Персональные данные: сбор, хранение, защита

Что это такое? Персональные данные – это сведения о человеке, которые могут идентифицировать его как личность. В законодательных актах не приводится полный перечень информации, относящейся к персональным данным.

Как с ними работать? Тем не менее, закон обязывает операторов (компании, работающие с персональными данными) соблюдать требования по сбору, хранению и обработке. Нарушение требований может привести к крупным штрафам.

Суть персональных данных

Защита личной информации осуществляется на основании закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Определение термина представлено в первом пункте ст. 3:

Персональные данные — это любая личная информация, прямо или косвенно относящая к определенному или определяемому физическому лицу, то есть к субъекту персональных данных.

В ФЗ отсутствуют пояснения на тему, какие именно сведения следует относить к личным. Также федеральный закон не дает ответа на вопрос, является ли полное имя человека персональными данными.

Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения утверждены приказом Роскомнадзора от 30.05.2017 № 94.

В п. 2.5 Методических рекомендаций приводится перечень данных, относящихся к персональным:

• Полное имя (ФИО) гражданина.
• Полная дата рождения.
• Место рождения гражданина.
• Место прописки и фактического проживания.
• Данные о браке.
• Информация о детях.
• Социальный статус.
• Информация о собственности.
• Источники дохода и его размер.
• Данные о полученном образовании.
• Род деятельности и место работы.

Узнай, какие ИТ - профессии
входят в ТОП-30 с доходом
от 210 000 ₽/мес

Павел Симонов

Исполнительный директор Geekbrains

Команда GeekBrains совместно с международными специалистами по развитию карьеры подготовили материалы, которые помогут вам начать путь к профессии мечты.

Подборка содержит только самые востребованные и высокооплачиваемые специальности и направления в IT-сфере. 86% наших учеников с помощью данных материалов определились с карьерной целью на ближайшее будущее!

Скачивайте и используйте уже сегодня:

Павел Симонов

Исполнительный директор Geekbrains

Топ-30 самых востребованных и высокооплачиваемых профессий 2023

Поможет разобраться в актуальной ситуации на рынке труда

Подборка 50+ бесплатных нейросетей для упрощения работы и увеличения заработка

Только проверенные нейросети с доступом из России и свободным использованием

ТОП-100 площадок для поиска работы от GeekBrains

Список проверенных ресурсов реальных вакансий с доходом от 210 000 ₽

Получить подборку бесплатно

pdf 3,7mb

doc 1,7mb

Уже скачали 30001

Этот список является примерным. Роскомнадзор уточняет, что любые сведения, которые относятся к субъекту, классифицируются как персональные данные.

Чтобы внести некоторую ясность, приведем примеры:

Нет четкого списка, который позволяет определить, что классифицируется как личная информация. Как правило, персональные данные – это то, что сочетается с полным именем гражданина или его паспортными данными.

Виды персональных данных

На основании Постановления Правительства №1119 персональные данные включают в себя 4 категории:

Общие персональные данные

Сюда относятся полное имя гражданина, адрес прописки, информация о месте работы, номер телефона, адрес электронной почты. Такая информация и так известна некоторым людям, кроме того, она нередко публикуется в источниках, которые доступны любому человеку. К примеру, многие указывают место своей работы при заполнении профиля в соцсети.

Специальные персональные данные

Под этим понятием подразумевается информация, которая относится к личности гражданина: раса и национальность, религиозные убеждения, состояние здоровье, личная жизнь, наличие судимости.

Общие и специальные персональные данные отличны друг от друга тем, что первые находятся в открытом доступе, вторые – в закрытом. Последнюю информацию можно получить от самого гражданина либо посредством официального запроса в соответствующие органы. Как правило, сообщать такие сведения о себе человек не обязан.

Биометрические персональные данные

К биометрии относятся физические и биологические особенности гражданина, применяемые для установления его личности, в том числе фотографии, отпечатки пальцев, группа крови, генетические данные.

Приведенные выше данные не всегда классифицируются как биометрические. Правительство приводит разъяснение, что к биометрии относятся те сведения, которые хранятся для идентификации личности. Например, если на проходной в организации установлена камера, которая пропускает сотрудников дальше, распознав их лицо, фотографии следует рассматривать как биометрические данные.

Фотография перестает относиться к биометрическим данным, если она прикрепляется к профилю или личному делу сотрудника компании, так как уже известно, кому она принадлежит. В таком случае цель фото – дополнить сведения.

Это правило работает в отношении любой информации, в том числе и медицинской. Если сбор данных осуществляется с целью собрать сведения, то их следует классифицировать как общие или специальные.

Иные персональные данные

Эта категория включает в себя все данные, которые не относятся ни к одной из вышеприведенных. Например, участие в какой-либо социальной группе или клубе, корпоративные сведения, которых хранятся, к примеру, в бухгалтерии: данные о заработной плате, периоды отпусков.

Отличить иные ПД от специальных обычно непросто. Их разница заключается в следующем:

• Специальные данные – это характеристика личности. Нередко индивиду не хочется, чтобы такой информацией владели посторонние.
• Иные ПД могут меняться, их следует рассматривать как просто дополнительную информацию.

Нюансы определения персональных данных

Так как нормативные акты не приводят конкретного перечня ПДн, определить, относятся ли к ним сведения, можно на основании ряда критериев.

Основной критерий в 2023 году, позволяющий отнести данные к персональным, закреплен в п. 1. ст. 3 ФЗ №152. Согласно этому пункту, персональная информация – это сведения, которые дают возможность понять, к какому лицу она относится.

К личным сведениям относятся:

Номер телефона

Согласно п. 1 ст. 53 ФЗ «О связи» от 07.07.2003 № 126 полное имя и номер телефона гражданина классифицируются как сведения ограниченного доступа. Они охраняются на законодательном уровне, в том числе законодательством о персональных данных.

Дарим скидку от 60%
на курсы от GeekBrains до 22 сентября

Уже через 9 месяцев сможете устроиться на работу с доходом от 150 000 рублей

Забронировать скидку

В документе указывается, что человек в праве самостоятельно определять, согласен ли он предоставлять о себе информацию, которую можно использовать для его идентификации.

Следовательно, телефонный номер – это косвенные данные о человеке. На основании п. 1 ст. 3 ФЗ № 152 и положений п. 1 ст. 53 ФЗ № 126 абонентский номер можно классифицировать как ПД лишь в том случае, если он позволяет определить его принадлежность, но набор чисел в номере такой возможности не дает. Нужны данные в совокупности: номер телефона и полное имя абонента.

Электронная почта

Закон не дает ответа на вопрос, является ли электронная почта персональной информацией. Но на основании общих положении нормативных актов можно сделать вывод, что, если иные сведения о лице, которому принадлежит адрес, отсутствуют, то он не относится к ПД.

В некоторых случаях адрес электронной почты включает в себя имя ее пользователя, дату рождения, город рождения и прочее, к примеру, seergeySergeev1980@spb.ru. В таком случае его следует рассматривать как личные данные.

ИНН, СНИЛС, паспортные данные

Здесь все просто. Такие сведения, как ИНН, СНИЛС и паспортные данные, классифицируются как персональные на законодательном уровне, так как они относятся к определенному индивиду. Это положение о персональных данных нашло свое подтверждение и в судебной практике. В качестве примера можно привести апелляционное определение Московского городского суда от 20.10.2014 по делу № 33-35747.

Только до 23.09

Скачай подборку материалов, чтобы гарантированно найти работу в IT за 14 дней

Список документов:

ТОП-100 площадок для поиска работы от GeekBrains

20 профессий 2023 года, с доходом от 150 000 рублей

Чек-лист «Как успешно пройти собеседование»

Чтобы получить файл, укажите e-mail:

Введите e-mail, чтобы получить доступ к документам

Подтвердите, что вы не робот,
указав номер телефона:

Введите телефон, чтобы получить доступ к документам

Скачать подборку бесплатно pdf 2,5mb

Уже скачали 52300

Я подтверждаю согласие на обработку персональных данных.

Следовательно, вышеперечисленные виды информации применятся с целью идентификации определенного гражданина. Но здесь стоит обратить внимание и на формулировку, приведенную в письмах Министерства финансов РФ от 12.02.2020 № 03-01-11/9505, от 28.01.2020 № 03-01-11/4925, которые не определяют номер ИНН как персональные данные. Эти сведения рассматриваются лишь как информация, необходимая для упорядочения учета налогоплательщиков внутри системы налоговых органов.

Тем не менее, для того чтобы исключить разногласия с проверяющими органами, ИНН, а также другие государственные идентификаторы классифицируются как ПД. Следовательно, на законодательном уровне они должны защищаться от несанкционированного использования.

Можно сделать вывод, что отсутствие подробного перечня информации, которая рассматривается как персональная, вызывает много вопросов у граждан и операторов. Таким образом, необходимо руководствоваться критерием для определения той или иной информации как личной, а именно возможностью идентификации личности лица, к которому относятся те или иные сведения.

Оператор и субъект персональных данных

В законе о защите ПД упоминаются оператор и субъект персональной информации. Давайте разбираться, кто это.

Оператор персональных данных

Под этим термином понимается организация, которая осуществляет сбор, хранение, обработку и распространение персональных данных. Прежде чем классифицировать организацию как оператора, необходимо разобраться, что такое хранение и обработка ПД.

Читайте также!

Что такое браузер и как он работает

Подробнее

• Хранение персональных данных согласно ФЗ №152 — это сохранение информации у себя. К примеру, на сервере, в облачной базе данных или на бумажном носителе.
• Обработка персональных данных — это любые действия, которые совершаются в отношении информации тем, кто ею владеет. Понятие включает в себя запись, извлечение, анализ, изменение, передачу и удаление. Сбор также относится к обработке ПД.

Субъект персональных данных

Под термином «субъект персональных данных» понимается любой индивид, персональные сведения о котором имеются у оператора. Приведем пример. Человек, заполнивший в магазине анкету, чтобы получить скидочную карту, становится субъектом ПД, а тот, кто предоставил ее — оператором.

В каждой организации используют различные методы по обработке персональных данных. К примеру, одни работники имеют доступ к данным клиентов, другие – к информации о коллегах. В связи с этим компания, которая разрабатывает правила работы с ПД, определяет разные категории субъектов. К последним относятся сотрудники, клиенты и их представители, стажеры, родственники работников.

Если говорить простым языком, то оператор персональных данных – это тот, кто осуществляет их сбор, хранение, анализ, изменение и передачу. А субъект – тот, информация о ком хранится и обрабатывается оператором.

Согласие на обработку персональных данных

Чтобы оператор мог обрабатывать ПД, он должен получить согласие их владельца. Чтобы все соответствовало закону, необходимо:

• Направить уведомление в адрес Ромкомнадзора о том, что запланирована обработка персональной информации. Данное правило имеет исключения, но об этом чуть позже.
• Сформировать текстовую часть соглашения. Текст размещается в общем доступе на сайте или на бумажном носителе. При этом нужно добавить чекбокс, в котором субъект поставит отметку, разрешающую обрабатывать его персональные данные.
• Далее посетители ресурса уведомляются о том, что сайт собирает cookie и прочие метаданные, в том числе местоположение и IP, что обеспечивает полноценность работы. Как правило, предупреждение представляет собой всплывающее окно.
• Разместить на интернет-портале ссылку на документ. Последний должен включать в себя политику конфиденциальности компании или правила, на основании которых она работает с персональными данными.

Устное разрешение на обработку ПД не несет в себе юридической силы, его получение по умолчанию невозможно. Если клиент совершил покупку в интернет-магазине, это не говорит о том, что он согласился с обработкой сведений.

Разрешение на обработку персональных данных не требуется в следующих случаях:

• Субъект является одной из сторон заключаемого договора.
• В отношении субъекта ведется судебное разбирательство.
• В рамках экстренной ситуации субъект физически не может согласиться с обработкой. К примеру, если он находится без сознания.

В некоторых случаях допускается обработка ПДн без согласия субъекта. Они приведены в п. п. 2-11 ч. 1 ст. 6 ФЗ № 152.

Необходимости в согласии на обработку данных нет, если информация не отображена в перечне исключений или если она не относится к персональным данным. Приведем примеры:

• Сведения, которые были собраны для удовлетворения личных потребностей человека. Сюда можно отнести телефонные номера, электронные адреса, визитки, профили в социальных сетях.
• Фотографии и видеозаписи с общественно-массовых мероприятий, в том числе файлы, полученные платно.
• ИНН, если данные не привязываются к другой информации.
• Госномера автомобилей.
• Сведения, которые позволяют проводить научные исследования, творческую деятельность, если они не нарушают права и интересы людей.
• Информация, которая передается исключительно внутри организации или групп компаний.

Так как на законодательном уровне не предоставляется четкого перечня сведений, классифицирующихся как персональные, лучше всего при сборе данных получить согласие субъекта. В противном случае, возможно, придется понести ответственность.

Обработка персональных данных

Договор с физическим лицом всегда содержит личные данные последнего, если это не договор оферты, следовательно, он обязательно должен содержать раздел о ПД. Если субъект не даст согласия в письменном виде, то обработка данных оператором и передача персональных данных третьим лицам – недопустима.

Как мы уже говорили выше, обработка ПД – это любые действия в отношении информации о субъекте, а именно:

• Сбор.
• Передача.
• Запись.
• Хранение.
• Изъятие.
• Изменение.
• Обезличивание.
• Проведение анализа.
• Удаление.

Популярные статьи

Высокооплачиваемые профессии сегодня и в ближайшем будущем

Дополнительный заработок в Интернете: варианты для новичков и специалистов

Востребованные удаленные профессии: зарабатывайте, не выходя из дома

Разработчик игр: чем занимается, сколько зарабатывает и где учится

Как выбрать профессию по душе: детальное руководство + ценные советы

Обработка персональных данных проводится следующими путями:

• Автоматизированная. В процессе используются средства вычислительной техники, в том числе ПК, телефоны и прочая электроника, базы данных, ПО, скрипты и криптографические средства безопасности.
• Смешанная. Персональные данные обрабатывает человек, используя в процессе вычислительную технику. В качестве примера можно привести работу бухгалтера, который вручную вносит данные с бумажного носителя в ПО.
• Неавтоматизированная. Вся обработка выполняется вручную.

После обработки персональных данных, сведения направляются на хранение в архив. Некоторые организации выделяют отдельное помещение, если сведения отражены на бумажных носителях. Когда информация хранится в электронном формате, используется электронное хранилище, к примеру, облако. Самое главное – обеспечить быстрый доступ к необходимым персональным данным, если субъект будет требовать их удаления или, допустим, для дальнейшей передачи в разные органы (по установленным законом обстоятельствам).

Обязанности оператора по хранению и защите персональных данных

Хранение персональных данных – это когда данные о человеке хранятся в облаке, на бумажных и любых электронных носителях.

Федеральный закон № 152 предъявляет к обработке персональных данных следующие требования:

• Объем ПД не должен превышать необходимого для достижения целей обработки.
• Сроки хранения ПД не должны превышать срок, необходимый для достижения цели обработки данных.
• При выявлении недостатка или неточности персональных данных на оператора возлагается ответственность за ее удаление или уточнение.
• В случае если имеется несколько баз данных, содержащих разную информацию и собранных для разных целей, их объединение недопустимо.
• После завершения обработки персональные данные обезличиваются либо уничтожаются.
• При передаче данных в другую страну необходимо убедиться, что в том государстве имеется подходящая система защиты. Субъект должен заполнить форму согласия о передаче персональных данных в случае, если государство не входит в список стран, которые обеспечивают адекватную защиту прав субъектов ПД.

Субъект вправе в любое время потребовать от оператора предоставить информацию о том, какие ПД о нем имеет последний. Сведения предоставляются в письменном или электронном виде с помощью усиленной квалифицированной ЭП. Если информация устарела или ее объем недостаточный, можно потребовать ее обновить.

На оператора возлагается ответственность за обеспечение защиты персональных данных. Это требование прописано в ФЗ № 152. Степень защиты определяется на основании типа ПД.

• Если данные являются общедоступными, необходимо обеспечить лишь слабую защиту, так как такие сведения, как правило, не скрывают.
• Иные персональные данные, которые знает меньшей круг лиц, нужно защищать более усиленно.
• Для биометрии необходимо обеспечить серьезную защиту, так как использование таких персональных данных осуществляется с целью идентификации личности.
• Специальным данным нужно обеспечить максимальную защиту, поскольку несанкционированный доступ к ним может нанести серьезный вред человеку.

Чтобы защитить персональные данные так, как этого требует ФЗ № 152, оператору нужно построить защищенную IT-инфраструктуру, а также отслеживать наличие постоянного доступа к сведениям, их сохранность и защиту от третьих лиц.

Определение степени защиты осуществляется на основании уровня защищенности (УЗ), который установлен законодательно. При этом учитывается, какие данные хранятся, а также актуальные риски. УЗ классифицируются на УЗ-3 и УЗ-4 (предполагают хранение в публичном облаке при наличии аттестации согласно ФЗ № 152, УЗ-2 и УЗ-1 (предполагают создание особых условий хранения, которые может предоставить не каждый провайдер).

Уведомление Роскомнадзора и документы для работы с персональными данными

Форма уведомления Роскомнадзора о том, что планируется ведение деятельности по обработке ПД, заполняется на официальном сайте ведомства. Также оформить бланк можно через портал Госуслуг. После того, как документ будет заполнен, его необходимо распечатать и передать в отделение Роскомнадзора по почте. После обработки заявления информация об организации отобразится в реестре в течение 30 календарных дней.

В некоторых случаях нет надобности отправлять уведомления. К ним относится обработка персональных данных с целью:

• Оформления разового пропуска на территорию организации.
• Исполнения предписаний трудового законодательства. При этом персональные данные не могут передаваться в другие организации, к примеру, финансовые.
• Для заключения договоров и соглашений без передачи данных третьим лицам.
• Работы исключительно с бумажными носителями.
• Использования персональных данных участников какой-либо организации, в том числе общественной или религиозной.

Читайте также!

Кто такой гик и чем отличается от нерда

Подробнее

Заблаговременно до подачи уведомления в регулирующий орган следует провести оповещение сотрудников, подготовить помещение и оснастить его и технику средствами защиты, а также подготовить необходимые документы. К последним относятся:

• Политика конфиденциальности. Это документ, который регламентирует работу с данными, требующими защиты, в том числе деловая переписка, договоры и соглашения, внутренние НПА.
• Правила работы с персональными данными. Это частный случай политики конфиденциальности, который касается исключительно ПД. Допустимо объединение обоих документов.
• Согласие на обработку персональных данных. Эту форму заполняет клиент, он указывает в ней свое полное имя (для организации – наименование), адрес оператора или доверенного лица, а также адрес субъекта. В документе перечисляются ПД, методы их обработки и цели использования, именно с этим соглашается клиент. Кроме того, в согласии должны быть указан срок действия и способы, позволяющие отозвать документ.
• Обязательство о неразглашении ПД. Этот документ подписывают все работники, которые имеют доступ к персональным данным клиентов.
• Приказ о назначении ответственного за работу с персональными данными. Это внутренний документ организации, его нередко запрашивают сотрудники Роскомнадзора в рамках проверок. Как правило, на должность ответственного назначают IT-специалиста или сотрудника службы безопасности.

Каждый документ разрабатывается в индивидуальном порядке вместе с юристом. Шаблоны формы согласия и рекомендации о том, как составлять Правила, доступны на сайте Роскомнадзора. Если при проверке выяснится, что обязательные документы отсутствуют, Роскомнадзор, ФСТЭК, ФСБ России могут назначить штраф.

Ответственность и штрафы при работе с персональными данными

Ниже расскажем, чем грозит нарушение законодательства о персональных данных.

Ответственность избирается Роскомнадзором на основании ст. 13.11 КоАП.

• Если обработка персональных данных не соответствует заявленной цели, гражданам грозит штраф до 3000 рублей, должностным лицам – до 10000 рублей, организациям – до 50000 рублей.
• Если ПД обрабатываются без согласия субъекта, назначается штраф в размере: для граждан – до 5000 рублей, для должностных лиц – до 20000 рублей, организациям – до 75000 рублей.
• За отсутствие публикации документа о политике оператора в части обработки персональных данных гражданам выписывается штраф до 1500 рублей, должностным лицам – до 6000 рублей, ИП – до 10000 рублей, организациям – до 30000 рублей.

Если серверы, на которых хранятся персональные данные о гражданах России, находятся за пределами страны, сумма штрафа может достичь 6 миллионов рублей.

Кратко о требованиях ФЗ № 152, которые предъявляются к сбору, обработке и хранению персональных данных:

• Обязательна регистрация в Роскомнадзоре в качестве оператора персональных данных.
• На сбор и обработку ПД требуется согласие субъекта.
• По первому требованию субъекта необходимо предоставить всю информацию.
• Сбор и хранение персональных данных должны осуществляться в рамках указанного в договоре срока и исключительно для достижения определенных целей.
• Хранение и защита персональных данных осуществляются на основании законодательства. Оператор обязан гарантировать их сохранность, тайну и точность, а также не передавать третьим лицам без документального подтверждения и аттестации.
• Уточнение, блокировка и уничтожение персональных данных осуществляется на основании заявления от субъекта или по достижении целей сбора ПД.

Кому нужна регистрация в Роскомнадзоре

Далеко не от каждого работодателя требуется наличие регистрации в качестве оператора ПД. В этом нет необходимости в следующих случаях:

• Сбор ПД необходимо произвести с целью заключить трудовой договор.
• Если нет необходимости дальнейшей передачи персональных данных и их распространения в адрес третьих лиц.
• Персональные данные используются в целях исполнения договора с гражданином.
• Обрабатываемые ПД находятся в открытом доступе.
• Информация о полном имени субъекта собирается без указания абонентского номера и адреса электронной почты.
• ПД необходимо собрать для оформления разового пропуска на территорию оператора.
• Для сбора и хранения персональных данных используются только бумажные хранители. Допускается хранение бумажного архива за пределами офиса, в том числе бумаг, содержащих кадровую и персональную информацию. Это позволит избежать их утраты и несанкционированного доступа.

Вышеприведенные случаи – единственные, при которых можно не регистрироваться в Роскомнадзоре.

Каждый, кто работает с персональными данными, должен проанализировать виды используемых сведений. Именно это влияет на перечень требований со стороны законодательства в части защиты ПД.

А от последнего зависит, сколько финансов придется вложить во внедрение средств профилактики и реагирования на утечку данных. Понимание требований позволяет на нарушать законодательство и избежать штрафов от контролирующих органов. Следование ФЗ «О персональных данных» способствует формированию репутации надежной компании.

Автор статьи:

Редакция сайта GeekBrains Шеф-редактор раздела Программирование