Сфера закона
Вопросы в сфере кредитных отношении

Разъяснения Роскомнадзора по порядку защиты персональных данных

Пенсионный юрист 6 февраля, 2023

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Разъяснения Роскомнадзора по порядку защиты персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Исключения из общего правила
2. Позиция регулятора и судов
3. Требования к согласию
4. Когда имя и фамилия не являются персональными данными?
5. Что такое обработка персональных данных?
6. Является ли фио и инн персональными данными
7. Обработка персональных данных
8. Правило 4. Уметь обрабатывать ПД
9. Какая информация относится к персональным данным?
10. Какие данные являются персональными: позиция суда

Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.

Исключения из общего правила

Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:

  • сочетание часто встречающихся имени и фамилии без иных сведений не дает однозначной возможности определить человека;
  • в одной организации могут работать несколько сотрудников с одинаковыми именами;
  • ФИО общедоступны, в отличие от других сведений о гражданах.

Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.

Среди характеристик методов преобразования сведений:

  • обратимость – возможность программными способами устранить анонимность и вернуть ПД к первоначальному виду;
  • вариативность, или возможность изменить метод обезличивания в процессе обработки;
  • стойкость, или способность метода противостоять внешним атакам на массив ПД с целью их деобезличивания;
  • возможность косвенного деобезличивания в едином массиве с данными других операторов;
  • совместимость, при которой в одном массиве окажутся данные, обезличенные разными методами;
  • небольшой параметрический объем;
  • возможность контроля качества данных.

Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:

  • метод идентификаторов, при котором учетная запись маркируется метками, позволяющими найти полные данные в таблице;
  • изменение семантики, при котором удаляется или заменяется часть информации;
  • декомпозиция, или разбиение большого объема сведений на несколько отдельно хранящихся массивов;
  • перемешивание персональных данных, принадлежащих различным субъектам.

Позиция регулятора и судов

Роскомнадзор не видит прямой возможности исключить ФИО из общего перечня ПД, несмотря на мнения экспертов о том, что только эти данные, без наличия иного идентифицирующего признака, не дают однозначной возможности определить личность. Этой же позиции придерживается Центробанк.

Хотя Роскомнадзор выпустил несколько разъяснений, где однозначно ответил на вопрос, являются ли фамилия, имя, отчество персональными данными, иногда ведомство выражает двойственную позицию. Так, в 2012 году в письме территориального управления по Республике Карелия отмечено, что фамилия и инициалы гражданина – это, несомненно, персональные данные субъекта. С другой стороны, без применения других сведений определить принадлежность ПД частному лицу затруднительно. Фамилия, имя, отчество наряду со многими другими способами используются для идентификации отдельного человека среди других.

По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров (фамилии, имени и отчества), на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. При этом очевидно, что, если у заинтересованного злоумышленника есть иные данные об объекте, предоставление ему данных ФИО позволит определить субъект, например, по номеру машины узнать данные о ее владельце.

В более поздних разъяснениях, предоставленных в 2017 году в ответ на обращение Казначейства России, регулятор, опираясь на нормы федерального закона о персональных данных, отметил, что ФИО, без сомнения, относятся к этой категории. Он сообщил, что среди полномочий ведомства нет права давать разъяснения по вопросам толкования норм закона, эта задача относится к сфере компетенции Минсвязи.

Тем не менее из прямого прочтения текста закона вытекает понимание, что имя и инициалы относятся к персональным данным без каких-либо изъятий, за исключением прямо приводимых в законе:

  • если сведения относятся к общедоступным;
  • если они используются в целях статистики.
Читайте также:  Закладная на квартиру: что банк может сделать без согласия заемщика

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;

  • или в срок, указанный в постановлении суда;

  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Когда имя и фамилия не являются персональными данными?

Наличие исключений характерно для большинства российских законов, но в ситуации с ПДн, а точнее — ФИО как вида персональных данных, они отсутствуют. Абсолютно все сведения о человеке относятся к личной информации, и это в свое время было одним из условий вступления нашей страны во Всемирную торговую организацию. Хотя, по мнению некоторых экспертов, все не так однозначно, поскольку:

  • в компании могут работать или обслуживаться сразу несколько однофамильцев;
  • население России огромное, поэтому несложно найти тысячи людей, у которых совпадают не только имена и фамилии, но даже отчества;
  • узнать фамилию, имя и отчество гражданина не составляет никакого труда — достаточно открыть социальные сети или воспользоваться поисковой системой.

При этом даже имя без фамилии нельзя назвать обезличенным, ведь в век прогрессирующих компьютерных технологий его вполне достаточно, чтобы установить обладателя. С другой стороны, каждый оператор может в целях улучшения безопасности ИСПДн воспользоваться предлагаемыми регулятором методами снижения значительной идентифицированности ПДн. Среди них:

  • маркировка учетных записей с помощью особых меток, которые позволяют найти о субъекте полную информацию в общей базе при наличии соответствующего доступа;
  • частичная замена данных;
  • перемешивание ПДн, которые относятся к разным субъектам;
  • разделение большого массива информации на несколько частей, которые хранятся отдельно друг от друга.

Что такое обработка персональных данных?

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

  • работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
  • работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
  • продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
  • покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Выделяют несколько видов персональных данных:

  • Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
  • Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
  • Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
  • Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Читайте также:  Льготы на проезд в поездах дальнего следования

Является ли фио и инн персональными данными

Налоги » ИНН »

Само по себе ФИО — является персональными данными?

В интернете написано Иванова Ксения Андреевна — мошенница. Нарушен ли закон О Защите персональных данных?

Ответы юристов ( 2 )

К персональным данным гражданина относятся его Ф. И. О., адрес фактического проживания и прописки, дата и место рождения, номер и серия паспорта, дата его выдачи, серийные номера других документов (медицинский полис, ИНН, СНИЛС, пенсионное удостоверение), информация из трудовых и медицинских книжек, а также другие данные, относящиеся к конкретному физическому лицу.

Но этот человек не брал на себя обязательство хранить эти данные, а значит он иожет быть привлечен к ответственности за клевету, оскорбление. Так что напишите заявление в полицию и она приймет решение

Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.

Согласие на обработку ПД может быть получено в письменной либо иной форме, позволяющей подтвердить факт его получения. Такие формы согласия, как электронные письма, переписка в мессенджере, видео, аудиозапись, допустимы, но ненадежны.

Закон «О персональных данных» устанавливает случаи, когда письменное согласие является обязательным:

  • создание общедоступных источников информации (справочников, адресных книг и т.д.);
  • использование специальных категорий данных (раса, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь);
  • использование биометрических данных (фото- и видеоизображения, отпечатки пальцев, ДНК);
  • трансграничная передача ПД в некоторые страны (те, которые не обеспечивают «адекватную» защиту персональных данных, по мнению Роскомнадзора);
  • если обработка данных порождает юридические последствия.

Требования к письменной форме согласия установлены законом. Она обязательно должна содержать (ч. 4 ст. 9 ФЗ «О персональных данных): ФИО, адрес субъекта или его представителя, данные паспорта; наименование или ФИО и адрес оператора, получающего согласие субъекта ПД; цель обработки ПД; перечень ПД, на обработку которых соглашается человек; наименование или ФИО, адрес третьего лица, которому передают ПД; перечень действий с ПД, на совершение которых дается согласие; срок, в течение которого действует согласие, а также способ его отзыва; подпись субъекта ПД.

Юристы расходятся во мнениях, являются ли соцсети общедоступными источниками информации.

Во-первых, трудно сказать, относятся ли соцсети к общедоступным источникам персональных данных по смыслу статьи 8 152-ФЗ «О персональных данных», в которой говорится: «В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)». Вряд ли соцсети можно отнести по аналогии к справочникам.

Во-вторых, в законе ничего не говорится о том, можно ли свободно обрабатывать данные, которые человек сам опубликовал в соцсетях. По этому поводу нет ни разъяснений Роскомнадзора, ни судебной практики.

Михаил Хохолков считает, что соцсети не относятся к общедоступным источникам информации, следовательно, нельзя обрабатывать размещенные там данные без согласия человека лишь на том основании, что он сам их опубликовал.

В то же время медиаюрист Светлана Кузеванова придерживается иной точки зрения: публикация данных человеком о самом себе в социальных сетях или блоге делает их доступными для неограниченного круга лиц. Соответственно, журналисты вправе их распространять без письменного согласия субъекта на основании п. 10 ст. 6 152-ФЗ.

Если вы используете данные из соцсетей, сохраните доказательства того, что они были распространены самим пользователем (сделайте скриншот).

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

В свою очередь, обработка может осуществляться тремя путями:

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Читайте также:  Как оформить завещание: обязательные условия, порядок удостоверения

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Правило 4. Уметь обрабатывать ПД

К обработке ПД относится любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с ПД, например сбор, систематизация, хранение, использование, передача, уничтожение и др.

Обработка любых категорий ПД допускается с письменного согласия работника.

Обработка общих ПД осуществляется, если:

  • обработка необходима для достижения целей, предусмотренных законом (например, ст. 24 НК РФ), для осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей. Например, передача ПД при перечислении налогов в бюджетную систему РФ, поскольку работодатель является налоговым агентом;
  • обработка необходима для исполнения трудового договора, стороной которого является работник. Например, передача информации в налоговую инспекцию;
  • работник предоставил доступ к ПД (либо по его просьбе) для неограниченного круга лиц. Например, работник попросил сделать рассылку о размещении информации о его юбилее.

Обработка специальных категорий ПД происходит в случаях, если:

  • ПД сделал общедоступными сам работник;
  • обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка происходит в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка биометрических ПД осуществляется без согласия работника:

  • если фото и записи сделаны на массовых и публичных мероприятиях;
  • в связи с реализацией международных договоров РФ о реадмиссии — согласии государства на прием обратно на свою территорию граждан, которые подлежат депортации из другого государства;
  • в случаях, предусмотренных законодательством РФ об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-разыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ;
  • в случаях, предусмотренных законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ. Например, работника отправляют в служебную командировку за пределы РФ.

Вместе с тем следует помнить, что при размещении видеокамер нужно учитывать требования законодательства, поскольку скрытое слежение за работником является противоправным.

В разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» указано, что требуется разработка и принятие локального акта, в котором необходимо определить цели установки видеокамер. Также в организации должны быть установлены таблички «Внимание! Ведется видеонаблюдение». Каждого работника следует уведомить об установке камер слежения лично под подпись и в обязательном порядке с работников надо взять письменное согласие на видеозапись на рабочем месте.

Какая информация относится к персональным данным?

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.
Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.

Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.

Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *