

Информация о персональных данных:

  • относится к физическому лицу;
  • может быть представлена в разных формах;
  • прямо или косвенно определяет физлицо, а значит, идентифицирует его.

Разберем эти признаки подробнее.

Отношение информации к физлицу

К персональным данным не относится информация о юридических лицах. Информация связана с деятельностью физлица, его биографией, навыками, личностными и другими характеристиками.

Так, например, к персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация, которая относится к физическому лицу (п. 2.5 Методических рекомендаций, утв. Приказом Роскомнадзора от 30.05.2017 № 94, письмо Минтруда РФ от 08.10.2018 № 14-2/В-803). К таким данным относятся также сведения, которые составляют банковскую тайну — информация об операциях, счетах и вкладах физлиц (ст. 26 Федерального закона от 02.12.1990 № 395-1).

Относятся ли сведения в цифровом выражении к физическому лицу, ведь простой набор цифр никак его не характеризует? Ответ — да, относятся, но из-за своей специфики требуют специальной технической обработки. Нетрудно определить, что фамилия, имя и отчество относятся к физлицу. Но для того, чтобы определить, принадлежит номер телефона человеку или организации, нужна дополнительная информация, например, полученные сведения от оператора сотовой связи.

Разные формы представления информации

Сведения могут быть представлены:

  • в виде машинописного или рукописного документа;
  • в недокументированном виде (например, как перечень сведений в свободной форме);
  • в виде фотографии, аудио- или видеозаписи;
  • в цифровом выражении (например, статический IP-адрес или номер телефона);
  • в иных формах.

Идентификация лица

Информация прямо или косвенно определяет физлицо, а значит, идентифицирует его.

При прямой идентификации конкретное физическое лицо устанавливается на основе сведений, которые есть в распоряжении.

Пример прямой идентификации

Ф.И.О. совместно с паспортными данными — классический пример прямой идентификации физического лица, поскольку этих сведений достаточно, чтобы установить личность конкретного человека.

При косвенной идентификации имеющиеся сведения лишь сокращают выборку физлиц, к которым они относятся. Поэтому, чтобы установить конкретное физическое лицо требуются дополнительные сведения.

Пример косвенной идентификации

Пол, возраст и должность сами по себе не позволяют установить личность конкретного человека, для этого требуются дополнительные сведения, например, место его работы или Ф.И.О. Поэтому пол, возраст и должность идентифицируют человека косвенно, а в совокупности с дополнительной информацией позволяют соотнести их с конкретным лицом.

Ряд региональных управлений Роскомнадзора в методических рекомендациях по работе с персданными указывает, что данные нельзя считать персональными в том случае, если без дополнительной информации невозможно идентифицировать физлицо. Однако такие разъяснения носят рекомендательный характер. Чтобы избежать неточностей и четко определить являются ли сведения, которыми вы обладаете, персональными данными, обращайтесь к буквальному толкованию федерального законодательства и ориентируйтесь на признаки персональных данных, которые установлены законом.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;

  • или в срок, указанный в постановлении суда;

  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

Как оператору работать с персональными данными

Как правильно работать с персональными данными, указано в 5 статье ФЗ 152.

Обозначим основные этапы:

1. Сбор персональных данных.

Например, когда пользователь регистрируется в социальной сети и указывает своё имя и адрес электронной почты, это сбор персональных данных.

2. Обработка персональных данных.

На этом этапе данные анализируются или преобразуются. Так, если приложение рекомендует музыку на основе того, что клиент слушал раньше, это обработка данных.

3. Хранение персональных данных.

После сбора и обработки данные должны где-то храниться. Можно хранить на серверах или в базах данных.

4. Защита персональных данных.

Компании обязаны заботиться о безопасности данных и предотвращать утечки или взломы. Это включает прогноз угроз безопасности и шифрование.

5. Знакомство с документами и правилами.

Компания обязана предоставлять документы, которые определяют, как они работают с данными. Это политика конфиденциальности и процедуры для соблюдения законов о защите данных.

6. Ответственность.

Операторы персональных данных несут ответственность за правильную и законную обработку информации.

Собрали в таблицу самые распространенные случаи, когда возникает вопрос о правильности сбора ПД:

Пример Относится ли к ПД Почему Нужно ли согласие на обработку данных
Клиент заказал обратный звонок, указал номер телефона и имя Нет Номер телефона и имя сами по себе не помогут идентифицировать человека. В этом случае клиент запросил звонок и предоставил эти данные только для этой цели Нет
Компания собирает куки Да Постоянные идентификаторы, которые сайты используют куки, можно использовать для определения личности человека Да
Компания собирает данные о клиентах, чтобы делать рассылку с рекламными предложениями Да В этом случае email привязан к определённому клиенту Да
Компания узнаёт ФИО и номер телефона клиента, чтобы подключить его к программе лояльности Да Клиента регистрируют в программе, чтобы дальше собирать данные о его активности, в сумме полученные данные позволяют идентифицировать человек Да (например, клиент подтверждает свою личность через смс)
Компания проводит анонимный опрос о качестве своего продукта и публикует результаты на своем сайте и пресс-релизах Нет Данные обезличены Нет
Компания оформляет договор с клиентом Да Данные точно идентифицируют клиента Нет
Компания открывает клиенту доступ к сервису Да У компании есть ФИО и номер банковской карты, по которым можно определить человека Да
Компания передаёт службе доставки адрес, имя и телефон клиента Да Достаточно точно определяют личность клиента Нет
Компания делает рассылку по подписке Да Нужны ФИО, адрес электронной почты, номер банковской карты — данные позволяют определить личность клиента Да

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. 

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). 

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся  ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.  

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Какие сведения считаются персональными данными

Распространенные персональные данные:

  • Фамилия, имя, отчество физического лица. В этом ракурсе физлицо выступает в виде субъекта ПДн.
  • Дата и место рождения.
  • Адрес регистрации и проживания.

Персональные данные работника концентрируются в информационной системе (ИС). Она может быть цифровой или аналоговой (компьютерной базой или личным делом в бумажной папке). При этом законодательные требования распространяются на ПД вне зависимости от технической реализации инфосистемы. Существуют разные способы обработки личной информации физлица – сбор, классификация, уточнение и др.

Понятие ПДн относится не только к гражданам, но и к юридическим лицам вне зависимости от организационно-правовой формы (фирмы, компании, организации, коммерческие предприятия и т. д.). Их особенностью является то, что на их основе происходит идентификация не конкретного человека, а определенной компании. Официальные сведения о компании нужны при заключении договоров и т. д.

Физические лица

К персональным сведениям для этой категории субъектов относятся:

  • ФИО;
  • дата и место рождения;
  • гражданство;
  • адрес регистрации и проживания;
  • решение о полной или частичной недееспособности;
  • семейное положение + информация о членах семьи;
  • образование;
  • место работы;
  • оклад, страховые и налоговые отчисления;
  • воинская обязанность.

Существуют особенности отнесения разных данных к категории персональных у физических лиц:

  • Номер телефона. Относится к ПДн, если информация о владельце есть в общедоступном источнике (например, на сайте депутата указаны контакты для прямого обращения).
  • Верификационные параметры для авторизации на разных интернет-сервисах являются ПДн по определению и не подлежат разглашению третьим лицам.
  • Фото- и видеозаписи. Относятся к ПДн только в ситуации, когда по ним можно провести идентификацию физического лица. Исключением является фото- или видеосъемка, произведенная на мероприятиях, имеющих массовый характер. Если запись порочит честь, достоинство или деловую репутацию человека, он в соответствии с частью 1 статьи 152 Гражданского Кодекса РФ может требовать опровержения.

Работники предприятия

К числу персональных сведений в этом случае относится информация, которую сотрудник должен сообщить при устройстве на работу. В основной части они совпадают с ПДн для физлица и предназначены для занесения в личное дело работника. По причине того, что сотрудник заполняет типовой бланк, в ИС могут попадать сведения, не связанные с выполнением им своей работы.

Дополнительно к личной информации физлиц персональное досье работника предприятия в обязательном порядке включает:

  • должность;
  • ИНН;
  • заявление о приеме на работу;
  • оклад;
  • СНИЛС;
  • трудовой стаж (+ на этом предприятии);
  • справки о поощрениях и взысканиях со стороны администрации;
  • информацию об использованном отпуске;
  • медсправки и/или документы о диспансеризации (если это требуется условиями работы).

Работодатель не имеет права (и это прописано в законах):

  1. Передавать третьим лицам личные данные без согласия самого работника (защита данных).
  2. Запрашивать сведения о состоянии здоровья сотрудника без согласия. Исключением являются ситуации, когда это непосредственно связано с выполнением работником своих функций.

Обязанностью работодателя является:

  • Защитить имеющиеся в его распоряжении ПД от стороннего доступа и разрешить знакомство с ними только специально уполномоченных сотрудников, предоставляя им данные в пределах их компетенции.
  • Предупреждение третьих лиц, которым передается информация о работнике, что она может быть использована только для конкретных затребованных целей. Законодательством наложен запрет на несанкционированное распространение личных данных и виновные могут быть привлечены к ответственности.
  • Закрепить соответствующим образом (например, подписью в специальном бланке) обязательство соблюдения конфиденциальности лицами, которым передаются ПД.

Государственные или муниципальные служащие

Помимо массива сведений, обязательного для работника предприятия, в число ПДн для этой категории тружеников входит:

  • стаж + выслуга лет;
  • должность;
  • классный чин (если есть);
  • разряд по тарифной сетке;
  • ученая степень, награды, поощрения;
  • допуск для работы с секретными материалами;
  • справки об аттестации и повышении квалификации;
  • справка о судимости;
  • медсправки, копии больничных.

Юридические лица

К этой категории сведений относятся:

  • наименование организации;
  • юридический и фактический адрес;
  • номера лицензий;
  • ОГРН;
  • ИНН;
  • КПП;
  • номер расчетного счета и другие банковские реквизиты.

Ответственность, предусмотренная за обработку персональных данных без получения согласия

Административная ответственность за совершённое правонарушение при работе с персональными данными, в том числе за сбор и обработку персональных данных без получения согласия, а также за получение согласия по неверно составленной форме, предусмотрена частью 2 статьи 13.11 Кодекса об административных правонарушениях.

Роскомнадзор должен отреагировать на поступившее обращение (жалобу) в течение 30 дней. Срок проведения проверки сотрудниками ведомства может быть продлен ещё на 30 дней. За это время сотрудниками Роскомнадзора направляется в организацию, на которую составлена жалоба, официальный запрос с целью выяснения обстоятельств дела. В случае отсутствия ответа от компании, регулятор может назначить внеплановую проверку по выявленному случаю.

Кроме того, Роскомнадзор проводит и плановые проверки компаний, в период которых сотрудники ведомства проверяют наличие, корректность составления, а также хранение в компании согласий на обработку персональных данных.

По данной теме также необходимо отметить, что согласно Постановлению Правительства РФ от 10.03.2022 №336 до конца 2022 года действует мораторий на проведение плановых проверок.

В таблице ниже описаны возможные нарушения и ответственность за них:

Нарушение Ответственность
Обработка персональных данных без согласия либо согласие оформлено некорректно Штраф по ч. 2 ст. 13.11 КоАП:
  • для должностных лиц: 20 000–40 000 ₽
  • для юридических лиц: 30 000–150000 ₽

Штрафы за повторное нарушение в два раза больше.

Нарушение порядка передачи персональных данных как внутри организации, так и за её пределами Штраф по ч. 1 ст. 13.11 КоАП:
  • для должностных лиц: 10 000–20 000 ₽
  • для юридических лиц: 60 000–100 000 ₽
Несоблюдение порядка хранения и уничтожения персональных данных Штраф по ч. 6 ст. 13.11 КоАП:
  • для должностных лиц: 8 000–20 000 ₽
  • для юридических лиц: 50 000–100 000 ₽
Организация не уведомляет Роскомнадзор о начале обработки персональных данных при постановке на учёт Предупреждение или штраф по ст. 19.7 КоАП:
  • на должностных лиц: 300–500 ₽
  • на юридических лиц: 3 000–5 000 ₽
Нет локальных нормативных актов, которые регулируют обработку персональных данных в организации Штраф по ч. 1 ст. 13.11 КоАП:
  • на должностных лиц: 10 000–20 000 ₽
  • на юридических лиц: 60 000–100 000 ₽
В организации не назначили лицо, которое несёт ответственность за обработку персональных данных в компании Штраф по ч. 1 ст. 13.11 КоАП:
  • на должностных лиц: 10 000–20 000 ₽
  • на юридических лиц: 60 000–100 000 ₽
Не определён порядок доступа для лиц, которые обрабатывают персональные данные Штраф по ч. 1 ст. 13.11 КоАП:
  • на должностных лиц: 10 000–20 000 ₽
  • на юридических лиц: 60 000–100 000 ₽
Не разработана политика оператора в отношении обработки персональных данных, она не размещена в открытом доступе Штраф по ч. 3 ст. 13.11 КоАП:
  • на должностных лиц: 6 000–12 000 ₽
  • на юридических лиц: 30 000–60 000 ₽

Какие персональные данные подлежат защите?

Согласно Федеральному закону № 152-ФЗ, в качестве персональных данных, подлежащих защите, считаются:

Общие

Базовые сведения о физическом лице, к которым относятся его имя, фамилия, отчество, дата рождения, место проживания и работы, номер телефона, электронная почта и тому подобные. Все они могут быть использованы для идентификации человека, а значит являются конфиденциальными. Их использование допускается только в ограниченном формате. Например, используя одно имя, невозможно точно его соотнести с конкретным человеком. Так же, как и указание адреса, фактически, ни на кого не указывает. По крайней мере, если адрес не предполагает разглашение информации о доме, в котором проживает всего один жилец. 

Подводных камней в процессе обеспечения защиты персональных данных предостаточно. Как правило, проще всего считать конфиденциальной любую личную информацию. И получать информированное согласие на её использование у пользователей.

Специальные

Любые отличительные параметры, относящиеся к личности человека. Сюда относятся раса, вероисповедание, специфические взгляды и принадлежность к каким-либо группам и сообществам. Информация о состоянии здоровья или наличии судимостей также является персональными данными социального вида, а значит защищается законом.  

Биометрические

В качестве признаков, позволяющих точно установить личность человека, могут использоваться и физиологические или биологические особенности. Отпечатки пальцев, ДНК, группа крови, рост и вес, цвет глаз и тому подобные параметры относятся к биометрии. Такие сведения достаточно специфичны и собираются только в случае необходимости. Как правило, они могут потребоваться правоохранительным органам или медицинским учреждениям. И в обоих случаях любые факты разглашения предполагают весьма суровое наказание. Поэтому биометрию можно считать одним из наиболее защищённых видов персональных данных.

Иные

Любая информация, которая в силу своей специфики не может быть отнесена к трём предыдущим видам. Это могут быть, например, корпоративные или коммерческие сведения.

Важно понимать, что далеко не все фотографии или видеозаписи относятся к персональным данным или биометрии. Например, ксерокопии паспорта, которые используются при заключении сделок или проведении банковских операций, не могут считаться биометрией

Также ею не являются и медицинские снимки, такие как рентген или флюорография. 

Хранение и обработка ПДн: что требует законодательство

Чтобы ориентироваться в основных правилах, касающихся требований по защите ПДн, мы подготовили список соответствующих постановлений, приказов и методических рекомендаций от уполномоченных государственных органов.

Правительство

  1. Постановление от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  2. Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  3. Постановление Правительства РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
  4. Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
  5. Постановление Правительства РФ от 18.09.2012 N 940 «Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю».

Роскомнадзор

  1. Роскомнадзора от 15.03.2013 N 274 (ред. от 14.01.2019) Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.
  2. Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ») (Зарегистрировано в Минюсте России 10.09.2013 N 29935).

ФСТЭК

  1. Приказ ФСТЭК России от 11.02.2013 N 17 (ред. от 28.05.2019) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (Зарегистрировано в Минюсте России 31.05.2013 N 28608) (с изм. и доп., вступ. в силу с 01.01.2021).
  2. МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, утв. 5 февраля 2021 г..
  3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 2008 год.
  4. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375).

Кому можно давать свои персональные данные?

Бесконтрольный сбор и распространение информации о поведении пользователей на сайтах в Глобальной сети привели к необходимости регламентирования со стороны государства. Поэтому любой оператор, получающий личные данные, не имеет права их распространять или размещать в публичном доступе. Для любых действий над ними придётся получить информированное согласие у пользователя. 

С первого марта 2021 года, когда в силу вступили изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», было введено такое понятие, как «персональные данные, разрешённые для распространения». И теперь, для придания огласке любой личной информации, необходимо получить не только разрешение на обработку персональных данных, но и отдельно согласовать возможность их распространения. 

Любые формы молчания или бездействия субъекта персональных данных не могут трактоваться оператором в качестве согласия. Достаточным подтверждением выступает письменное разрешение с личной подписью или оформление соответствующих документов в информационной системе Роскомнадзора.

Любой пользователь вправе отозвать любые разрешения на сбор, хранение и обработку персональных данных. Оператор обязан прекратить любые работы по требованию владельца. Для этого потребуется написать письменное заявление об отзыве согласия. Обработку данных при этом придётся остановить в течение трех рабочих дней с момента получения соответствующего заявления. 

Главная проблема обработки персональных данных коммерческими компаниями заключается в том, что заключение договора на оказание услуг всегда включает в себя и право на обработку персональных данных. То есть вступить в финансовые отношения, для получения товаров или услуг, фактически невозможно без предоставления информированного согласия на обработку личной информации. 

Таким же образом работает закон и в случае продажи товаров по публичной оферте. Продавец заключает договор купли-продажи со своими клиентами. В его состав входит и разрешение на обработку персональных данных. Поэтому любые коммерческие операции включают в себя предоставление согласия на обработку личной информации.

Во всем мире есть законы о защите личных данных
Во всем мире есть законы о защите личных данных

В качестве совета можно предложить обращаться к услугам только проверенных брендов, обладающих крепкой репутацией, подтверждённой годами успешной и качественной работы.

Отследить ресурсы, которые занимаются сбором и распространением личной информации и используют её для достижения собственных целей, достаточно сложно. Потому что каждый пользователь раздаёт разрешения практически на каждом сайте, на котором он проходит процессы регистрации и авторизации. Тем не менее, владельцы сайтов имеют право использовать персональные данные, полученные с вашего согласия, для формирования и рассылки рекламных материалов, в том случае, если соответствующий пункт содержался в подписанном соглашении. 

Понравилась статья? Поделиться с друзьями:
Женский журнал Хозяйка
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: