Что такое персональные данные. Объясняем простыми словами

Опубликовано

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что такое персональные данные. Объясняем простыми словами». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Общедоступные персональные данные
2. Что такое согласие на обработку персональных данных?
3. Согласие на обработку персональных данных
4. Персональные данные умершего
5. Общедоступные данные по-новому
6. Новые штрафы за нарушение правил обработки персональных данных
7. Составление положения об обработке персональных данных
8. Способы обработки персональных данных государственными и муниципальными органами
9. Что такое «Реестр нарушителей прав субъектов персональных данных»
10. У меня свой интернет-магазин и я слышал, что надо как-то работать с персональными данными, иначе меня могут оштрафовать. Как мне понять, что менять и как действовать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Для начала — есть категория «сырых» данных, которые позволяют однозначно определить личность конкретного человека. Например, это номер паспорта или набор из Ф. И. О., пола и даты рождения.

Персональные данные, например:

  • Номер паспорта
  • Ф. И. О. + пол + дата рождения
  • Отпечаток пальца

В то же время есть вторая категория «сырых» данных, которые сами по себе вряд ли помогут вам идентифицировать субъекта персональных данных. Например, к таковым относятся:

  • Любимое блюдо
  • Место работы
  • Личные качества (характер нордический, самоотвержен)
  • Количество детей

То есть называть такие сведения персональными данными с точки зрения действующего законодательства нельзя.

Правило номер один: если смешать ту информацию, которая сама по себе образует персональные данные, и ту, что их не образует, в одну базу данных, то получится база персональных данных. Например:

  • Номер паспорта + место работы = персональные данные
  • Медицинский диагноз + любимое блюдо + фотография = персональные данные
  • Ф. И. О. + пол + дата рождения + место работы + отпечаток пальца = персональные данные.

Копия паспорта — это ПДн. Потому что из изображения можно однозначно извлечь числа, которые точно являются ПДн сами по себе.

Фотография с паспорта, фотография с улицы, видеоизображение — это уже дискуссионный вопрос. Дискуссионный он потому, что не всегда можно однозначно понять, позволяет ли, например, конкретная фотография установить личность (где проходит та же граница качества съёмки?). Если это 3000 пикселей по узкой стороне и съёмка на паспорт — очевидно, это ПДн. А если эта же картинка хранится в размере 32х32 px? А если это не фото с паспорта, а фото в толпе на улице?

Пока чёткого определения нет. Оценки экспертные: например, когда вы проходите паспортный контроль, сотрудник ФСБ (пограничник) смотрит на ваше лицо, смотрит на фото в паспорте или визе и решает, похожи вы или нет. Если с его точки зрения достаточно похожи — значит, экспертное решение вынесено положительно. Примерно так же проходит идентификация по фото: суд привлечёт эксперта, а эксперт решит, можно или нет.

Что ещё забавнее, гражданин может прекратить обработку своих ПДн, то есть в теории можно вылавливать все свои фотографии в толпе и настаивать, что это хранение и обработка без вашего согласия. Исключениями из данной ситуации являются случаи, когда:

  1. использование изображения осуществляется в государственных, общественных или иных публичных интересах;
  2. изображение получено при съёмке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях);
  3. гражданин позировал за плату.

  • Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
  • Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
  • Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.
Читайте также:  Кто и как может наследовать накопительную часть пенсии? Часть II

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Что такое согласие на обработку персональных данных?

Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

Согласие на обработку ПД должно быть оформлено:

  • письменно, если того требует закон (см. выше);
  • в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).

Пункты, которые обязательно должно содержать письменное согласие:

  • Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
  • название организации или Ф.И.О. и адрес оператора;
  • цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
  • перечень ПД, которые будет обрабатывать оператор;
  • информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
  • перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
  • срок, на который выдано согласие;
  • способ отзыва согласия;
  • подпись.

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

Сторона, получающая личные сведения, обязана:

  • заручиться согласием их владельца на обработку и использование;
  • обеспечивать конфиденциальность;
  • хранить документ, подтверждающий, что владелец разрешил работать с ними.

ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Персональные данные умершего

Информация об умерших по общему правилу не относится к персональным данным и не охраняется GDPR. Тем не менее, в контексте этого вопроса целесообразно рассмотреть несколько специальных случаев.

Читайте также:  Индексация пенсий в 2023 году: что ждет пенсионеров и льготников?

Например, если контроллеру неизвестно, жив ли субъект персональных данных, то он обязан обрабатывать персональные данные такого субъекта в соответствии с требованиями GDPR.

WP29 также отмечает, если информация об умерших может одновременно касаться и живых, то такая информация составляет персональные данные.

Например, если умерший болел гемофилией (болезнь, обусловленная мутацией X-хромосомы, которая передается генетически), то его дети в абсолютном большинстве случаев также будут болеть гемофилией. В этом случае, сведения о том, что умерший болел гемофилией, будут считаться персональными данными даже после смерти человека.

Обработка персональных данных физических лиц с момента рождения и до смерти, а в отдельных случаях — после смерти, подпадает от регулирования GDPR.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Составление положения об обработке персональных данных

Положение может иметь разную структуру, доступны готовые шаблоны и примеры конкурентов. Однако в нем должны быть зафиксированы важные вопросы, которые помогут клиенту понять, зачем собираются данные и как они защищены:

  • общие понятия о персональных данных. В этом блоке раскрываются общие вопросы и даются определения терминов: распорядители, субъекты, ответственные лица, владельцы базы, иные;
  • цель обработки. Рекомендуется сослаться на Закон Украины «О защите персональных данных», а также рассказать, для решения каких задач собранные сведения будут использоваться: рекламные рассылки, веб-уведомления, повышение качества обслуживания, прочее;
  • порядок обработки и формы согласия. Необходимо подкрепить аргументы отсылками к законодательству, рассказать об электронных и бумажных разрешениях;
  • источники сбора данных: сведения, которые клиент предоставляет лично и добровольно;
  • место, где хранится база данных. Чаще всего выполняется привязка к физическому или юридическому адресу компании;
  • условия, при которых может быть выполнено раскрытие информации о данных. Если к базе будут иметь доступ третьи лица, с которыми нужно заключить отдельное соглашение, то необходимо предоставить информацию о них;
  • инструменты, использующиеся для защиты данных, и обязанности ответственных лиц;
  • сроки хранения данных, а также причины, из-за которых они могут быть удалены;
  • ключевые права субъекта (клиента), предоставляющего персональные данные. Например, получение доступа к данным, информирование о местонахождении баз и мерах, которые нужно предпринять в случае нарушения законодательства.
Читайте также:  Штраф за отсутствие детского кресла в 2023 году

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу. Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Любой оператор, будь то частная фирма или государственная организация, определяя, каким способом он будет обрабатывать предоставленные ему персональные данные, должен строго придерживаться установленных законом принципов. Это позволит избежать и неправомерного использования сведений, и привлечения оператора к ответственности.

Что такое «Реестр нарушителей прав субъектов персональных данных»

В этот реестр будут включаться имена сайтов и страниц в интернете, на которых происходит обработка персональных данных с нарушением законодательства. Это могут быть абсолютно любые сайты: интернет-магазины, гостиницы, авиакомпании, СМИ и прочие. «Поскольку закон не конкретизирует, за какие именно нарушения сайты будут включать в этот реестр, то можно предположить, что таким нарушением может послужить любое несоблюдение норм закона о персональных данных, — говорит Дарья Сухих, старший юрист „Команды 29“. — Порядок ведения реестра будет определен Правительством РФ. Примечательно, что в этот реестр сайт или страница могут быть внесены только на основании вступившего в силу решения суда, зафиксировавшего нарушение закона при обработке персональных данных».

Обработка персональных данных — операции с персональными данными, такие как: сбор, накопление, хранение, уточнение, обновление, изменение, использование, распространение, передача, обезличивание, блокирование и уничтожение.

У меня свой интернет-магазин и я слышал, что надо как-то работать с персональными данными, иначе меня могут оштрафовать. Как мне понять, что менять и как действовать?

Да, действительно могут. Федеральным законом №152 от 27.07.2006 «О защите персональных данных» определены требования по защите персональных данных, а в КОАП РФ предусмотрены серьёзные санкции за нарушение этого закона, которые могут представлять собой штрафы в несколько миллионов для бизнеса.

Чтобы понимать, что нужно защищать, дадим определение персональным данным. Это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. То есть охраняемыми законом будут те персональные данные, которые позволят установить личность. С учётом того, что в интернет-магазинах есть учетные записи с анкетами, которые содержат адрес отправки, получателя, пол, дату рождения, телефон и пр., то подобный вид деятельности однозначно подпадает под требования по защите персональных данных.


Похожие записи:

Добавить комментарий