Персональные данные

Материал из «Знание.Вики»

Персона́льные да́нные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)[1]. Понятие персональных данных в российском законодательстве вводится Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ.

Понятие персональных данных в Российской Федерации

Федеральный закон
Федеральный закон «О персональных данных» № 152-ФЗ
Номер 152-ФЗ
Принятие Государственная дума
8 июля 2006 года
Одобрение Совет Федерации
14 июля 2006 года
Подписание Президент Российской Федерации
Путин Владимир Владимирович
27 июля 2006 года
Вступление в силу 26 января 2007 года
Первая публикация Российская газета
№165
29 июля 2006 года

Существует несколько толкований понятия «персональные данные», но все они схожи по смыслу. Согласно толковому словарю русского языка С. И. Ожегова, слово «персональный» означает «относящийся только к одному лицу, касающийся одного лица». Указ Президента РФ от 6 марта 1997 года № 188 определяет персональные данные как сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность[2]. До 2013 года в Трудовом кодексе РФ персональные данные определялись, как информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника[3]. Действующее определение персональных данных, такое, как любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить появилось в Федеральном Законе «О персональных данных» в 2011 году[1]. Во всех определениях сохраняется общий смысл в части относимости информации к конкретному лицу и возможность его идентифицировать.

Паспорт гражданина Российской Федерации. Документ, содержащий персональные данные

Примерами персональных данных могут быть следующие сведения:

  • фамилия, имя, отчество;
  • место и дата рождения;
  • место жительства;
  • фотография или видеозапись человека, позволяющие идентифицировать личность и с этой целью используются оператором;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • паспортные данные;
  • оценка навыков, личностных качеств, которые носят оценочный характер и могут идентифицировать человека;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения, состояние здоровья);
  • номер телефона, адрес электронной почты и другое.

Но следует отметить, что данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать человека. Если известно только имя лица, то эти сведения не являются персональными данными. Сам по себе номер телефона тоже не является персональными данными, но в совокупности с указанием фамилии, имени и отчества владельца — является. Таким образом, если зная совокупность данных, можно выделить определенного человека из множества лиц, тогда такие сведения — персональные данные.

Категории персональных данных

Разделение на категории персональных данных существует по причине того, что установлены повышенные требования к обеспечению безопасности некоторых видов информации при их обработке в информационных системах персональных данных. В соответствии с Российским законодательством выделяют следующие категории персональных данных:

Биометрические персональные данные

Радужная оболочка глаза. Биометрические персональные данные.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона «О персональных данных»[1]. Примером таких данных могут быть ДНК, информация о радужной оболочке глаза, фотография человека или отпечатки его пальцев, при условии, что используются оператором для установления личности данного человека. Не являются достаточными для установления личности сведения об отдельных физиологических признаках гражданина и не являются персональными данными, например, информация о его весе или росте.

Специальные персональные данные

Специальные персональные данные — сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Для обработки специальных категорий персональных данных требуется выполнение одного из условий:

  • получение письменного согласия субъекта;
  • использование сведений, опубликованных в общедоступных источниках самим гражданином;
  • обработка в связи с реализацией международных договоренностей;
  • выполнение действий в рамках осуществления правосудия;
  • в случае возникновение риска для жизни и здоровья субъекта, либо окружающих людей;
  • обработка информации в рамках деятельности общественной, либо религиозной организации;
  • обработка в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.

Персональные данные, разрешенные субъектом персональных данных для распространения

В 2020 году появляется категория — персональные данные, разрешенные субъектом персональных данных для распространения (ранее категория таких персональных данных называлась общедоступные). Согласно ст. 10.1 Федерального Закона «О персональных данных»[1], возможно распространять персональные данные в случае, если имеется согласие субъекта персональных данных. На практике это означает, что, например, перед публикацией сведений в интернете, пользователь должен дать согласие на то, что его сведения будут опубликованы. В качестве примеров источников персональных данных, разрешенных для распространения, можно назвать справочники или адресные книги. В такие источники могут включаться фамилия, имя, отчество, год и место рождения, адрес, номер телефона, сведения о профессии и иные персональные данные. Согласие на обработку персональных данных, разрешенных для распространения должно соответствовать требованиям, установленным Приказом Роскомнадзора от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»[4].

Нормативная база в области защиты персональных данных в Российской Федерации

В сфере обработки персональных данных существует следующая система нормативных правовых актов, регулирующих эти правоотношения:

Конституция Российской Федерации и нормы международного права

В 1981 году Совет Европы принял Конвенцию «О защите физических лиц при автоматизированной обработке персональных данных», 25 ноября 2005 года Государственная Дума ратифицировала данную Конвенцию (Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»)[5]. Цель данной Конвенции состоит в обеспечении на территории каждой Стороны, для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных («защита данных»).

Законодательство Российской Федерации в области обработки персональных данных

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», осуществляющий непосредственное прямое регулирование правоотношений в области обработки персональных данных, определил высокоуровневые требования, которые затем были конкретизированы в подзаконных актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).

Действие Федерального закона «О персональных данных» не распространяется на отношения, возникающие при:

  • обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
  • организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
  • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Общий порядок обработки персональных данных, установленный федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», конкретизирован и детализирован в постановлении Правительства Российской Федерации № 1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Сфера действия данного документа — это установка требований к защите персональных данных при их обработке в информационных системах персональных данных и определение уровней защищенности персональных данных.

Приказ ФСТЭК России от 18 февраля 2013 года № 21 устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Приказ ФСБ России от 10 июля 2014 года № 378 устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации. Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами утвержден Постановлением Правительства РФ от 21 марта 2012 года № 211. Ряд норм, содержащихся в Кодексе об административных правонарушениях РФ (КоАП РФ), Уголовном кодексе РФ (УК РФ), устанавливает ответственность за нарушение законодательства в области обработки персональных данных.

Оператор и субъект персональных данных

Оператор — организация или физические лица, которые осуществляют обработку персональных данных. Субъект персональных данных — лицо, чьи персональные данные обрабатываются Оператором[1]. Операторы персональных данных составляют перечень персональных данных, с которыми они работают, и всех видов субъектов персональных данных, с которыми они работают. Оператор определяет цели обработки и действия, совершаемые с персональными данными субъекта. В трудовых отношениях работодатель — оператор, а сотрудник — субъект. В торговых отношениях клиент, который заполняет карту постоянного покупателя (дисконтную карту) — субъект, магазин — оператор.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Перед началом обработки персональных данных операторы получают от субъекта согласие на обработку персональных данных в случаях, установленных законодательством Российской Федерации, или в иных случаях по своему усмотрению, когда согласие будет являться наиболее подходящим правовым основанием для обработки персональных данных. Согласие может быть получено в письменной форме, в виде чек-бокса на сайте интернет-магазина, или это может быть фраза «Согласен на обработку персональных данных» в какой-либо анкете, заявлении. Если в законе говорится, что согласие должно быть письменным, то оно составляется согласно положений Федерального Закона «О персональных данных»[1]. Если в законе просто говорится, что согласие должно быть получено, но не оговаривается, что оно должно быть письменным, то согласие составляется в той форме, которая уместна в данном конкретном случае.

Обеспечение безопасности персональных данных

Cybersecurity.png

Защита персональных данных многими понимается, скорее, как чисто техническая задача — защита от утечки, защита от несанкционированного доступа, от хищения и т. д. При таком понимании происходит смещение акцентов в техническую область. Между тем, защита персональных данных — это защита субъекта данных, то есть того лица, которое предоставляет свои персональные данные государственному органу, либо частной организации, защита его прав[6].

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечить их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Ответственность за нарушение требований по защите персональных данных в Российской Федерации

Административная ответственность

Административная ответственность установлена:

  • за нарушение правил обработки персональных данных;
  • неисполнение обязанностей при взаимодействии с гражданином — субъектом персональных данных;
  • невыполнение требований по защите персональных данных;
  • неисполнение обязанностей при взаимодействии с Роскомнадзором.

Например, если оператор не обеспечит сохранность данных при их неавтоматизированной обработке и это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, либо иные неправомерные действия, то это повлечет максимальный штраф для должностных лиц — 20 000 рублей, для юридических лиц — 100 000 рублей, для индивидуальных предпринимателей — 40 000 рублей[7].

Гражданско-правовая ответственность

Нарушение законодательства в области персональных данных может повлечь гражданско-правовую ответственность в форме компенсации морального вреда, возмещения убытков. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. Возмещать вред работнику будет работодатель, а не должностные лица, причинившие вред[8].

Ответственность может наступить, если нарушаются:

  • права субъекта, установленные Федеральным законом «О персональных данных»[1];
  • правила обработки персональных данных;
  • требования к защите персональных данных.

Ответственность в трудовых отношениях

Если работодатель, нарушив по своей вине законодательство в области персональных данных, причинил работникам материальный ущерб и (или) моральный вред, то несет материальную ответственность перед своими работниками[9]. Например, если работодатель не обеспечил защиту персональных данных работника (не организовал особый режим доступа, хранение и так далее), из-за чего они стали доступны посторонним лицам. Дисциплинарная ответственность для работодателя законодательством не предусмотрена.

Работник может быть привлечен к дисциплинарной и материальной ответственности, если он по своей вине нарушил нормы, регулирующие обработку и защиту персональных данных других работников. Например, работник кадровой службы разгласит персональные данные других лиц, которые стали ему известны в связи с исполнением своих должностных обязанностей и которые он обязался не разглашать.

Уголовная ответственность

Специальной нормы об ответственности за нарушение Федерального закона «О персональных данных» в Уголовном кодексе РФ нет. Однако действия лица, нарушившего правила работы с персональными данными, могут образовать состав преступления из числа предусмотренных Уголовным кодексом РФ. В частности, уголовная ответственность установлена за неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации[10]. К уголовной ответственности могут привлечь только физическое лицо. Привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию.

Защита персональных данных Европейского союза

Директива 95/46/ЕС Европейского парламента и Совета Европейского союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» 25 мая 2018 года была отменена. 27 апреля 2016 года был принят Общий регламент по защите данных (General Data Protection Regulation, сокращенно GDPR). GDPR вносит свои изменения в защиту физических лиц в отношении обработки их персональных данных.

К персональным данным по GDPR относятся: имя, идентификационный номер, данные о местоположении, идентификатор в Интернете (онлайн-идентификатор) или один или несколько показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности физического лица. GDPR вводит понятия: контролер и процессор. Контролер (англ. controller) — физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. В случае, когда цели и средства обработки определяются правом Евросоюза или государства-члена, контролер или критерии для его назначения могут быть установлены правом Евросоюза или государства-члена. Процессор (обработчик, англ. processor) — физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролера.

Основаниями для обработки персональных данных являются: согласие субъекта данных; заключение договора; выполнение юридических обязательств; защита жизненных интересов субъекта данных; выполнение общественных интересов или осуществление официальных полномочий; обеспечение законных интересов компании. Для усиления обязательности соблюдения норм GDPR вводит штрафы за любые нарушения, достигающие до 20 миллионов евро[11].

Примечания

  1. 1,0 1,1 1,2 1,3 1,4 1,5 1,6 Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ. www.consultant.ru. Дата обращения: 18 октября 2023.
  2. Указ Президента Российской Федерации от 06.03.1997 года № 188. www.kremlin.ru. Дата обращения: 24 октября 2023.
  3. Федеральный закон от 07.05.2013 г. № 99-ФЗ. www.kremlin.ru. Дата обращения: 24 октября 2023.
  4. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». www.garant.ru. Дата обращения: 28 октября 2023.
  5. Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». www.kremlin.ru. Дата обращения: 28 октября 2023.
  6. Назаров Д. М., Саматов К. М. Основы обеспечения безопасности персональных данных в организации. — Екатеринбург: Издательство Уральского государственного экономического университета, 2019. — 118 с.
  7. Кодекс Российской Федерации об административных правонарушениях. www.consultant.ru. Дата обращения: 28 октября 2023.
  8. Гражданский кодекс Российской Федерации (часть 2). www.consultant.ru. Дата обращения: 28 октября 2023.
  9. Трудовой кодекс Российской Федерации. www.consultant.ru. Дата обращения: 28 октября 2023.
  10. Уголовный кодекс Российской Федерации. www.consultant.ru. Дата обращения: 27 октября 2023.
  11. Регламент № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)». Регламент на русском языке подготовлен для публикации в системах КонсультантПлюс. Регламент на английском языке опубликован в Official Journal of the European Union N L 119. 04.05.2016. P. 1. (http://eur-lex.europa.eu/). Дата обращения: 25 октября 2023.
WLW Checked Off icon.svg Данная статья имеет статус «готовой». Это не говорит о качестве статьи, однако в ней уже в достаточной степени раскрыта основная тема. Если вы хотите улучшить статью — правьте смело!