Персональные данные что относится к ним: имя, год рождения гражданина, что еще может быть такой информацией и какие сведения не являются ПД?

Главная > О Центре > Публикации

Вокруг персональных данных много мифов и домыслов. На практике часто встречаются крайности: работодатели либо необоснованно засекречивают всю информацию о работнике, либо вообще не обращают внимания на защиту их персональных данных.

Давайте разберемся с правилами работы с персональными данными (ПД).

Правило 1. Работать с ПД в рамках закона

  • Для начала следует разобраться с терминологией и понять, кто является «субъектом ПД» и «оператором ПД».
  • Переведем эти понятия на язык трудового законодательства:
  • Субъект ПД — кандидат / стажер / работник / бывший работник, тот, чьи ПД обрабатываются.
  • Оператор ПД — работодатель, тот, кто обрабатывает ПД.
  • На сегодняшний день в России несколько нормативных актов регламентируют работу с ПД (Таблица 1).

Персональные данные что относится к ним: имя, год рождения гражданина, что еще может быть такой информацией и какие сведения не являются ПД?

Правило 2. Понимать, какие сведения относятся к ПД

Мы живем в информационном мире, и всю информацию можно разделить на два вида:

  • Общедоступная — сведения и иная информация,доступ к которой не ограничен.
  • Информация ограниченного доступа, к которой относятся государственная тайна и конфиденциальная информация, включающая более 40 видов тайн: служебную, коммерческую и др., в том числе персональные данные.

Являются ли Ф.И.О. персональными данными? В каких-то случаях да, в других – нет.

Какие сведения относятся к «персональным данным»?

Любая информация, которая прямо или косвенно относится к физическому лицу.

Таким образом, просто Ф.И.О. не являются ПД, пока нельзя определить, кому они принадлежат. Для того чтобы Ф.И.О. «Иванов Иван Иванович» отнести к персональным данным, требуется наличие конкретного лица, которое можно по этим данным идентифицировать.

Например, Иванов Иван Иванович — генеральный директор ООО «Компания». Здесь мы понимаем, о каком конкретно человеке идет речь, и в данном случае Ф.И.О. относятся к ПД.

Правило 3. Различать категории ПД

Законодательство выделяет четыре категории ПД:

  1. Общие или общедоступные — известны другим людям и могут быть опубликованы в общедоступных источниках. Это базовые личные данные: Ф.И.О, место жительства / регистрации, сведения об образовании / квалификации, информация о месте работы, номер телефона, e-mail и др.
  2. Специальные — это информация о личности человека. Они отличаются от других категорий тем, что, как правило, находятся в закрытом доступе. Их можно получить только у самого человека или по официальному запросу в поликлинику, правоохранительные органы, суд и т. д. Например, расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности личной жизни, информация о судимостях и др.
  3. Биометрические — это физиологические или биологические особенности человека, которые используют для установления его личности. К этой категории относятся фотографии, дактилоскопические данные, радужная оболочка глаз, группа крови, генетическая информация и т. п.
  4. Иные — это дополнительная информация, которая часто может меняться, и эти данные нельзя отнести к категориям общедоступных, специальных или биометрических данных. Например, корпоративные данные, информация, которая находится в организации: заработная плата, разные виды стажа, периоды отпусков и пр.

Правило 4. Уметь обрабатывать ПД

  1. К обработке ПД относится любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с ПД, например сбор, систематизация, хранение, использование, передача, уничтожение и др.
  2. Обработка любых категорий ПД допускается с письменного согласия работника.

  3. Обработка общих ПД осуществляется, если:
  • обработка необходима для достижения целей, предусмотренных законом (например, ст. 24 НК РФ), для осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей. Например, передача ПД при перечислении налогов в бюджетную систему РФ, поскольку работодатель является налоговым агентом;
  • обработка необходима для исполнения трудового договора, стороной которого является работник. Например, передача информации в налоговую инспекцию;
  • работник предоставил доступ к ПД (либо по его просьбе) для неограниченного круга лиц. Например, работник попросил сделать рассылку о размещении информации о его юбилее.

Обработка специальных категорий ПД происходит в случаях, если:

  • ПД сделал общедоступными сам работник;
  • обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка происходит в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка биометрических ПД осуществляется без согласия работника:

  • если фото и записи сделаны на массовых и публичных мероприятиях;
  • в связи с реализацией международных договоров РФ о реадмиссии — согласии государства на прием обратно на свою территорию граждан, которые подлежат депортации из другого государства;
  • в случаях, предусмотренных законодательством РФ об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-разыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ;
  • в случаях, предусмотренных законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ. Например, работника отправляют в служебную командировку за пределы РФ.

Вместе с тем следует помнить, что при размещении видеокамер нужно учитывать требования законодательства, поскольку скрытое слежение за работником является противоправным.

В разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» указано, что требуется разработка и принятие локального акта, в котором необходимо определить цели установки видеокамер. Также в организации должны быть установлены таблички «Внимание! Ведется видеонаблюдение». Каждого работника следует уведомить об установке камер слежения лично под подпись и в обязательном порядке с работников надо взять письменное согласие на видеозапись на рабочем месте.

Как обрабатываются персональные данные

ПД могут обрабатываться разными способами:

  • без использования средств автоматизации / неавтоматизированная обработка, если такие действия осуществляются при непосредственном участии человека;
  • с использованием средств автоматизации, при обработке ПД в информационных системах.

Работодатель должен обеспечить определенную степень защиты ПД в зависимости от категории данных (Таблица 2):

Персональные данные что относится к ним: имя, год рождения гражданина, что еще может быть такой информацией и какие сведения не являются ПД?

Для использования ПД в автоматизированных системах работодатель должен иметь защищенную IT-инфраструктуру и отслеживать, чтобы ПД всегда были доступны, исключить их потерю и передачу ПД третьим лицам.

Правило 5. Грамотно оформлять документы по работе с ПД

В ряде случаев, например при размещении ПД работника на сайте организации, для обработки разных категорий ПД требуется письменное согласие работника, которое должно включать в себя:

  • Ф.И.О. работника, адрес, сведения о документе, удостоверяющем его личность;
  • наименование (Ф.И.О.) и адрес работодателя, получающего согласие работника на обработку ПД;
  • цель обработки ПД;
  • перечень ПД, на обработку которых дается согласие работника;
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых работодателем способов обработки ПД;
  • срок, в течение которого действует согласие, а также порядок его отзыва;
  • подпись работника.

В организации должно быть утверждено Положение о защите ПД работников.

Оно регламентирует порядок получения, хранения, использования и защиты ПД, закрепляет права и обязанности работодателя и работников, а также определяет ответственность сторон трудового договора.

Правило 6. Знать права работника и обязанности работодателя при работе с ПД

Работодатели, работники и их представители должны совместно вырабатывать меры защиты ПД работников, работники не должны отказываться от своих прав на сохранение и защиту тайны.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:

  • на полную информацию об их ПД и обработке этих данных;
  • свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты ПД;
  • доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением требований законодательства (при отказе работодателя исключить или исправить ПД работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия);
  • дополнение заявлением, выражающим собственную точку зрения работника на ПД оценочного характера;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • ознакомление под подпись с документами работодателя, устанавливающими порядок обработки ПД, а также об их правах и обязанностях в этой области.

Обязанности работодателя

  • Все ПД работника следует получать у него самого. Если ПД работника возможно получить только у третьей стороны, то у работника нужно взять письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа работника дать письменное согласие на их получение.
  • Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям ПД, за исключением случаев, предусмотренных законодательством, например при назначении пособия по временной нетрудоспособности.
  • Работодатель не имеет права получать и обрабатывать ПД работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством. Например, если работник исполняет государственные или общественные обязанности, работодатель должен освободить работника на время от работы с сохранением за ним места работы в соответствии со ст. 170 ТК РФ.
  • При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Читайте также:  Взыскание алиментов через суд: как не снизить размер алиментов на ребенка

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • Не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством. Например, при вызове скорой помощи или передаче информации трудовой инспекции, налоговой и др. при проведении проверки.
  • Не сообщать ПД работника в коммерческих целях без его письменного согласия.
  • Разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций.
  • Предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено, например оформить обязательство в письменной форме о неразглашении ПД.
  • Осуществлять передачу ПД работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись.
  • Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
  • Передавать ПД работника представителям работников, например профсоюзам, в порядке, установленном законодательством, и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций.

Защита ПД работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств.

Работник имеет право обжаловать в суде любые неправомерные действия или бездействие работодателя при обработке и защите его ПД.

Правило 7. Учитывать ответственность работодателя за нарушение защиты ПД

В соответствии с Административным регламентом предметом государственного контроля (надзора) за соответствием обработки ПД требованиям законодательства являются:

  • документы, характер информации в которых предполагает или допускает включение в них ПД;
  • информационные системы ПД;
  • деятельность по обработке ПД.

Лица, виновные в нарушении законодательства РФ в области ПД, привлекаются к дисциплинарной и материальной ответственности в соответствии с Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (Таблица 3).

Поскольку штрафы за нарушение работы с ПД повышены, работодателю следует внимательнее относиться к обработке данных своих работников и учитывать эти основные правила.

Персональные данные что относится к ним: имя, год рождения гражданина, что еще может быть такой информацией и какие сведения не являются ПД?

09.04.2021

Главная > О Центре > Публикации

Что является персональными данными по закону

Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств. 

В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.

С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.

Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием. 

Меры защиты и ответственность

В ч.1 и ч. 2 статьи 13 № 323-ФЗ указано, что личные сведения гражданина не могут быть разглашены без его согласия. Особенно строгие меры защиты приняты в отношении врачебной тайны, которую запрещается раскрывать даже в случае смерти субъекта.

Статья 137 УК РФ настоящего закона вводит уголовную ответственность за несанкционированный сбор и разглашение информации о личной жизни субъекта персональных данных. Распространение сведений возможно только при письменном согласии лица.

  Также является незаконным разглашение информации в публичных выступлениях, в публикуемых художественных произведениях и СМИ. Закон запрещает распространение персональных данных в рамках служебного положения. 

Федеральный закон № 323 четко провозглашает, что за разглашение персональных данных любое лицо может быть привлечено к уголовной ответственности. Специалисты в области IT-безопасности обращают пристальное внимание на предоставление социальным сетям, мобильным приложениям и различным сервисам возможности сбора данных.  

При сохранении возможности настройки приватного доступа к отдельной информации в социальных сетях проблема защиты персональных данных фактически остается нерешенной.

Кража общедоступных сведений считается распространенным явлением. Кроме того, любые данные, размещенные в соцсетях, постоянно обрабатываются веб-сервисами.

Любое физическое лицо вправе сделать запрос через оператора персональных данных на запрет обработки информации.

Персональные данные и Интернет 

Ценные данные предоставляются через IP или веб-службы. Данные сведения позволяют компаниям, связанным с рекламной деятельностью, структурировать информацию и передавать ее третьим лицам. Получить доступ к данным такие компании могут с помощью специализированного программного обеспечения. 

Персонализация веб-страниц преследует цель подробного изучения интересов пользователей и потенциальных клиентов. С помощью программного обеспечения специалисты могут отслеживать активность каждого пользователя, находящегося на веб-ресурсе, что помогает определить область его интересов. Отслеживание активности пользователя позволяет повышать конверсию продаж.

Какая информация относится к персональным данным?

Закон № 152 указывает, что к ПД можно отнести любые данные, с помощью которых определяется физическое или юридическое лицо. Зачастую предоставление ПД необходимо для оформления документов, в том числе гражданского паспорта, ИНН и т.д.  Закон позволяет вести обработку персональных данных физическим, юридическим лицам, муниципальным органам и государственным учреждениям. 

К перечню основных персональных данных относятся: 

  • ФИО субъекта;
  • место постоянного (временного) проживания;
  • дата рождения;
  • любые данные о семейном, финансовом положении;
  • любые данные, связанные с родом деятельности, заработком, образованием. 

Все персональные данные принято делить на четыре группы:

1. К первой относятся сведения общего характера, – национальность, приверженность к религии, наличие инвалидности и т.п. Такую информацию часто вносят при заполнении анкет для приема на работу, она также может содержаться в медицинских справках. 

2. Ко второй относятся данные, позволяющие выполнить идентификацию лица. К ним причисляют ФИО, адрес, занимаемую должность, место работы и т.д. 

3. Третья группа ПД включает биометрику: снимок сетчатки глаза, отпечатки пальцев, данные анализа ДНК. 

4. В четвертую входят общедоступные персональные данные. Это сведения, которые не позволяют идентифицировать лицо. Согласно закону, их нельзя причислять к конфиденциальным данным. Например, уровень дохода представителей муниципалитетов, государственных учреждений.

Персональными данными физических лиц по закону считаются:

  • ФИО;
  • ИНН и дата рождения;
  • гражданство согласно гражданскому паспорту и место рождения;
  • данные о регистрации и фактическом месте жительства;
  • данные о родственниках и супругах;
  • данные о дееспособности, свидетельство о смерти;
  • сведения о наличии образования;
  • сведения о пенсионных доходах;
  • данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
  • данные о налоговых платежах;
  • информация о воинской обязанности. 

Персональными данными юридических лиц по закону считаются:

  • наименование юрлица;
  • юрадрес и организационно-правовая форма;
  • местоположение юрлица;
  • ОГРН;
  • ИНН и КПП;
  • номер расчетного счета.

К данному перечню также можно причислить сведения о руководителе. 

Что не является персональными данными? 

Развитие Интернета привело к доступности данных. Веб-поиск позволяет каждому желающему найти интересующую информацию о конкретном лице. Однако согласно закону № 152-ФЗ любой оператор, ведущий обработку ПД, не имеет права разглашать данные без согласия субъекта.

Оператором признается лицо или государственный (муниципальный) орган, который производит обработку персональных данных. По согласию ОПД может передавать информацию сторонним лицам для проведения обработки (ч. 3 ст. 6). 

Оператор отвечает перед субъектом за действия, совершаемые с персональными данными сторонними лицами. В свою очередь, они не несут ответственности перед субъектом, но отвечают перед оператором.

Много вопросов вызывают такие сведения, как IP-адрес, электронный ящик, номер телефона. Можно ли отнести их к персональным данным, если зачастую такие сведения остаются общедоступными? Если обратиться к статье ФЗ-152, можно сделать следующие выводы:

  • Номер телефона можно причислить к персональным данным, так как с его помощью достаточно легко идентифицировать абонента, используя дополнительные средства. В соответствии с определением ПД, номер телефона не может быть разглашен без согласия субъекта. 
  • Адрес электронного ящика по аналогии также может быть причислен к ПД. Однако если в адресе не фигурирует ФИО субъекта, такая информация считается обезличенной. 
  • Фото и видео являются персональными данными, если с их помощью можно установить личность субъекта. При этом, согласно статье 152.1 ГК РФ, фотографии и видео могут публиковаться на массовых и публичных мероприятиях. 
  • Логины и пароли не входят в категорию персональных данных, однако могут быть причислены к коммерческой тайне.
Читайте также:  Выговор за нарушение трудовой дисциплины — образец приказа 2020

Классификация информационных систем персональных данных (ИСПД)

Для того чтобы классифицировать ИСПД, необходимо знать степень (категорию), к которой относятся данные и определить их объем. 

По объему ПД системы делят на три типа:

1. К первому относятся ИСПД, насчитывающие свыше 100 000 субъектов в пределах Российской Федерации.

2. Ко второму – ИСПД, в которых ведется обработка ПД более 1 000 субъектов, которые живут в конкретном муниципальном образовании. Сюда также входят субъекты, занятые в экономике или конкретном органе государственной власти.

3. К третьему – информационные системы с данными не более 1 000 СПД, занятых в конкретной компании.

Проанализировав исходные данные, можно присвоить системе соответствующий класс:

  • В ИС первого класса нарушения безопасности хранения и обработки ПД опасны, поскольку могут привести к серьезным пагубным последствиям для их обладателей.
  • Второй класс присваивают системам, нарушение обработки и хранения ПД в которых способно привести к ощутимым нежелательным последствиям.
  • Третий объединяет ИСПД, нарушения в которых способны привести к незначительным последствиям.
  • К четвертому принадлежат ИСПД, в которых в случае нарушения параметров безопасности обрабатываемым данным ничего не угрожает.

Классы принято условно обозначать буквой «К». Порядок проведения классификации ИСПД регламентирован приказом ФСТЭК. 

Какие существуют требования по обеспечению защиты ИСПД?

Для ИСПД четвертого класса все мероприятия, направленные на обеспечение защиты ПД, устанавливаются оператором. 

Системы третьего класса должны пройти процедуру декларирования или аттестацию, а также получить лицензию ФСТЭК по техзащите конфиденциальных данных, если такие системы являются распределенными.

ИСПД второго класса должны обязательно проходить аттестацию, для них должны проводиться мероприятия, направленные на обеспечение защиты данных от побочных электромагнитных излучений и наводки. Соответственно, для реализации подобных мер могут потребоваться специальные средства защиты информации. Для распределенных систем также необходимо получать лицензию ФСТЭК.

ИСПД первого класса должны обязательно проходить аттестацию, и также подвергаются мероприятиям, направленных на защиту от побочных электромагнитных излучений и наводок. Обязательно получение лицензии ФСТЭК для осуществления деятельности по техзащите конфиденциальных сведений.

Как защитить ИСПД? 

Для обеспечения защиты ИСПД необходимо сделать следующее:

  1. Уведомить уполномоченные органы о намерении проводить обработку ПД.
  2. Собрать исходные данные.
  3. Присвоить класс.
  4. Спрогнозировать угрозы для структуры и составить модель.
  5. Спроектировать систему защиты ПД.
  6. Выполнить реализацию и интеграцию системы.
  7. Выполнить все требования к инженерной защите, охране, пожарной безопасности, экологические требования и т.д.
  8. Пройти аттестацию.
  9. Позаботиться о квалификации персонала, который будет вести обработку ПД.

В каких случаях необходимо проходить аттестацию и сертификацию?

Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс. Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов.

Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия. Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.

Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.

05.03.2020

Персональные данные или что поменялось с 01 июля 2017 года?

Персональные данные — думаю уже каждый знает или как минимум слышал что с июля 2017 года произошли изменения, связанные с их обработкой. Что именно поменялось и что нужно делать — буду разбираться в этой статье.

Как оказалось — ничего не поменялось, все требования по персональным данным остались неизменны. Но! Поменялась ответственность за нарушения в этой сфере и если раньше можно было попросту игнорировать требования закона, а словосочетание «персональные данные» вызывали смутное представление что это вообще такое, то теперь — хочешь не хочешь, а исполнять придется.

Штрафы действительно большие, кроме того, расширены основания, по которым можно привлечь к ответственности. И то и другое можно самостоятельно изучить в статье 13.11 КоАП.

Что такое персональные данные?

Точного перечня закон не содержит, увы. Определение дано общее — любая прямая или косвенная информация, относящаяся к определенному или определяемому человеку. Как видно, информация может напрямую указывать на человека или позволить определить человека.

Это, в первую очередь, конечно фамилия — имя — семейное положение — национальность — состояние здоровья — сведения о гражданстве — паспортные данные — отпечатки пальцев — телефон и прочее подобное.

Что значит обработка персональных данных?

Это абсолютно любые действия, касающиеся ПД — накопление, хранение, систематизация, использование, уточнение, передача, извлечение и даже блокирование, уничтожение. Все эти манипуляции (а точный их список указан в ФЗ 152) требуют получения согласия от человека на обработку, наличия большого количества документов у ИП или юридического лица и уведомление Роскомнадзора.

Можно ли не уведомлять РКН?

Да, если ваш случай указан в пункте 2 статьи 22 ФЗ 152 —  для многих подходят такие основания, как:

  • обработка ПД осуществляется по трудовому законодательству — словом, это приемувольнение работника;
  • обработка ПД связана с исполнением договора — это может абсолютно любой договор, стороной которого является физическое лицо (подряда, услуг, в том числе услуги управляющего ИП в ООО и т.п.), главное — персональные данные не должны передаваться третьему лицу. К примеру, если вас наняли сделать ремонт в квартире, а вы привлекаете субподрядчика — ему передавать ПД уже нельзя;
  • Физ лицо само раскрыло свои данные широкому кругу лиц — к примеру, у вас есть сайт, на котором указаны ваши контактные данные, номер телефона и прочие, то есть данные общедоступны;
  • Персональные данные включают в себя только ФИО — больше ничего;
  • ПД обрабатываются без использования средств автоматизациии.

Как видно, уведомлять Роскомнадзор не нужно во многих случаях, но это не умаляет обязанности получить от стороны согласие на обработку его данных, а также иметь всю документацию по обработке данных. Для тех кто хочет «перестраховаться» — заполнить форму уведомления в РКН не составляет сложности, даже ходить никуда не нужно.

Что делать владельцам сайтов?

Как я указывала выше, закон делает исключения в части уведомления РКН для сторон договора. Любого договора, будь то договор уборки квартиры, оферта в пункте проката или пользовательское соглашение на игровом сайте.

  Сам документ может называться по разному — договор, соглашение, публичная оферта, соглашение о конфиденциальности, политика, пользовательское соглашение, главное условие — документ должен быть двухсторонним — с одной стороны физическое лицо, чьи персональные данные охраняются как зеница ока, с другой — любое другое, кому эти данные вверяются.

Таким образом, что нужно сделать, если у вас сайт? Правильно, разработать и разместить соглашение или политику по обработке ПД (назовем его «документ»), который должен быть доступен неограниченному кругу лиц. Кстати, данная обязанность прямо указана в п. 2 ст. 18.1 152 ФЗ.

Что указывать в документе?

Все что угодно, но обязательно должны быть:

  • контактные данные (ФИО, адрес) оператора ПД;
  • цель обработки ПД;
  • предполагаемые пользователи;
  • права носителя ПД, в том числе право на отзыв данных;
  • источник получения.
Читайте также:  Медицинская страховка в черногорию для россиян 2019: нужна ли, какую выбрать, стоимость, отзывы и как купить онлайн

Документ можно составить самостоятельно, скопировать у других или разработать под себя посредством услуг юристов. Размещать лучше на видном месте.

Делать или нет специальное окошко, в котором пользователь будет ставить галочку о согласии — решает каждый сам для себя.  Акцепт может быть разный и это не обязательно окошко с галочкой.

Форму акцепта необходимо прописать в соглашении — документе.

Это же указано в ГОСТ для сайтов, а также про это (необязательность специальных окон) говорил Роскомнадзор в своих  разъяснениях об акцепте при заказе в интернет магазине. Согласие посредством смс — акцептом не является.

Являются ли куки, ip адрес и прочие технические характеристики пользователя персональными данными?

Анализируя практику за последние 2 года можно сказать, что да — являются.

Но каждое судебное решение имеет свои особенности, а штраф всегда накладывался при совокупности нарушений — не просто за сбор файлов cookie, IP-адресов, а, к примеру, платежных данных или данных третьих лиц, имеющихся в контактах пользователя.

К примеру, по делу LinkedIn основанием для привлечение к ответственности была совокупность нарушений вместе с которыми были также сбор куки файлов и айпи адресов (решение было обжаловано, но оставлено в силе).

Трудно заранее предугадать будет ли суд накладывать штраф только за сбор IP адреса или нет — по сути он обезличен, не указывает напрямую на пользователя, к тому же может быть динамическим.

Но есть и ряд других судебных дел, не имеющих, на первый взгляд, отношения к ПД. Одно из них дошло даже до Верховного суда. Суд рассматривал отказ оператора связи выдать персональные данные по запросу полиции, ссылаясь на тайну связи.

Суд указал, что сведения об IP адресе не имеют отношения к защищаемой законом тайне связи, а всего лишь относится к пользователю услуг. Как это самое «всего лишь» в последствии скажется на судебных решениях по ПД — практика покажет.

Что касается иных технических характеристик пользователя  — в постановлении Апелляционной инстанции, указано, что к ПД абонента относятся

время инициации запроса пользователем, адрес web-страницы, посещенной активным пользователем, HTTP referer (ссылка), User agent, coockie, src ip, src port, dst ip, dst port, геоидентификатор.

Таким образом, лучше заранее позаботиться о наличии на своем сайте офертысоглашения. И не важно где расположен сайт — хоть в Африке, если услуги оказываются на территории РФ, он русскоязычный, имеет иные признаки, относящиеся к РФ — на него также распространяются требования 152 ФЗ.

Кстати, еще в 2006 году Роскомнадзор публиковал комментарии к 152 ФЗ, в котором на многие вопросы даны ответы. Как я указала в начале статьи — ничего нового с 01 июля 2017 года в законе не принято, только ужесточается ответственность.

Судебная практика по данному закону показала, что больше всего под «раздачу» попали банки, коллекторы и управляющие компании, осуществляющие действия по взысканию задолженности, не имея согласия на это от субъектов ПД и как ни странно — больницы, поликлиники, не обеспечивающие надлежащее хранение историй болезни. Думаю пострадавшим от салонов красоты, фильтров для воды, матрасов, посуды и прочего сервиса можно взять на вооружение новые нормы о штрафе и жаловаться на навязчивые звонки с предложением услуг.

Даже работников кладбищ беспокоят новые штрафы и они на полном серьезе направили в Минкомсвязь письмо с разъяснением волнующего вопроса — у кого нужно испрашивать разрешение на размещение ФИО на могильных плитах. И государственный орган отвечает — согласие на обработку ПД умершего необходимо получать у родственников.

Кстати, если у кого то есть вопросы в части применения закона 152 ФЗ — запросы нужно направлять в Минкомсвязь, а не Роскомандзор.

И еще. Важным моментом является то, что согласие на обработку ПД можно дать исключительно в отношении себя. Поэтому незаконна передача личных данных родственников, друзей как контактных лиц МФО или банку, нельзя публиковать какие то сведения о других людях в соц сетяхфорумах и так далее.

Что делать, если я обнаружил свои данные в интернете?

Отвечу кратко: можно на выбор написать заявление в прокуратуру, жалобу хостеру, в Роскомнадзор или заявление поисковикам об удалении ваших данных по закону о забвении. Ну и суд конечно никто не отменял — если вышеуказанные действия не помогут.

В тему

Недавно Верховный суд принял постановление, в которому указал, что в текстах судебных актов, публикуемых на сайтах судов, не нужно удалять ФИО участников процесса, размеры взыскиваемых сумм, адреса юр лиц, за исключением особой категории дел, которая также приводится в постановлении.

Похожее

Образец приказа о персональных данных работников 2021 и 2021

Прежде чем разбирать образец приказа об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним. По закону, это такие сведения:

  • Ф.И.О.;
  • возраст (год рождения);
  • семейное положение;
  • образование;
  • профессия;
  • адрес проживания;
  • расовая и национальная принадлежность;
  • вероисповедание;
  • биометрические данные;
  • политические взгляды;
  • состояние здоровья.

Юридические основания

Вопросы о том, какие сведения относятся к рассматриваемой категории рассматриваются в законе № 152-ФЗ, «О персональных данных» от 27 января 2007 года. Основанием для принятия этого нормативного акта является необходимость обеспечения прав и свобод граждан.

В нём применяется очень широкая трактовка того, что представляют собой персональные данные (ПДн). Здесь рассматривается то, какие сведения охраняются, что считается обработкой и по каким правилам она должна происходить.

При этом информация любого характера, имеющая отношение к конкретному лицу подпадает под действие этого закона. Этот нормативный акт регламентирует, то, какая именно обработка такой информации допустима и как она должна храниться.

Образец приказа о персональных данных работников 2021: с чего начать

На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:

  • положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2020 детально описан в специальном материале;
  • образец приказа о хранении персональных данных;
  • политика предприятия в отношении таких сведений;
  • перечень лиц, имеющих доступ к ним;
  • согласие на обработку;
  • соглашение о неразглашении;
  • журнал учета передачи данных.

Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации.

Образец приказа об утверждении положения о защите персональных данных (2020)

Учтите, что недостаточно утвердить такой приказ. Всех работников надо ознакомить с ним под подпись (ст. 86 ТК РФ).

Что такое общедоступные ПД?

К общедоступным относят сведения о человеке, которые он или она самостоятельно предоставляет в инстанции.

Чтобы к открыть свободный доступ к информации, требуется письменное разрешение человека – субъекта персональных данных. Субъект – это физическое лицо, ПД которого собирает, хранит и обрабатывает оператор.

Оператор – это юридическое или физическое лицо, муниципальный или государственный орган власти.

К общедоступным ПД относят сведения о субъекте, по которым его можно идентифицировать:

  • ФИО;
  • дата и место рождения;
  • домашний адрес;
  • номер телефона;
  • профессия;
  • индивидуальный налоговый номер;
  • место работы или учебы и другие сведения.

В состав общедоступных данных может входить любая информация, которая с точки зрения закона не является конфиденциальной. ПД субъекта могут классифицироваться по объему и степени важности информации личного характера.

К общедоступным данным относится также персональная информация, которая предоставляется:

  • при трудоустройстве, заключении контракта или трудового договора;
  • во время переписи населения;
  • при оформлении договорных отношений во время торговых операций и других подобных ситуациях.

Персональные данные субъекта, которые распространяются через СМИ, не относятся к конфиденциальным, так как являются общедоступными в соответствии с «Перечнем сведений конфиденциального характера».

Письменное согласие субъекта на получение, передачу, обработку и другие действия с ПД требуется не всегда. В отдельных случаях, например, при участии в анкетировании или подписке на новостную рассылку, достаточно поставить галочку в графе, которая разрешает использование ПД.

Данные общего типа допускает размещать в источниках, которые являются общедоступными. Это означает, что источники просматривает и использует огромное количество заинтересованных лиц. Пример такого источника – телефонные справочники.

Ответственность за отсутствие документации

Ссылка на основную публикацию