Персональные данные человека – нематериальный объект, представляющий высокую ценность для широкого круга желающих его получить: от злоумышленников до коммерческих организаций. Чтобы обеспечить защитные меры для личной информации законодателями России принят 152-ФЗ «О персональных данных». Там представлены базовые положения, принципы безопасности личных данных, сформулированы основополагающие термины, очерчен круг объектов, субъектов, подпадающие под действие этого закона.
Что такое персональные данные, какова их классификация, кто вправе их обрабатывать, как они защищаются? Давайте разбираться.
Подробнее о формулировке
Под ответом на вопрос «что такое персональные данные человека» согласно документу № 153-ФЗ имеются ввиду любые сведения, которые относятся к конкретным физ. лицам. Этим общим понятием очерчена большая группа сведений – от фамилий, имен и отчеств до номеров ИНН.
Информацию излагают в любом виде – текстовом, звуковом или визуальном (аудиозаписи, фотографии, видеоролики, фото негативы, снимки или графики, изготовленные на специальном медицинском оборудовании).
Что такое персональные данные (ПДн)? Защита по 152-ФЗ и требования Роскомнадзора в 2022
Исходя из формулировки, персональными можно считать только такие сведения, которые прямо указывают на конкретного человека. Например, адрес электронной почты, номер телефона без идентификации регистрации, можно назвать персональной информацией лишь с оговорками. С другой стороны, точно такие же сведения для сотрудника, специалиста, имеющего доступ к базе данных, дадут возможность для идентификации владельца.
Классификация
В зависимости от доступности персональные данные делят на:
- общедоступные;
- конфиденциальные.
Закон № 153-ФЗ четко указывает, какие сведения относятся к первой категории: содержащиеся в справочниках, сборниках, каталогах, где такая информация находится с ведома человека и его разрешения. В общем доступе могут находиться ФИО, № телефона, домашний адрес – то, что человек сам считает возможным сообщить о себе.
К конфиденциальным относят данные, подлежащие защите от несанкционированного доступа, т.е. те, которые их владелец не желает выставлять на всеобщее обозрение. В эту группу может входить информация, которая с согласия собственника может быть включена в общедоступные источники – контактные сведения, привязанные к конкретному лицу. Например, к конфиденциальной информации относят также данные о банковских операциях, судимостях и т.п.
По характеру содержащихся сведений данные бывают:
- общими;
- специальными;
- биометрическими;
- иными.
В общую категорию включают данные, которые по согласованию с лицом становятся общедоступными: ФИО, адрес, место работы, семейное положение, № телефона, идентификатор популярных мессенджеров, электронная почта. Общедоступные сведения могут быть дополнены фотографией.
От других категорий общая отличается тем, что сведения из нее станут известными неопределенному кругу лиц из общедоступных источников: из соц. сетей, от друзей, знакомых, из визиток или резюме.
Что делать, если у ИП изменились персональные данные (ИП/РФ)
Специальные
Какие бывают персональные данные в этой категории? Информация, раскрывающая подробности личной жизни человека: отношение к религии, расовая принадлежность, наличие наследственных заболеваний, интимная жизнь, привлечение к административной, уголовной ответственности и т.д. Такие данные большинство людей старается сохранять конфиденциальными и не раскрывать посторонним. Например, информация о судимости, ставшая известной определенному человеку или неограниченному кругу людей, может причинить моральный вред ее владельцу. Сведения об имеющихся банковских вкладах, кредитах могут поменять отношение или повлиять на решение заинтересованных лиц, организаций.
Биометрические
Отпечатки пальцев, рисунок радужной оболочки глаза, генотип, группа крови – информация, входящая в биометрическую группу. К ней же относятся общие сведения, характеризующие другие физические особенности человека: рост, вес, цвет глаз, кожи.
Часть такой информации хранится, в том числе, в биометрических паспортах и используется для идентификации личности.
Что входит в персональные данные человека, не подпадающие под другие категории? Любая информация, которая также характеризует конкретную личность: членство в клубах, добровольных сообществах и т.п.
Напомним, что ФС РФ, обеспечивающая надзор в сфере связи, выпустила разъяснения, о том, что информация из специальной и/или биометрической категории считается персональными данными лишь тогда, когда используется в случае установления личности. Применение фото, рентген-снимков, других сведений как дополнительных или для строго ограниченных манипуляций (лечение, групповое фото или съемка в общественных зонах без фокусирования на человеке) не делает эти сведения личными.
Какие персональные данные нельзя разглашать? Любые! Все без разрешения владельца, данного в письменной форме.
Обработка персональных данных: что это?
Согласно № 153-ФЗ речь идет про любые манипуляции где задействованы средства IT-автоматизации или нет. Сюда относятся:
- хранение;
- систематизация;
- уничтожение, удаление;
- запись;
- сбор, накопление;
- передача;
- блокировка;
В № 153-ФЗ четко изложены принципы, используемые на практике операторами при работе с персональной информацией.
- Законность и справедливость. Любая деятельность, имеющая отношение к обработке конфиденциальных сведений, производится для всех категорий лиц строго в рамках законодательства;
- Наличие строго ограниченных целей. Собирать информацию с иными целями, не оговоренными оператором, запрещено;
- Точность, актуальность, достаточность. Обязанность обработчика данных – своевременно вносить изменения, если для этого есть поводы и законодательные рекомендации;
- Срочность. Закон обязывает хранить сведения для идентификации в строго оговоренных временных рамках, описанных законом или до тех пор, пока не будут достигнуты идентификационные цели.
Примеры обработки данных:
- сотрудник интернет-магазина попросил заполнить форму для продолжения коммуникации, указать свои ФИО и телефонный номер – сбор.
- по запросу полиции получена информация о привлечении гражданина к административной ответственности – сбор, передача.
- На здании у входных дверей установлена система видеонаблюдения с функцией распознавания лиц: подключенная техника собирает, хранит и систематизирует изображения.
Кто обладает правом выступать оператором персональных данных?
Согласно законодательным актам, функции операторов разрешено выполнять большинству организаций и физических лиц. Главное условие – наличие добровольного разрешения владельца на получение и обработку личной информацией. Случаи и перечень получателей, кому можно передавать персональные данные, перечислены в статьях 6, 10 закона от 27.07.2006 №152-ФЗ.
За рядом отдельных случаев, обозначенных ч.2 ст.22 153-ФЗ, перед началом своей деятельности оператору предписано выслать уведомительное письмо в Федеральную службу по надзору в сфере связи для постановки на учет в специальный реестр, где по состоянию на начало 2022 года зарегистрированы более 435 тыс. субъектов.
Уведомление посылать не нужно, если обработка информации производится:
- в виде фамилии, имени и отчества без дополнительных идентифицирующих признаков;
- без применения автоматизированных систем;
- субъектами, включенными в реестр;
- при контрольно-пропускном режиме и т.д.
В обязанности оператора входят:
- назначение лиц, которые будут отвечать и следить за обработкой конфиденциальных сведений;
- Выдача владельцу по первому требованию личных сведений, если персональная информация не была направлена от самого субъекта, источников, из которых пришли персональные сведения, цели их обработки;
- выполнение всех требований законодательства в ходе ведения деятельности;
- выяснение причин, устранение последствий разглашения, неправомерного использования конфиденциальных сведений;
- проведение защитных мер для поддержания высокого уровня безопасности информации (при необходимости).
Разрешение человека на пользование его персональными сведениями, защитные мероприятия
Защитные действия в отношении вверенной личной информации осуществляет оператор: перед их принятием от гражданина получают одобрение на обработку. Под согласием понимается добровольное, заинтересованное принятие решения физическим лицом на использование личных сведений. Согласие получают непосредственно от самого гражданина (его дать может также законный представитель) письменно или в другой форме, не запрещенной законодательством. Например, на интернет-сайтах необходимо поставить «галочку» в специальном окошке, обозначающей, что посетитель добровольно соглашается на принятие его ФИО, телефона для контакта.
Бездействие человека, его молчание не означают разрешение, поэтому распоряжаться сведениями в этих случаях запрещено. За владельцем закреплено право отозвать по первому желанию свое согласие, но оператор продолжит работу с информацией, не требующей соглашения ее владельца.
Гражданин имеет право заявить об отказе от обработки, при этом отдельная группа операторов (магазины, поставщики услуг) не вправе отказать ему в обслуживании.
Безопасность работы с конфиденциальными сведениями
В понятие защиты персональных данных законодатели вкладывают превентивное выявление уязвимостей систем, тандем IT-инфраструктуры с механизмами безопасности, специализированным ПО, организационными, правовыми действиями. Мероприятия должны исключать несанкционированное или случайное получение защищаемой информации, разглашение, повреждение, другие вредоносные действия.
К организационно-правовым мерам относят разработку, внедрение рабочих инструкций, политик безопасности, назначение ответственных за их соблюдение сотрудников. Технические меры: установка специального ПО (антивирусы, фаерволлы, DLP-системы), СКУД, видеонаблюдение.
Особенности защиты персональных данных заключаются в комплексном применении техники (физические серверы, облачные хранилища) внедрение правовых норм, предусматривающих ответственность за нарушение законодательства в отношении конфиденциальности информации.
Ответственность за разглашение
Утечка данных, содержащих личную информацию, влечет наказание согласно административному, гражданскому, уголовному кодексам. Санкции ст.13.11 КоАП РФ в зависимости от статуса нарушителя (физическое, юридическое лицо, индивидуальный предприниматель), повторности, вида правонарушения предусматривают штрафы от 10 000 до 18 000 000 рублей.
Уголовное законодательство более строго относится к нарушителям, посягнувшим на неприкосновенность личной жизни. Осужденному по ст.137 УК РФ грозит штраф до 350 000 рублей, принудительные работы, запрет на занятие определенными видами деятельности или запрет на определенные должности, или тюремное заключение сроком до 6 лет.
Кроме привлечения к административному и уголовному видам наказания, виновное лицо может быть наказано материально посредством подачи гражданского иска в суд общей юрисдикции.
Государство, осознавая ценность персональных данных, поддерживает и исполняет меры по их защите на законодательном уровне. Состояние безопасности конфиденциальной информации зависит от выполнения норм законов, внедрения современной IT-инфраструктуры и программного обеспечения. Нарушения в сфере личной жизни граждан жестко наказываются материально и уголовно.
Источник: rt-solar.ru
Что относится к персональным данным
В этой статье рассказываем об основных понятиях и правилах работы с персональными данными. Эта информация поможет не ошибаться при их обработке, сведет к минимуму вероятность нарушений и ответственности за них.
- Персональные данные и субъект персональных данных
- Виды персональных данных
- Оператор персональных данных и их обработка
- Автоматизированная и неавтоматизированная обработка ПД
- Информационная система ПД
- Как получить выписку из Реестра
Персональные данные и субъект персональных данных
Сейчас действует Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон), который с 01 сентября 2022 года применяется в новой редакции. Именно в нем указано, что такое персональные данные (далее также – ПД, данные).
Это любая информация, которая прямо или косвенно относится к конкретному человеку. Его называют субъектом персональных данных. Дальше по тексту статьи мы будем называть его просто – человек или гражданин. Персональные данные – это разнообразные сведения о каждом из нас: от ФИО, места жительства, пола, даты рождения, паспортных данных до сведений о здоровье и политических взглядах.
Виды персональных данных
В ПД выделяют особые группы данных. Это:
- биометрические данные,
- специальные категории данных.
Биометрические ПД – это такие данные о человеке, которые характеризуют его физиологические и биологические особенности и позволяют установить его личность (ст. 11 Закона).
К специальным категориям ПД относятся сведения о расовой и национальной принадлежности, религиозных или философских убеждениях, судимости, интимной жизни. А также — об уже упомянутых состоянии здоровья и политических взглядах гражданина (ст. 10 Закона).
Оператор персональных данных и их обработка
Оператор ПД – это тот, кто обрабатывает персональные данные или организует их обработку. Также он определяет цели обработки ПД, их состав и действия (операции), которые совершает с данными. Оператором может быть госорган, муниципальный орган, организация и обычный гражданин (физлицо).
Обработка персональных данных – это любые действия с ПД, которые оператор совершает с помощью средств автоматизации (т.е. средств вычислительной техники) или без них. Сюда относятся сбор данных, их запись и хранение, уточнение и извлечение, использование и передача — распространение, предоставление, доступ. А также – их обезличивание, блокирование, удаление и уничтожение.
Автоматизированная и неавтоматизированная обработка ПД
Первая предполагает обработку ПД с помощью средств вычислительной техники, вторая – без них, когда оператор фиксирует данные на материальных носителях и помещает их в картотеки или другие систематизированные собрания данных.
Обработка считается неавтоматизированной, если использование, уточнение, распространение и уничтожение ПД в отношении каждого гражданина требует непосредственного участия человека.
Оператор может обрабатывать данные неавтоматизированным способом только при условии, что такая обработка идентична автоматизированной обработке. То есть позволяет осуществлять в соответствии с заданным алгоритмом поиск ПД и доступ к ним.
Оператор, который обрабатывает персональные данные без средств автоматизации, должен соблюдать требования Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687.
Информационная система ПД
Это совокупность самих персональных данных, которые содержатся в базах данных, а также технологий и технических средств, с помощью которых они обрабатываются.
Уполномоченный орган по защите прав субъектов персональных данных
Это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор (далее – Роскомнадзор, Служба).
Она действует на основании Положения, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 N 228.
Реестр операторов ПД
Его полное название — Реестр операторов, осуществляющих обработку персональных данных (далее – Реестр). Ведет его Роскомнадзор.
Реестр размещен на Портале персональных данных Роскомнадзора — https://pd.rkn.gov.ru/
Ведение Реестра предполагает, что Служба регулярно пополняет и обновляет его. То есть включает в него сведения о начале обработки ПД оператором и о ее прекращении, а также вносит изменения в сведения об операторе.
Сведения Реестра являются общедоступными, кроме информации о средствах обеспечения безопасности данных (ч. 4 ст. 22 Закона).
Как получить выписку из Реестра
Это может сделать любое заинтересованное лицо. Надо просто обратиться с заявлением в Службу. Его форма утверждена – смотрите Приложение N 4 к Методическим рекомендациям. утвержденным Приказом Роскомнадзора от 30.05.2017 N 94.
Срок выдачи выписки – 5 рабочих дней.
Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.
Источник: spmag.ru
Персональные данные
Любая информация о физическом лице является его персональными данными. Правила сбора личной информации, хранения и передачи третьим лицам, а также наказание за нарушения в этой области указаны в законе о защите персональных данных – ФЗ-152.
Каждый сайт, приложение, организация тем или иным образом собирающая данные о людях, автоматически становятся операторами ПДн и обязаны строго следовать букве закона и заботится о защите полученных данных от злоумышленников.
Понятие о персональных данных
Чтобы определить с тем, что означает понятие «персональные данные», достаточно обратиться непосредственно к ФЗ-152. В нем говорится, что любая информация, прямо или косвенно касающаяся физического лица и есть его личные данные, которые защищены государством от незаконного использования.
Примером ПДн могут стать:
- Фамилия, имя и отчество человека.
- Личные номер телефона или адрес электронной почты.
- Информация о состоянии здоровья.
- Биометрические данные: фотографии, отпечатки пальца, записи голова.
- Национальность.
- Философские или религиозные воззрения.
- Данные документов.
- Ссылки на личные страницы в социальных сетях и история поиска в браузере.
При этом есть определенная особенность. Не всегда одни и те же данные являются персональными. Так номер телефона относится к ПДн только в том случае, если предоставляется с именем его владельца, как и адрес электронной почты.
Даже фамилия имя и отчество в некоторых случаях не являются объектами внимания закона. Иванов Василий Петрович – это просто информация, которая ничего по большому счету не говорит, людей с такими данными может быть много. Только добавление дополнительной информации, позволяющей точно идентифицировать конкретное физическое лицо становится причиной считать имя ПДн.
Логика проста. Если по набору данных можно точно идентифицировать конкретную личность – это персональные данные, если же это невозможно – то нет.
Что является персональными данными?
1 ноября 2012 года были утверждены требования к защите персональных данных особым постановлением правительства №1119. В нем также выделены специальные группы, на которые разделяется личная информация:
- Общедоступные.
- Биометрические.
- Специальные.
- Иные.
Каждый из подразделов имеет свои особенности.
Общедоступные
Многие считают, что это информация, известная о вас родным и друзьям, работодатели или даже случайным людям, заинтересовавшимся вами в Интернете. Но это не так. По закону общедоступными персональными данными являются только те, что помещаются с полного согласия владельца в различного типа справочники или адресные книги. Таким образом, персональные данные в Интернете, если вы не разместили их самостоятельно или не дали на это согласие, общедоступными не являются.
Биометрические
Это сведения о биологических или физических особенностях конкретного человека, по которым его возможно опознать:
- Фотографии.
- Отпечатки пальцев.
- Генетические особенности.
- Описание радужки глаза.
- Разнообразные образцы звучания голоса.
Здесь также стоит учитывать, что не всегда информация о ваших биологических особенностях входит в эту группу. Так результаты анализов любого типа не относятся к информации, охраняемой ФЗ – 152, так как были собраны не с целью вашей идентификации. А отпечаток пальца или фотография, использующиеся для пропускного режима на работе – к ним относятся, так как позволяют вас идентифицировать.
Специальные
Некоторые данные, отражающие особенности личности, мировоззрения и отличительные черты субъекта, входят в категорию «специальные»:
- Национальная принадлежность.
- Данные о состоянии здоровья, о наличии хронических заболеваний.
- Вера.
- Политические взгляды.
- Философские воззрения.
- Наличие, количество судимостей и причины их возникновения.
- Личная жизнь и родственные связи.
Также важно, для причисления информации к персональным данным, иметь контекст, по которому будет возможно опознать конкретную личность.
Иные
Что входит в персональные данные этой группы, зависит от конкретной ситуации. Обычно к ней относят всю ту информацию, которая не учитывается в предыдущих:
- Стаж работы.
- Геолокация.
- Адрес электронной почты.
- Страницы в социальных сетях.
- Информация о принадлежности к определенной социальной группе.
- Уровень образования.
И другие параметры, не относящиеся напрямую к упомянутым выше группам.
Общие примеры персональных данных
Персональными данными физических лиц по закону считаются:
- ФИО;
- ИНН и дата рождения;
- гражданство согласно гражданскому паспорту и место рождения;
- данные о регистрации и фактическом месте жительства;
- данные о родственниках и супругах;
- данные о дееспособности, свидетельство о смерти;
- сведения о наличии образования;
- сведения о пенсионных доходах;
- данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
- данные о налоговых платежах;
- информация о воинской обязанности.
Персональными данными юридических лиц по закону считаются:
- наименование юрлица;
- юрадрес и организационно-правовая форма;
- местоположение юрлица;
- ОГРН;
- ИНН и КПП;
- номер расчетного счета.
К данному перечню также можно причислить сведения о руководителе.
Субъекты и операторы
В законе выделены две основные категории, подпадающие под действие законодательства.
Субъект – это непосредственно физическое лицо, которое в каких-либо условиях сообщает информацию о себе. Это касается заполнения данных медицинской карты, личного дела в учебном заведении или на работе. Даже заказывая доставку в кафе или вещь в интернет-магазине и предоставляя свое имя и адрес, вы становитесь официальным субъектом.
Оператор – это физическое лицо или организация, собирающая, обрабатывающая, хранящая или распространяющая ПДн. Также именно они определяют цели подобных действий. Оператором становится любой, имеющий доступ к какой-либо информации. Социальная сеть, сайт интернет- магазина, приложение, работодатель или государственная организация. Даже если вы становитесь хранителем информации о одном сотруднике, уже получаете официальный статус оператора и обязаны заботиться о защите персональных данных сотрудника.
Как работать с персональными данными?
Любая информация, признаваемая ПДн принадлежит только непосредственно физическому лицу. Собирать и обрабатывать ее без вашего согласия – незаконно. Более того, оператор, предъявляя список необходимых данных, должен установить цель сбора и обработки каждого пункта. Каким-либо способом пытаться добыть данные без конкретной законной цели – запрещено. Так, если при доставке товара вам предлагают указать не только контактные данные, ФИО и адрес, но и другую информацию без видимой необходимости, то нарушается закон.
Кроме того, оператор обязан заниматься защитой персональных данных работника и любого партнера. Для этого разрабатываются внутренние положения и сборе, хранении и защите информации, внешние и внутренние способы защиты. Для этого необходимо соблюдать все положения ФЗ-152:
- Пройти регистрацию в Роскомнадзоре и получить статус оператора.
- Получать разрешение физического лица на действия с его личными данными.
- Не собирать информацию без четкой цели и необходимости.
- Своевременно отвечать на запросы субъектов по данному вопросу, предоставлять необходимые данные.
- Хранить и обрабатывать информацию только в течение срока, указанного в поставленной цели.
- Вовремя уточнять, проводить блокировку или уничтожение ПДн по отдельному прошению субъекта или по достижении первоначальных целей.
- Обеспечить необходимую внешнюю и внутреннюю защиту, пресечь незаконное распространение персональных данных.
- Без разрешения субъекта и подтвержденной аттестации не передавать третьим лицам.
Как правило в организации есть сотрудник, в чью компетенцию входит соблюдение необходимых правил, разработка внутреннего положения и отслеживание его исполнимости.
Персональные данные: 6 важных правил Проверьте, не допускаете ли вы ошибок в работе с ПД.
- Любой ИП (даже если у него нет сотрудников, но он заключает договора с физлицами) должен разработать Положение об обработке персональных данных и опубликовать на сайте Политику конфиденциальности.
- Если у вас есть штатные сотрудники, вы должны не только получить согласие на обработку ПД, но и правильно хранить эти сведения. Для этого нужно назначить ответственное лицо, а также утвердить перечень сотрудников, которые имеют доступ к этой информации. Отдельным приказом нужно утвердить перечень мест для хранения личных карт работников.
- Помните, что по закону использовать ПД можно только в целях, которые прописаны в тексте соглашения.
- Вам не нужно получать согласие на обработку ПД, если они нужны для исполнения договора. Например, вы продаете товары в интернет-магазине. А значит, для доставки вам нужно знать ФИО клиента, его телефон для связи, адрес доставки.
Важное НО! Эти правила нужно указать в самом договоре на сайте. - После увольнения работника компания обязана уничтожить его персональные данные.
Ответственность за распространение персональных данных
В зависимости от конкретного правонарушения, оператор может понести достаточно серьезное наказание за нарушения соглашения о хранении и сборе персональных данных или за незаконные действия с ними.
Роскомнадзор регулярно проводит проверки, позволяющие выявить недобросовестных или вовсе не зарегистрированных официально операторов. По итогам проверки или обращения в суд частным лицом в связи с нарушением ФЗ «О персональных данных», может быть назначено наказание по трем направлениям:
- Гражданское.
- Административное. Случаи нарушений рассмотрены в статьях КоАП 27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2.
- Уголовное. Основания изложены в Уголовном кодексе Российской Федерации в статьях ст.137, 140, 155, 183, 272, 273, 274, 292, 293.
- Дисциплинарное на основе положений Трудового кодекса, в частности статей ст.81; ст.90; ст.195; ст.237; ст.391
А также дополнительные взыскания на основе подзаконных актов, издающихся в субъектах Российской Федерации, различных государственных ведомствах и организациях любого типа.
Наиболее распространенными формами наказания за нарушения подобного порядка являются штрафы различного размера, административные взыскания, но также возможно и заключение под стражу за нарушение персональных данных.
Источник: atlasprava.ru
