что означает личная информация
Что такое персональные данные. Объясняем простыми словами
Проще говоря, это Ф. И. О., паспортные данные, банковские данные, номера телефона, адрес проживания, фотография и так далее. Важно, чтобы данные относились к конкретному человеку. Абстрактный номер телефона не является персональными данными, потому что невозможно понять, кому он принадлежит. Но если напротив этого телефона стоит Ф. И. О., то это уже персональные данные, так как понятно, к какой персоне они относятся.
Субъект персональных данных — лицо, чьи данные собираются, обрабатываются и хранятся. Оператор персональных данных — это юридическое лицо или государственная организация, которые эти данные собирают, обрабатывают, хранят, передают и уничтожают.
Пример употребления на «Секрете»
«»Яндекс» указал, что некоторые возможности сервисов станут недоступны после удаления персональных данных. Например, «Яндекс.Музыка» советует новые треки, опираясь на историю прослушиваний, лайки и дизлайки, и без этой информации рекомендации будут неточными».
(Из новости о том, что «Яндекс» разрешил пользователям навсегда удалять персональные данные.)
Нюансы
Выделяют несколько видов персональных данных:
Критика
Главная проблема персональных данных — в их частых утечках. Скандалы вокруг таких инцидентов происходят в России нередко. Так, в мае 2020 года в интернете появились паспортные данные москвичей, оштрафованных за нарушение самоизоляции. В ноябре 2019 года в открытом доступе оказалась личная информация 500 000 пользователей сайта по поиску работы Job in Moscow. Хакерам стали доступны не только персональные данные соискателей, но и логины и пароли их учётных записей.
«Аксиома: любая база данных утечёт. Завтра или через три года, целиком или по кусочкам, но это обязательно случится. Вот чем опасен сбор персональных и необезличенных данных», — констатирует сооснователь и генеральный директор HFLabs Дмитрий Журавлёв.
Цифры
Чтобы решить эту проблему, в 2021 году Госдума в 10 раз подняла штрафы за разглашение персональных данных. Для граждан — с 500–1000 рублей до 5000–10 000 рублей, для должностных лиц — с 4000–5000 рублей до 40 000–50 000 рублей. Помимо этого, систематически вносимые в законодательство поправки довели ответственность юрлиц за мелкие нарушения до 200 000 рублей.
Более серьёзные нарушения, включая сбор персональных данных посредством информационно-телекоммуникационной сети «Интернет», могут повлечь наложение административного штрафа на юрлицо от 1 млн до 6 млн рублей. Повторное совершение такого нарушения может повлечь штраф от 6 млн до 18 млн рублей.
Персональные данные
История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В России данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2006 году Государственной думой РФ был принят базовый закон — Федеральный закон № 152-ФЗ «О персональных данных», который чётко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.
Согласно базовому закону персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.
Существует четыре вида персональных данных, которые разделяются по степени информативности:
Первый вид — специальные категории персональных данных, которые включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта.
Второй вид содержит информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения, например, ФИО, адрес и сведения о заработках.
Персональные данные третьего вида — это информация, позволяющая только определить субъекта, то есть, например, фамилия, имя и дата рождения.
К четвертому виду относятся общедоступные или обезличенные персональные данные. Общедоступными являются ПДн, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной и муниципальной власти, либо ПДн, доступ к которым предоставлен с разрешения самого субъекта. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.
Разобраться в том, что такое персональные данные, какие они бывают и как используются на предприятиях, чрезвычайно важно как для субъектов, сведения о которых собираются и обрабатываются, так и для организаций, которые выполняют эти операции. Первым это необходимо, чтобы ответственно давать согласие на хранение и передачу ПДн, а также защищать свои интересы в случае несанкционированного использования и разглашения. Предприятиям понимание того, какая информация относится к персональным данным, необходимо для правильной организации их обработки, построения системы сбора и хранения ПДн и подбора эффективных мер по обеспечению их безопасности.
Что такое личные данные, и кто вправе ими распоряжаться?
Понятие максимально подробно раскрыто в Федеральном Законе № который действует с 27 января 2006 года, при этом ПДн подпадает под действие целого ряда нормативных актов, включая Конституцию Российской Федерации. В соответствии с персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. При этом каждый гражданин имеет гарантированное право на соблюдение тайны личной жизни, а государственные структуры и третьи лица не имеют права осуществлять контроль в данной сфере, если это не предусмотрено законодательством. Субъекты могут сами принимать решение о предоставлении ПДн и рассчитывать на защиту от государства при нарушении их прав. Формат предоставления согласия на получение и обработку может быть разным, например, в виде письменного заявления или проставленной галочки в онлайн-анкете.
В ФЗ-152 четко прописано, кто и на каких условиях имеет право получать персональную информацию помимо её владельца. Выполнять операции с частными данными по разрешению субъекта может работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т.д. Но есть важный момент — после достижения результата, ради которого осуществлялся сбор ПДн, оператор теряет легальную возможность их использования и несёт ответственность при их намеренном разглашении. Специальные требования в отношении работы с ПДн действуют, если:
Закон не только устанавливает, что относится к личным данным, но и обязывает операторов ПДн выполнять ряд требований по обеспечению их безопасности, а в случае выявления нарушений предусматривает штрафы и другие санкции. Принимать технические и организационные меры защиты необходимо как юридическим, так и частным лицам, если они имеют дело с конфиденциальной информацией о сотрудниках, клиентах, деловых партнерах и т.д.
Какие данные относятся к персональным данным: основные виды ПДн
Для упрощения регулирования законодательство РФ дифференцирует ПДн в зависимости от сложности получения, степени секретности и прав на использование третьими лицами. Основные разновидности:
Большое значение имеет правильная классификация оператором вида ПДн и принятие соответствующих мер для того, чтобы законно их собирать, хранить и передавать третьим лицам.
Использование личной информации в компании
Часто возникает вопрос о том, что входит в состав персональных данных работника юридического лица и как осуществлять хранение подобной информации. Согласно Трудовому Кодексу, к ПДн сотрудника относится информация, позволяющая составить представление о нем как о работнике, то есть стаж деятельности, уровень квалификации и зарплаты, пенсионные и налоговые отчисления и т.д. Обязанность предприятия — позаботиться об их защите и использовании для создания оптимальных условий развития профессиональных навыков и повышения квалификации. Кроме того, работодатель должен сообщить, как именно будут использоваться персональные данные физического лица. Предварительно создаются и внедряются специальные распорядительные документы внутреннего использования, в частности, требуется Инструкция либо Положение о ПДн.
Сбор сведений производится для выполнения следующих задач:
При нарушениях законодательства либо утечке персональных данных (намеренной либо из-за недостаточно эффективной системы защиты) предприятие может быть привлечено к административной ответственности в виде штрафа до 18 миллионов рублей. Выявить недоработки и своевременно их исправить позволит аудит, проведенный специалистами нашего Центра — наши специалисты помогут установить, насколько защищены частные данные, и составят рекомендации по оптимизации.
Данная статья актуализирована с учетом последних изменений Федерального закона «О персональных данных» от 31 декабря 2017 года.
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Что такое личные данные и почему все боятся их потерять?
Данные могут использоваться для совершения покупок или получения доступа к информации, которую можно использовать против жертвы. Поэтому их следует тщательно оберегать от случайного попадания в чужие руки – и, тем более, от намеренной кражи. Но сначала стоит познакомиться с тем, что понимается под термином «персональные данные».
Что такое личная информация или личные данные
Личными или персональными данными человека называют информацию, которая относится к конкретному физическому лицу и позволяет его идентифицировать. К ней относятся:
паспортные данные: в первую очередь, ФИО, дата рождения, семейное положение;
социальное и имущественное положение;
информация о банковской карте, включая номер, PIN-код и CVV2/CVC2-коды.
Городской телефонный номер тоже относится к личным данным. Мобильный – только в том случае, если он зарегистрирован на определенного человека. Впрочем, в России большинство SIM-карт оформлены с использованием паспортных данных, поэтому мобильный номер – такая же конфиденциальная информация. А вот электронная почта к этому виду данных не относятся.
Паспортные данные
Не все данные из паспорта получится использовать в преступных целях. Например, зная адрес фактического проживания или прописку, можно разве что рассылать рекламу с помощью обычной почты.
Но есть такие паспортные данные, кража которых приводит к серьезным проблемам:
фамилия, имя и отчество владельца;
дата рождения (число, месяц, год);
серия и номер паспорта;
идентификационный номер налогоплательщика, который в российском паспорте указывается на 18-й странице (по желанию владельца).
Использовать паспортные данные без самого документа или хотя бы его ксерокопии достаточно трудно. Например, при оформлении кредита сотрудники банка обычно требуют копию, подпись клиента, а чаще всего – личное присутствие человека. Потому злоумышленники предпочитают красть не комбинацию символов, а отсканированные и хранящиеся на компьютере копии. При наличии такой информации ее можно распечатать и с помощью сообщника в банке все-таки оформить кредит. Конечно, для этого понадобится еще и подпись – но подделать ее обычно не так сложно, как украсть сканы паспорта.
С другой стороны, микрофинансовые организации могут выдавать кредиты без отсканированной копии. Достаточно только паспортных данных, которые получить намного проще. Например, при регистрации в онлайн-казино или на сайте пункта обмена валют, где просят указать настоящие ФИО, серию и номер паспорта. Или даже в той МФО, где владелец паспорта уже однажды брал кредит.
Паспортные данные без самого паспорта можно попробовать использовать в различных преступных схемах. В том числе для регистрации фирмы-однодневки, с помощью которой будут проводиться незаконные операции. И даже для того, чтобы зарегистрировать фальшивый профиль в платной онлайн-игре, букмекерской конторе или на финансовой бирже.
В большинстве случаев для этого достаточно не отсканированной копии, а просто информации из паспорта. Если же скана нет, но без него не обойтись, мошенники могут использовать «отрисовки» – цифровые копии, не слишком похожие на оригинал, но все равно подходящие для незаконных финансовых махинаций.
Телефонный номер
Самый простой способ использовать телефонный номер – отправлять на него рекламу (спам). Это не приносит особого дохода спамерам, но и не требует от них практически никаких серьезных действий. Свои телефоны люди указывают при регистрации на сайтах, при покупке товаров и даже отвечая на рассылку по электронной почте. Практически единственный ущерб от таких СМС – раздражение, появляющееся у человека, который ждет какое-то важное сообщение, а не рекламу. Недавно мы рассказывали, как избежать нежеланных звонков и писем от мошенников – обязательно загляните в этот материал.
Один из самых популярных способов украсть деньги с банковской карты – завладеть сначала телефонным номером, а затем использовать его для доступа к счету. Для этого придется сначала заблокировать SIM-карту пользователя, быстро перевыпустить новую и использовать ее для вывода средств. Или для их перевода на другую, временную карту – в любом случае, украденные деньги вернуть не получится. Чтобы заблокировать и «восстановить» симку, достаточно связаться с оператором, сообщить об утере смартфона или самой карты и ответить на 3 вопроса: последние номера, на которые звонили с этой SIM-карты или с которых совершались вызовы; последнее пополнение счета (приблизительное время и сумма); сумма на счету телефона.
Популярная схема: мошенники звонят абоненту с неизвестных номеров или отправляют СМС, вынуждая его перезвонить. Эти телефоны указываются при заказе услуги восстановления. А еще злоумышленник может отправить на телефонный номер небольшую сумму, сообщив ее при обращении к мобильному оператору. А с учетом того, что большинство людей пополняет счет не чаще 1 раза в месяц для внесения абонентской платы, узнать, сколько денег на нем лежит, совсем не сложно.
Получив доступ к телефонному номеру, можно использовать эти данные не только для снятия денег с карты. Иногда информацию применяют для доступа к другим важным сведениям и ресурсам – электронным почтовым ящикам, аккаунтам в соцсетях и даже целым сайтам. Это может стать поводом, например, для шантажа. Чтобы получить доступ к своим же профилям, почте или панели администратора пользователю предлагают заплатить – сумма зависит от ценности информации и наглости злоумышленников. В таком случае мы советуем обратиться в полицию, предоставив доказательства шантажа.
Номера и пароли банковских карт
Украсть номера, PIN-коды и даже CVV2/CVC2-коды банковской карты злоумышленники могут разными способами:
Позвонить владельцу карты, представившись сотрудником банка, и попросить сообщить все номера и пароли. И хотя представители самих финансовых организаций регулярно предупреждают клиентов, что их сотрудники не могут требовать конфиденциальную информацию, этот способ – самый популярный и действенный при краже персональных данных.
Установить на банкомате специальный прибор – скиммер. Он выглядит как накладка или картоприемник, иногда – как небольшая и незаметная видеокамера. Иногда скиммер позволяет даже полностью скопировать платежное средство – точнее, его магнитную полосу. Если это камера – с помощью скимминга считываетсяPIN-код и другая информация с карты.
Получить информацию при совершении электронного платежа. Иногда данные сохраняет браузер. А еще сам пользователь может указать их при попытке получения доступа к какой-либо информации. Например, к бесплатному просмотру фильма или акционному предложению (естественно, не настоящему, а созданному для сбора личных данных).
Просто украсть карту – для оплаты бесконтактными карточками на сумму до 1000 рублей даже не обязательно знать пин-код.
При наличии телефонного номера и всей информации о карте (номер, срок действия и коды) можно легко провести большинство интернет-платежей. При полном копировании платежного средства скиммером мошенник получает те же возможности, что и владелец. Некоторые операции могут проводиться при наличии только информации с лицевой стороны. Даже без пароля, зная лишь номер, имя владельца и срок действия карты, можно совершить покупку, например, на сайте Amazon.
Как избежать потери личных данных
Чтобы сохранить личную информацию и не стать жертвой мошенников, стоит придерживаться следующих рекомендаций:
Не хранить на компьютере или смартфоне отсканированные изображения страниц паспорта. Впрочем, точно так же не стоит держать в электронном виде сканы любых документов, которые могут попасть к злоумышленникам. Не пересылать конфиденциальные сведения по электронной почте, через мессенджеры или с помощью социальных сетей. Если все же необходимо отправить кому-либо свои документы, удаляйте все фото из переписки после того, как получатель их сохранит.
Не оставлять свой номер, привязанный к банковским картам, на сайтах объявлений. Не использовать его и при регистрации на ресурсах, которые не внушают доверия – хотя на этих сайтах лучше не регистрироваться вообще. Для таких ситуаций стоит завести отдельную симку.
Не перезванивать на незнакомые номера. Если без этого обойтись не получилось и появились подозрения по поводу того, что телефонный номер могут украсть (звонки, пополнение счета) – сразу предпринять все необходимые действия для предотвращения кражи. В первую очередь, перезвонить кому-то знакомому и пополнить номер на любую небольшую сумму.
Для защиты от скимминга следует тщательно осматривать банкомат перед использованием. Ни на клавиатуре, ни рядом с аппаратом не должно быть никаких подозрительных предметов, камер или накладок. Лучший вариант – банкомат внутри отделения банка или торгового центра. А при появлении подозрений о том, что карту скопировали или данные попали в чужие руки, ее необходимо заблокировать и перевыпустить.
Персональные данные и всё, что о них нужно знать
Истоки правового регулирования персональных данных на западе и России;
Виды персональных данных и основные понятия ФЗ № 152;
Ответственность за нарушение персональных данных;
В последние десятилетия мы часто слышим в новостной ленте о том, как слили персональные данные, о так называемом «пробиве» информации о человеке. Роскомнадзор постоянно объясняет: как не стать жертвой мошенников, а эксперты дают нам рекомендации по цифровой гигиене.
Вроде как все понимают, что такое персональные данные и многие даже с уверенностью скажут, что к ним относятся паспортные данные, пароли, личная и семейная тайна. Однако, кто знает точные перечень персональных данных? Откуда вообще пошло правовое регулирование этих данных? Какую ответственность несут нарушители права на защиту персональных данных? Как воспринимают персональные данные суды?
Сегодня поговорим обо всём этом и попытаемся конкретизировать эту текучую субстанцию – персональные данные.
1. Истоки правового регулирования персональных данных на Западе и России.
Запад
На Западе персональные данные начали рассматриваться в контексте правового регулирования в 1890 году, когда два американских юриста, сокурсника по Гарварду: Сэмюэль Уоррен и Луи Брендайс – опубликовали статью, в которой говорили о праве privacy. По их мнению это право делилось на:
Физическую приватность – всё, что связано со здоровьем и телом;
Территориальную приватность – грубо говоря это неприкосновенность жилища;
Приватность коммуникации – всё, что связано с общением, например, тайна корреспонденции;
Информационную приватность – сюда как раз относятся персональные данные.
Кстати они трактовали privacy, как «право быть оставленным в покое». Весьма точная формулировка, когда номер твоего телефона разлетается по навязчивым банкам)
Это право было законодательно закреплено в 1948 году во Всеобщей декларации прав человека, а именно в ст. 12, которая гласила:
«Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств»
ФЗ от 19.12.2005 N 160-ФЗ она была ратифицирована. В данном ФЗ также отмечено, что положения этой Конвенции не применятся в России в случаях, если персональные данные обрабатывались исключительно в личных или семейных нуждах, либо эти данные отнесены к государственной тайне.
Окончательное закрепление право privacy нашло своё отражение в ст. 8 Хартии об основных правах: «Каждый человек имеет право на защиту относящихся к нему данных личного характера». Также именно тут появилось положение об обязательном наличии согласия субъекта персональных данных на их обработку, сбор, систематизацию и тем более на распространение.
Россия
В России всё несколько проще и началось, на самом деле, раньше. В 1857 году (вступил в силу в 1876 году) был подготовлен Телеграфный устав, который устанавливал тайну корреспонденции. За нарушение этой тайны наступала уголовная ответственность.
В 1917 прошлась Революция и отменила все ранее принятые законы, в том числе и Устав.
В Сталинской Конституции 1936 года (понимаю звучит смешно, но всё же) была отдельная глава, посвященная правам человека и в ней помимо прочего устанавливались неприкосновенность жилища, личность и тайна переписки.
Последняя и ныне действующая Конституция 1993 года раз и навсегда закрепила запрет на сбор, хранение, использование, распространение данных о человеке без согласия субъекта персональных данных.
Помните Конвенцию 1981 года и то что она была ратифицирована в 2005 году? Так вот в следующем году вступил в силу Федеральный закон № 152 «О персональных данных», который буквально скопипастил эту Конвенцию с её принципами и понятиями. Единственное отличие между их и нашим вариантами правового регулирования заключается в том, что у европейской системы персональные данные неотделимы от защиты личности и её частной жизни, в России же, персональные данные – это самостоятельный объект права.
Итак, мы прошлись по истории и теперь разберём виды персональных данных, что же к ним относится, а что нет.
2. Виды персональных данных и основные понятия ФЗ № 152
Посмотрите на изображение ниже. На нём мы видим определение «Персональных данных», взятое из ФЗ № 152 и ряд данных. Как думаете, что из этого относится к персональным данным?
Ответ: все, но не всегда.
Уверен, что вы ответили правильно, но с лёгкими сомнениями и это понятно. Понятие, которое нам дал законодатель настолько расплывчатое, что через него можно плавать брасом. Понятие персональных данных можно толковать ну ооочень широко.
Однако, в других федеральных законах, разъяснениях Роскомнадзора и других ведомств можно всё-таки постараться систематизировать персональные данные, что мы с радостью сделали для Вас!
Данные делятся на 5 видов: Общие, Биометрические, Специальные, Обезличенные и Общедоступные.
Это базовые данные личности. Сюда входят паспортные данные, место регистрации, ФИО, информация о месте работы, телефон и Email (о последних двоих расскажу позже).
Это данные, связанные с Вашим телом, здоровьем, то есть это отпечатки пальцев, сведения о наличии татуировок (родинок, пирсинга, иных примет), ДНК, группа крови.
Это четко установленные статьёй 10 ФЗ № 152 данные. К ним относятся: расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь.
Это персональные данные, которые субъект сам распространил на неопределённый круг лиц. Здесь важно отметить Решение Арбитражного суда города Москвы от 05.05.2017 по делу №А40-5250/17. В нём АСГМ сказал, что данные которые публикуются в социальных сетях не являются общедоступными, а социальные сети не являются источником общедоступных сведений.
Он объяснил это так (и даже выделил красным цветом), что без письменного согласия субъекта персональных данных не представляется возможным установить, что именно этот субъект дал согласие.
Здесь можно порассуждать вот ещё о чем: можно ли считать источник общедоступным, если для получения доступа в этот источник необходима регистрация, получение аккаунта и т.д. По сути социальные сети – это закрытые системы для своих пользователей и, по-моему, их точно нельзя считать общедоступными. Если у Вас есть иное мнение буду рад подискутировать в комментариях!
К общедоступным можно отнести, например, так называемые «общедоступные правительственные данные», то есть данные в Минфина России, МВД России, Росстата и т.д.
Это данные из которых невозможно установить конкретное лицо. Парадоксально правда? Из определения следует, что персональные данные – это те, через которые можно установить конкретное лицо, а здесь всё, да наоборот.
Есть такие в правовых дебрях такие методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных», которые показывают нам несколько методик обезличивания.
То есть у нас есть информация, что Джон Курт пережил инсульт 15 апреля 2021 года в г. Москва.
У нас стоит задача – собрать статистические данные об инсультах по г. Москва в 2021 году.
Мы не можем публиковать биометрические + специальные персональные данные Джона и поэтому мы их обезличиваем, например, по методике идентификаторов.
У нас получается АА48О; инсульт, 15.04.21, Москва. Как видите мы просто заменили «Джон Курт» на «АА48О». Это методика идентификаторов. Конечно же есть отдельная таблица со значениями идентификаторов, чтобы можно было установить лицо. Возможно именно поэтому они относятся к персональным данным.
Тезисно: 5 видов персональных данных: Общие – всё понятно из названия; биометрические – всё что о здоровье и теле; специальные – всё, что грубо говоря относится к духовной стороне личности и закреплены в ст. 10 ФЗ № 152; общедоступные – те, что сам субъект распространил на весь мир; обезличенные – данные, по которым невозможно установить человека не имея дополнительных данных (таблица со значениями идентификаторов).
Что касается определений тут я тоже буду максимально краток. Полные их формулировки можете прочитать в ст. 3 ФЗ № 152, но я постараюсь на пальцах объяснить:
Персональные данные – понятно, что ничего не понятно. Всё, что относится к человеку так или иначе персональные данные. Решение об отнесении данных к таковым рассматривается сугубо индивидуально.
Автоматизированная обработка ПД – обработка данных при помощи компьютеров или других средств автоматизации.
Распространение ПД – сделал данные доступными неопределенному кругу лиц.
Уничтожение ПД – действия, связанные с полным уничтожением данных без возможности восстановления, либо уничтожение материального носителя, на которых они хранились.
Обработка ПД – любые действия с персональными данными, как при помощи компьютера, так и без неё (сбор, запись, систематизация, хранение, обезличивание и т.д.).
Оператор – любое лицо (государственные, муниципальный орган, Юр. или Физ. лицо), которое осуществляет обработку ПД, определяет цель такой обработки, состав обрабатываемых данных и действия с ними.
В принципе по понятиям всё. Теперь обсудим какую ответственность несёт оператор в случае нарушения права на защиту персональных данных.
3. Ответственность за нарушение персональных данных
По общему правилу исковые заявления о нарушении права на защиту персональных данных подаются в районный суд. Процедура следующая, кто-то нарушил права субъекта персональных данных (физ. лица, кстати право о защите персональных данных распространяются только на них), это лицо обращается с заявлением в Роскомнадзор, а тот как уполномоченный гос. орган подает исковое заявление.
Основная статья – 13.11 КоАП РФ. Часть 1 говорит об обработке персональных данных, несовместимой с целями такой обработки.
Ч. 3 той же статьи говорит об ответственности за отсутствие публикации политики обработки персональных данных.
Помимо этих частей есть и другие части этой статьи, а также ст. 5.39 КоАП РФ – непредоставление информации адвокату по адвокатскому запросу или организации данных, предоставление которых предусмотрено федеральными законами.
Ст. 19.7 КоАП РФ примерно то же самое, но уже непредоставление информации государственным органам.
Ст. 137 УК РФ – распространение данных о частной жизни, личных и семейных тайнах без получения согласия или распространение этих сведений в публичном выступлении / СМИ.
Ст. 140 УК РФ – непредоставление должностным лицом документов и материалов, непосредственно затрагивающих права и свободы гражданина, если это причинило ему вред.
Ст. 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло её уничтожение, модификацию, копирование, блокирование. Это что называется хакерство.
Здесь всё по-классике:
Ст. 15 ГК РФ – возмещение лицу убытков, в случае нарушение правил обработки его персональных данных.
Ст. 151 ГК РФ и ст. 24 ФЗ № 152 – компенсация морального вреда вследствие нарушения правил обработки персональных данных.
Ст. 90 и ст. 192 ТК РФ – иные нарушения правил обработки персональных данных и дисциплинарные взыскания как мера ответственности.
Представим, что вы являетесь оператором персональных данных. Когда Вам нужно сообщать Роскомнадзору о том, что вы обрабатываете персональные данные?
Обрабатываете вручную – не нужно, через компьютер – нужно;
Собираете ПД сотрудников в рамках трудового договора – не нужно, в собираете ПД на уволенных сотрудников или вне трудовых отношений – нужно;
Оформили договор с Физ. лицом – не нужно, по договору данные передаются третьим лицам – нужно;
Вы – общественная или религиозная организация, которая собирает данные о своих членах – не нужно, эти данные будут передаваться третьим лицам – нужно;
Вы требуете только ФИО – не нужно;
Вы – транспортная компания и собираете данные, которые необходимы для нормальной транспортировки грузов и сохранению жизни и здоровья пассажиров – не нужно;
Субъект персональных данных сам сделал их общедоступными – не нужно.
В трудовых отношениях обработка персональных данных работника без получения его согласия на это возможно в следующих случаях:
Если опубликование и размещение ПД работников в Интернете закреплено законодательно;
В разрешенных законодательством случаях при обработке ПД близких родственников (при получении алиментов, оформлении социальных выплат);
При обработке сведений о состоянии здоровья работка, относящихся к вопросу возможности выполнения им трудовой функции;
При передаче ПД третьим лицам в случаях, когда необходимо предупредить угрозу жизни и здоровью, либо в случаях, предусмотренных законодательством.
При обработке биометрических персональных данных письменное согласие физического лица обязательно в силу ч.1 ст.11 Закона о персональных данных. Ч.2 той же статьи устанавливает исключения из этого правила.
Обработка персональных данных необходима для достижения целей, установленных международным договором РФ;
Обработка персональных данных гражданина проводится в связи с его участием в гражданском, уголовном, административном, конституционном судопроизводстве в арбитражных судах и др.
Мы рассмотрели историю, понятия, виды, ответственность. Остаются только позиции судов в вопросах правовых данных.
4. Судебная практика.
Первое дело касается подсудности дел о защите прав субъекта персональных данных.
Это дело № 33-3211/2019(в апелляции). Суть в том, что: некий Вознюк М. М. обнаружил, что фирма с Багамских островов публикует его персональные данные на своём сайте. Ему это не понравилось, и он подал заявление в Роскомнадзор. А тот, в свою очередь, подал исковое заявление в Центральный районный суд г. Хабаровска.
1 инстанция сказала, что дело административное и подлежит рассмотрению в административном порядке;
2 инстанция сказала указала на то, что что заявленные исковые требования связаны с административным регулированием правовой деятельности интернет-ресурса, как средства массовой информации, и подлежат рассмотрению в порядке административного судопроизводства;
Но РКН не отчаялся и подал кассационную жалобу в Верховный суд.
И вот Определением Судебной коллегии по гражданским делам ВС РФ от 14.07.2020 N 58-КГ20-2 решения нижестоящих инстанций были отменены, а дело направлено на новое рассмотрение.
ВС РФ в своём определении указал на следующее:
Ст. 46 ГПК органы гос. власти вправе обратиться в суд в защиту интересов граждан;
П. 5 ч. 3 ст. 23 ФЗ «О персональных данных» таким ОГВ в вопросе персональных данных является Роскомнадзор;
Ч. 6.1 ст. 29 ГПК иски о защите прав субъекта персональных данных, возмещении ущерба и компенсации морального вреда могут предъявляться по месту жительства истца.
И пришел к выводу, что данное дело должно быть рассмотрено по правилам гражданского судопроизводства. Центральный районный суд г. Хабаровска послушно удовлетворил исковое заявление РКН, признал деятельность сайта незаконной и обязал заблокировать его (Решение Центрального районного суда г. Хабаровска от 02.10.2020 по делу №2-4208/2020).
И ещё немного практики.
Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016
Файлы cookies были признаны ПД в деле социальной сети Linkedin персональными данными.
Однако, помимо файлов cookies, в социальной сети Linkedin осуществлялся сбор таких ПД, как фамилия, имя, адрес электронной почты и иное.
Постановление 13 ААС от 01.07.2016 по делу № А56-6698/2016
Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018
Данные Гугл Аналитикс и Яндекс Метрики признаны ПД при рассмотрении неизвестных лиц на сайт Человека *фамилию, которого нельзя писать на сугробах* «Умное голосование».
Кстати о номере телефона и Email. Как видите судебная практика от дела к делу разнится. Как правило отдельные элементы не представляют собой персональные данные. Номер телефона не является персональными данными, потому что просто по набору цифр нельзя определить конкретное лицо, однако, если с номером будет идти ФИО – то эта комбинация станет персональными данными.
То же самое с электронной почтой. Если она содержит в себе просто рандомные слова – это не персональные данные, однако если они будут состоять из ФИО лица – это уже комбинация и персональные данные.
То есть общий принцип понимания что относится к персональным данным следующий: если из этих данных можно понять о каком конкретно человеке говорится – это персональные данные, если нет – то нет.
Спасибо за внимание! Для тех, кому важен визуал, как обычно, ссылка на папку с презентацией.