Персональные данные, это что?

Понятие персональных данных и правовое регулирование

Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.

Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.

Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?

Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.

На основании п. 2.5 указанного документа к личным данным относятся:

  • имя, отчество и фамилия гражданина;
  • дата его рождения (число, месяц и год);
  • место рождения;
  • адрес регистрации или место фактического проживания;
  • сведения о семейном положении и детях;
  • социальное положение;
  • данные об имуществе;
  • размер и источники дохода;
  • сведения об оконченных учебных заведениях;
  • профессия и занимаемая должность.

При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.

Иные персональные данные

Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:

  1. Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
  2. Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.

Особенности отнесения некоторой информации к личной

Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.

Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.

Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.

В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.

Номер телефона

Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.

Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.

Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.

Электронная почта

Ответ на вопрос, является ли электронная почта персональными данными, менее очевиден, поскольку на законодательном уровне он не регламентируется. Исходя из общих положений, при отсутствии иных сведений о лице, которому принадлежит e-mail, электронный адрес не относится к персональным данным.

Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.

Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.

ИНН, СНИЛС, паспортные данные

В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.

Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.

МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

ПИСЬМО
от 20 января 2017 г. N 08АП-6054

О РЕЗУЛЬТАТАХ РАССМОТРЕНИЯ ОБРАЩЕНИЯ КАЗНАЧЕЙСТВА РОССИИ

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций по результатам рассмотрения обращения в рамках ведомственной компетенции полагает возможным отметить следующее.
В соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства Российской Федерации от 16.03.2009 N 228, на Роскомнадзор не возложены полномочия по предоставлению разъяснений законодательства Российской Федерации, практики его применения, а также толкованию норм, терминов и понятий законодательства Российской Федерации, в том числе Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Обращаем ваше внимание, что в соответствии с пунктом 1 Положения о Министерстве связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 02.06.2008 N 418, органом, уполномоченным осуществлять функцию по нормативно-правовому регулированию в указанной сфере, является Минкомсвязь России.
Вместе с тем полагаем возможным отметить, что согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Федеральный закон N 152-ФЗ) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Исходя из данного определения принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным.
Кроме того, исключение обрабатываемых сведений из предмета правового регулирования Федерального закона N 152-ФЗ определяются законодательными и принятыми в соответствии с ними нормативными правовыми актами.
Исходя из изложенного, сообщаем, что информация в объеме фамилия, имя, отчество физического лица является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями Федерального закона N 152-ФЗ.

  • Персональные данные. Документы регуляторов
  • Cогласие покупателя на обработку ПДн в Интернет-магазине
  • Законно ли сайты размещают ПДн участников судебных процессов?
  • Разъяснение правил оказания услуг почтовой связи в части сбора ПДн
  • Методические рекомендации по уведомлению уполномоченного органа о начале обработки ПДн и о внесении изменений в ранее представленные сведения
  • ФИО — это ПДн (Роскомнадзор)
  • Отнесение фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим ПДн и особенности их обработки
  • Обработка ПДн работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве
  • Методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 № 996 Об утверждении требований и методов по обезличиванию ПДн
  • Требования и методы по обезличиванию ПДн
  • Рекомендации по составлению политики обработки ПДн
  • Роскомнадзор

Хранение ПДн и механизм защиты

В соответствии с требованиями законодательства, операторы должны самостоятельно использовать средства обеспечения безопасности для собранных ими персональных данных. Это реализуется при помощи:

  • Допуска к работе с информационной системой только заранее определенного круга лиц, имеющих соответствующие инструкции и предупрежденных об ответственности за несанкционированное распространение сведений. Если компьютерная ИС содержит ПДн специального типа, то работа с ней (просмотры, изменения и др.) должны фиксироваться в специальном электронном журнале. С помощью современных информационных технологий можно сделать этот процесс автоматическим.
  • Мер по созданию высокого уровня защищенности ИС, блокировке несанкционированного доступа (например, в результате хакерской атаки), оперативному восстановлению исходной информации из резервной копии в случае нанесения урона компьютерным вирусом и пр. Если личные сведения находятся в аналоговой форме (например, это бумажные анкеты с информацией о работниках предприятия), необходимо принять меры для их перевода в цифровой формат.
  • Контроля Роскомнадзора, следящего, чтобы текущая обработка личной информации работников велась в соответствии с законодательными нормами. Также это ведомство проверяет, чтобы хранение ПДн, обрабатываемых в рамках трудовых обязанностей происходило в условиях, когда исключена утечка персональных данных и их незаконное использование.

Кто имеет право запрашивать

В соответствии с законодательством, обработка ПД должна иметь легальные цели. Возможны два варианта получения ПД субъекта:

  • Без обязательного письменного согласия. Допускается в случае, если сбор ПД является выполнением требований законодательства. Например, работодатель вправе свободно получать информацию об адресе регистрации и образовании сотрудника. Отдельным случаем являются исключительные ситуации, рассмотренные в статье 10 Закона №152-ФЗ (перечень приведен выше), обходящиеся без согласия субъекта.
  • При наличии письменного разрешения. Представителям отдельных организаций разрешается доступ к той информации, которая требуется для выполнения их задач. Например, при оформлении займа, банк вправе задать вопрос о зарплате клиента, но интерес к ней со стороны лечащего врача будет противозаконным.

Видео

Что такое «персональные данные» и зачем их защищать? Смотреть видео

Нашли в тексте ошибку? Выделите её, нажмите Ctrl + Enter и мы всё исправим! Понравилась статья? Реклама на сайте

Сегодняшняя экономика и ее стабильное развитие невозможны без постоянного внедрения различных экспериментальных механизмов, которым требуется тщательная отработка, «обкатка». Однако нередко такие эксперименты требуют обязательного нормативного регулирования, что существенным образом тормозит возможности для многих компаний проверять на практике те экспериментальные идеи, которые они выдвигают.

Для того чтобы помочь разным компаниям в наиболее востребованных отраслях, на территории Российской Федерации начинается создание специальных площадок, которые подразумевают под собой не только территории, но и специально созданные условия для проведения разных экспериментов. По аналогии с Великобританией, где такие площадки были созданы и начали успешно применяться в 2016 году, в России их назвали «регуляторными песочницами».

🏝 Что такое «регуляторные песочницы»

«Регуляторная песочница» – условное название, которое, однако, достаточно четко отражает суть таких площадок. По своему происхождению данный термин относится к финансовым. Он означает предоставление разрешения тем компаниям, которые разрабатывают новые финансовые продукты, разные сервисы, технологии. Однако проводить проверку своих продуктов и технологий компании должны таким образом, чтобы не нарушать условия действующего законодательства.

Причем здесь песочница? Создание таких экспериментальных площадок происходит с помощью Центрального банка Российской Федерации – он является регулятором основных экономических вопросов, в том числе связанных с реализацией различных нововведений. Слово «песочница» в данном случае можно трактовать по аналогии с небольшой игровой зоной на детской площадке – дети там начинают реализовывать полученные навыки строительства («куличики», «домики»), чтобы потом их переносить на другие материалы (например, строить шалаши из более прочного материала). Именно таким же образом можно утрированно представить и «регуляторные песочницы» (другое название – «регулятивные песочницы») для компаний, которые хотят проверить жизнеспособность своих нововведений: они проверяют их в специально созданных для них условиях, а потом, если проверка эксперимента прошла успешно, внедряют в остальную жизнь.

А персональные данные? Проверка жизнеспособности созданного нововведения происходит «в условиях реальной жизни», то есть с задействованием определенного круга физических лиц, компаний. И нередко для того, чтобы проверка жизнеспособности того или иного нововведения полностью соответствовала условиям реальной жизни, требуется обрабатывать персональные данные определенных групп людей.

Использование «регуляторных песочниц» позволяет провести исследование жизнеспособности потенциального нововведения, но не нарушить при этом закон и быть частично свободными от предъявляемых требований, которые могут ограничить возможности практической проверки результатов проведенного эксперимента.

Первоначально создание «регуляторных песочниц» стало идеей Центробанка, а у самого этого механизма есть следующие цели:

  • увеличение перечня тех финансовых сервисов и технологий, которые есть на рынке и могут быть представлены в дальнейшем;
  • сокращение расходов, относимых к издержкам, которые компании несут при внедрении различных инновационных процессов;
  • повышение привлекательности для инвесторов тех компаний, которые предлагают различные инновации (отрасль внедрения таких инноваций не играет роли – это может быть и медицина, и образование, и другие сферы, где такие предложения могут быть нужны);
  • внесение изменений в существующую нормативную базу деятельности компаний-новаторов;
  • установление специального контроля со стороны уполномоченных органов над компаниями, работающими над внедрением разных инноваций.

Однако для того, чтобы эти цели были достижимы и Центробанком, и компаниями, которые свои инновации проверяют, потребуется в некоторой части преступать закон, получая доступ к определенным сведениям, доступа к которым может и не быть. Чаще всего речь идет о персональных данных.

Как вы относитесь к тому, что ваши персональные данные могут обрабатывать без получения письменного согласия на это? Отрицательно – я не хочу, чтобы мои данные «уплыли» в сеть и там светилисьНейтрально – какая разница, если наши данные и так уже есть во всех организациях?Положительно – может быть, тогда от этих экспериментов появится что-то новое и упрощающее нашу жизнь

💡 Понятие экспериментальных правовых режимов

Для того чтобы проверять жизнеспособность тех или иных инновационных технологий, в том числе цифрового профиля, на государственном уровне принято решение позволить разным компаниям, которые и будут осуществлять такую проверку, осуществлять ее без соблюдения определенных норм действующего законодательства – если такие нормы законодательства будут причинять ущерб попыткам проведения таких проверок. Исключение составляет законодательство в сфере защиты прав потребителей – в этой сфере придется применять все действующие нормы.

Экспериментальный правовой режим – это специально сформированная ситуация по применению права, когда некоторые нормативно-правовые акты не применяются, чтобы не ограничивать права тех компаний, которые занимаются проверкой жизнеспособности тех или иных инноваций. То есть на компании, внедряющие такие проекты, не должны распространяться общие нормы законов, которые могут ограничить их экспериментаторские возможности.

Наибольшая вероятность установления таких экспериментальных правовых режимов характерна для следующих отраслей:

  • связанных с осуществлением дистанционной торговли, предметом которой являются товары, услуги или определенные виды работ;
  • деятельность которых связана с разработкой и последующим тестированием специальных систем эксплуатации транспортных средств, отличающихся высокой автоматизированностью функционирования;
  • функционирующих в сфере строительства и последующей эксплуатации возводимых зданий, а также различных инженерных и инженерно-коммуникационных сооружений.

Указанные сферы для установления экспериментальных правовых режимов характерны для компаний, которые начинают принимать участие в «регуляторных песочницах» с момента вступления в силу данного законопроекта в виде закона. Однако для организаций, которые тестируют и проверяют финансовые продукты, направленные на совершенствование всех действий в экономической и финансовой сферах деятельности, Центральным Банком Российской Федерации еще с 2018 года принято решение о необходимости использования специальных правовых режимов.

Экспериментальный правовой режим может быть установлен на региональном уровне для конкретного субъекта.

Пример. Из последних ярких примеров следует вспомнить тестирование, а потом и полноценное внедрение системы цифровых пропусков на территории Москвы с целью профилактики нарушений режима самоизоляции при борьбе с активным распространением коронавирусной инфекции. Такая система может быть применена на территории всего государства: в период нахождения Российской Федерации на пике распространения коронавирусной инфекции рассматривался вопрос о том, чтобы вводить пропускной режим на территории всего государства в случае ухудшения существующей ситуации с заболеваемостью.

Для того чтобы на уровне руководства региона или государства было принято решение об установлении экспериментального правового режима для той или иной организации, должны совпасть определенные условия, к которым относятся:

  • готовность созданных инноваций (цифрового профиля) к внедрению и использованию;
  • существующие нормативно-правовые акты мешают внедрению созданных цифровых инноваций;

а также если рассматриваемые инновации приведут хотя бы к одному из перечисленных ниже последствий:

  • в результате внедрения таких инноваций должен появиться новый вид экономической деятельности;
  • изменится – с качественной точки зрения – состав реализуемых товаров, услуг или работ, либо произойдет их расширение – с точки зрения ассортимента;
  • изменится в сторону увеличения прибыль компаний, работающих в той или иной отрасли бизнеса, либо сократятся их издержки;
  • произойдет повышение эффективности управления, осуществляемого на государственном или муниципальном уровнях (при этом речь идет и о предоставлении государственных услуг посредством различных электронных информационно-коммуникационных услуг и IT-решений).

В том случае, если указанные выше цели введения или использования экспериментального правового режима не будут достигнуты в те сроки, которые установлены законом для их действия (максимальный срок действия такого режима – три года), то компания исключается из перечня участвующих в таком режиме.

Быть ИП лучше, чем самозанятым. Выясняем почему Читать Хватит кошмарить бизнес. Как работает сервис защиты предпринимателей ЗаБизнес.рф

⚡ Исключения из правил применения закона «О персональных данных» в срезе законопроекта о «регуляторных песочницах»

Введение экспериментальных правовых режимов налагает определенные особенности на функционирование других законов. Одним из тех нормативных актов, действие и существование которого существенным образом может измениться после начала действия законов о «регуляторных песочницах», является Федеральный закон №152-ФЗ «О персональных данных».

Ключевым исключением, которое возникнет после принятия законопроекта «Об экспериментальных правовых режимах», следует считать возможность тех компаний и индивидуальных предпринимателей, которые действуют в рамках сформированного такого режима: то есть, не подчиняясь некоторым нормативным актам, обрабатывать персональные данные людей, косвенно затронутых данным режимом.

Как это? В частности, статья 9 Федерального закона №152-ФЗ «О персональных данных» говорит о том, что все личные идентифицирующие сведения субъекта (то есть физического лица, которое обладает теми или иными данными) могут быть обработаны только с его согласия. В случае же, если произошло введение экспериментального правового режима (то есть создание той самой «регуляторной песочницы»), то эти личные данные компания может обработать уже самостоятельно, не получая согласия. И доказывать, что согласие было получено, оператору уже не придется. Но только если речь идет о письменном согласии (выполненном на бумажном носителе). Если речь идет о получении согласия в электронной форме, то оно будет необходимо к получению.

Однако это касается, в первую очередь, биометрических персональных данных. Иные виды пока придется обрабатывать только с «бумажной формы» согласия того лица, которое ими обладает – является субъектом.

Национальная база генетической информации Читать Биометрия: что это такое и для чего собираются данные Как ОМС ограничивает права граждан

Итоги

Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *