Что такое персональные данные
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Конкретного перечня данных в законе нет, что оставляет некоторый простор для толкования. К персональным данным относится такая информация, как полное имя, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.
Алексей Лукацкий, эксперт, бизнес-консультант по безопасности Cisco Systems:
- Существующее понятие, содержащееся в законе «О персональных данных», является копией определения, взятого из Европейской конвенции о защите персональных данных, ратифицированной Россией в 2005 году. Сегодня невозможно определить состав персональных данных и перечислить их точнее. Ни один из федеральных органов исполнительной власти сегодня не уполномочен уточнять этот термин. Поэтому каждая организация в зависимости от целей своего функционирования самостоятельно определяет перечень данных, которые она собирает от своих сотрудников и клиентов, настоящих и бывших, и которые будут считаться личными в этой организации.
Типы персональных данных
Федеральный закон № 152 определяет виды персональных данных:
- Общий. Законодательство относит к ним основные персональные данные: ФИО, место регистрации, сведения об образовании, месте работы, номер телефона, адрес электронной почты;
- Специальный. Информация о личности человека: раса и национальность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, сведения о судимости;
- Биометрический. физиологические или биологические особенности человека, которые используются для установления его личности: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и другие;
- Другие. К ним относятся все данные, которые нельзя отнести к другим типам: принадлежность к той или иной социальной группе, корпоративные данные и так далее.
Информация о заработной плате работника также является его персональными данными и не подлежит публичному разглашению работодателем или третьими лицами, имеющими доступ к этой информации.
Стоит отметить, что не все фото и видео конкретного человека являются его биометрическими персональными данными, а только те, которые позволяют идентифицировать и используются для установления личности. По данным Роскомнадзора, биометрическими персональными данными не является, в частности, ксерокопия паспорта, предоставленная при заключении договора с банком, фотография в личном деле, рентген- и флюорографические снимки.
Персональные данные в Интернете
Размещение персональных данных на открытых интернет-ресурсах не делает их автоматически общедоступными. По словам эксперта, если сайт идентифицирует пользователя, то все действия, связанные с ним на сайте, будут рассматриваться как персональные данные.
Алексей Лукацкий, эксперт, бизнес-консультант по безопасности Cisco Systems:
- Поскольку нет четкого перечня, какие данные являются персональными, нет и однозначного ответа на вопрос о данных на сайтах. Формально, если мы ввели свои ФИО и контактные данные в произвольной форме, то все остальное, что мы ввели, будет считаться личными данными, так как они относятся к конкретному физическому лицу. Файлы cookie, которые собираются практически всеми сайтами в Интернете, также считаются персональными данными. И электронная почта, которая используется в качестве логина на сайтах. И даже если где-то используется никнейм, реквизиты которого раскрываются в личном кабинете, то это тоже можно считать личными данными.
Обработка персональных данных
Обработка персональных данных должна осуществляться с согласия субъекта. Ранее данное согласие может быть отозвано без каких-либо дополнительных условий. Получение согласия по телефону или посредством СМС-сообщений законодательством не предусмотрено. Перечень исключений, при которых согласие на обработку данных не требуется, определен в законе:
— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;
– обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;
- необходим для исполнения полномочий государственных органов;
- необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- необходимо для защиты жизни, здоровья, иных жизненно важных интересов человека, если получение его согласия невозможно;
- для осуществления прав и законных интересов оператора (организации или лица, осуществляющего обработку данных) или третьих лиц, либо для достижения общественно значимых целей;
- для осуществления профессиональной деятельности журналиста и (или) средства массовой информации, научной, литературной или иной творческой деятельности;
– осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;
- данные общедоступны (например, справочники, адресные книги);
— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т.п. могут совершать операции с личными данными с разрешения субъекта. После достижения результата, для которого данные были собраны, оператор теряет юридическую возможность их использования и несет ответственность за их умышленное разглашение.
Нарушения персональных данных
Законодательством Российской Федерации предусмотрены разные виды ответственности (дисциплинарная, административная, уголовная) за нарушение правил обращения с персональными данными. В качестве наиболее частых можно выделить следующие правонарушения:
- неполучение согласия гражданина на обработку его персональных данных;
- неполучение согласия на передачу его персональных данных для обработки третьим лицам;
- неполучение согласия на трансграничную (за пределы Российской Федерации) передачу персональных данных;
- неполучение согласия на обработку биометрических персональных данных;
— нарушение правил и требований к обработке (хранению, передаче, защите, уничтожению и т.п.) персональных данных.
Андрей Егупец; группа "Прямая речь"