Advokat-inform.ru

Юридический советник
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Персональные данные что относится к ним: имя, год рождения гражданина, что еще может быть такой информацией и какие сведения не являются ПД?

Что такое персональные данные

Понятие персональных данных и правовое регулирование

Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.

Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.

Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?

Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.

На основании п. 2.5 указанного документа к личным данным относятся:

  • имя, отчество и фамилия гражданина;
  • дата его рождения (число, месяц и год);
  • место рождения;
  • адрес регистрации или место фактического проживания;
  • сведения о семейном положении и детях;
  • социальное положение;
  • данные об имуществе;
  • размер и источники дохода;
  • сведения об оконченных учебных заведениях;
  • профессия и занимаемая должность.

При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.

Иные персональные данные

Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:

  1. Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
  2. Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.

Особенности отнесения некоторой информации к личной

Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.

Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.

Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.

В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.

Номер телефона

Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.

Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.

Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.

Электронная почта

Ответ на вопрос, является ли электронная почта персональными данными, менее очевиден, поскольку на законодательном уровне он не регламентируется. Исходя из общих положений, при отсутствии иных сведений о лице, которому принадлежит e-mail, электронный адрес не относится к персональным данным.

Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.

Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.

ИНН, СНИЛС, паспортные данные

В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.

Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.

Читайте так же:
Предоставление отпуска за выслугу лет в системе мвд гражданскому персоналу

Итоги

Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.

Персональные данные что относится к ним: имя, год рождения гражданина, что еще может быть такой информацией и какие сведения не являются ПД?

Для физических лиц

История становления института защиты персональных данных Мировая история защиты персональных данных

С начала 60-х годов прогресс в области электронной обработки данных и появление первых ЭВМ позволило государственным органам и крупным предприятиям создавать обширные банки данных для повышения эффективности и увеличения сбора, обработки взаимосвязанных личных данных. Хотя такое развитие событий привнесло значительные преимущества с точки зрения эффективности и производительности, в свою очередь, это породило и явную тенденцию к массовому электронному хранению данных, касающихся частной жизни людей.

Первые шаги в этом направлении были предприняты в начале 70-х годов, когда впервые были установлены Принципы защиты персональных данных в автоматизированных банках данных в частном и государственном секторе. Цель состояла в том, чтобы привести в движение развитие национального законодательства на основе этих резолюций. Однако в ходе подготовки этих документов стало очевидно, что комплексная защита персональных данных будет эффективной только через дальнейшее укрепление таких национальных правил посредством обязательных международных норм. Это же предложение было сделано на Конференции европейских министров юстиции в 1972 году.

Только в 1981 году, после четырех лет переговоров, была заключена Конвенция «О защите физических лиц при автоматизированной обработке данных личного характера», известная как Конвенция 108. Договаривающиеся Стороны настоящей Конвенции должны предпринимать необходимые меры во внутреннем законодательстве для реализации принципов, изложенных в Конвенции 108, в отношении персональных данных каждого гражданина на их территории.

Конвенция 108 была первым юридически обязательным международным документом мирового значения о защите данных, отчасти вдохновленная уже существующей на тот момент европейской конвенцией о Правах человека и основных свободах, которая была открыта для подписания в 1950 году. В частности, ст. 8 гласит, что «каждый человек имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции».

Основными принципами обработки и защиты персональных данных, предлагаемыми Конвенцией 108, стали добросовестность и законность получения и обработки персональных данных, хранение персональных данных для определенных и законных целей и неиспользование их способом, не совместимым с этими целями. Защита персональных данных должна осуществляться с применением соответствующих мер безопасности, что делает невозможным их случайное или несанкционированное уничтожение или случайную потерю, а также предотвращает несанкционированный доступ, модификацию и распространение персональных данных.

Конвенция предусматривает свободный поток персональных данных между государствами-участниками Конвенции. Этот свободный поток не может быть ограничен по соображениям защиты персональных данных, если только Стороны не отступают от этого условия, что они могут сделать только в двух конкретных случаях: когда защита персональных данных другой Стороны не «эквивалентна» или когда данные передаются в третью страну, которая не является Стороной Конвенции.

Предпосылки к построению системы защиты ПД

В связи со стремительным развитием информационной и телекоммуникационной сферы, с внедрением новых технологий, распространением инновационных, глобализационных и интеграционных процессов, Конвенция 108 стала основой для дальнейшего развития регулирования в сфере защиты персональных данных.

Поскольку ст. 4 предусматривает, что государства должны ввести в действие адекватное законодательство, прежде чем стать участником Конвенции, 38 государств ратифицировали Конвенцию и 13 ратифицировали дополнительный протокол. Другие страны готовятся ратифицировать документы, которые, с прецедентным правом Европейского суда по правам человека, являются частью образованного сообщества. Вместе с тем, эти инструменты не ограничиваются государствами-членами Совета Европы, поскольку ст. 23 для государств, которые не являются членами Совета Европы, предусматривается присоединение к Конвенции.

С момента подписания Конвенции в 1981 году общество было полностью трансформировано, в частности, в связи с популяризацией персональных компьютеров и Интернета, которые позволяют любому человеку или организации проводить «автоматизированную обработку данных». В то же время социально-экономическое развитие привело к еще более сложным формам организации, управления и производства, основанного на мощных системах обработки данных. В этом контексте человек становится активным агентом «информационного общества», а его конфиденциальность подвергается еще большему вмешательству со стороны информационных систем многочисленных государственных и частных услуг — банков, кредитных организаций, органов социального обеспечения, страхования, полиции, образовательных учреждений, медицинского обслуживания и так далее.

Эта эволюция представляет собой огромную проблему с точки зрения защиты персональных данных. Сегодня всевозрастающее число новых проблем и практических вопросов направляется в национальные органы по защите данных — в большинстве стран ими являются уполномоченные органы по защите данных.

Читайте так же:
Причины ареста имущества физических лиц и его последствия

Уполномоченные органы, как омбудсмены, которые стали неотъемлемой частью системы управления в демократическом обществе, должны интерпретировать принципы Конвенции и применять их при решении новых проблем и вопросов. Вместе с тем, опыт показывает, что ни принципы Конвенции, ни национальные правила по защите данных не могут регулировать точно каждую ситуацию, в которой персональные данные собраны в различных секторах: медицинская помощь и исследования, социальное обеспечение, страхование, банки, полиция, телекоммуникация и прямой маркетинг и т.д. Конечно, в каждой из этих областей данные должны быть собраны и обработаны в соответствии с основными принципами Конвенции, но пути и средства могут быть разными.

Защита персональных данных в Российской Федерации

В России данная Конвенция была подписана лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2006 году Государственной думой РФ был принят базовый закон — Федеральный закон № 152-ФЗ «О персональных данных», который чётко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты. Не смотря на то, что ратифицирована Конвенция 108 была в 2013 году, ее принципы были взяты за основу при формировании российского законодательства о персональных данных.

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст.2 № 152-ФЗ «О персональных данных»).

Что же такое «персональные данные»?

Согласно базовому закону, персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональными данными являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта и т.п. Однако, здесь существуют нюансы, которые четко прописаны в законодательстве. Например, само по себе имя или даже имя, фамилия, отчество не будут являться персональными данными в том смысле, который мы вкладываем в рамках законодательства. Если на листке бумаги написать «Иванов Иван Иванович», это еще не означает, что в открытом доступе находятся чьи-то персональные данные и его права, как гражданина и субъекта персональных данных, ущемлены. Только если по этим данным возможно прямо или косвенно определить конкретную личность, они будут являться персональными данными.

В законодательстве о персональных данных все мы, физические лица, являемся «субъектами персональных данных», соответственно, имеем право на защиту своих прав, и Роскомнадзор является регулятором в данной области, выступая уполномоченным органом по защите прав субъектов персональных данных.

Необходимо знать и помнить, что по степени информативности персональные данные разделяются. Кроме того, ответственность за действия с разными категориями персональных данных различна, равно как и ответственность тех, кто их обрабатывает. Например, существует информация, позволяющая только определить личность субъекта, — фамилия, имя и дата рождения. Информацией, по которой можно идентифицировать человека и получить о нем дополнительные сведения, могут быть адрес и сведения о заработках. Специальные категории персональных данных включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта, судимости и пр. Также существуют общедоступные и обезличенные персональные данные. Общедоступные персональные данные, в соответствии с законодательством, не могут подвергаться сокрытию. Например, это могут быть сведения о доходах представителей органов государственной и муниципальной власти либо персональные данные, доступ к которым предоставлен с разрешения самого субъекта (пример социальных сетей – субъект размещает о себе ту информацию, которую считает необходимой, в открытом доступе на своей странице). Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу. Такие данные могут быть зашифрованы, содержать код или идентификатор, наиболее часто такой метод используется в медицинских системах, в статистической отчетности и пр.

Берегите ваши персональные данные!

Многие граждане уже привыкли, что в магазинах, турфирмах, спортивных клубах, на сайтах интернет-магазинов, в учебных заведениях и кредитно-финансовых учреждениях собирается огромное количество ксерокопий паспортов и иных, удостоверяющих личность, документов, теряются медицинские карты, выбрасываются на мусорку мешки с финансовыми документами, содержащими персональные данные. Между тем, принципы обработки персональных данных очень хорошо описаны в ст.5 закона «О персональных данных». В частности, данные должны обрабатываться только в объёме, соответствующем целям обработки, запрещён сбор избыточных данных («на всякий случай»), обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Читайте так же:
Выплата на улучшение жилищных условий сотрудникам МВД

Помните: в соответствии с требованиями российского законодательства субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, соответственно, оператор персональных данных обязан предоставить данную информацию субъекту по запросу.

Защита прав субъектов персональных данных – ключевое направление в деятельности Роскомнадзора. Портал персональных данных создан для того, чтобы граждане страны — субъекты персональных данных получали оперативную, актуальную и квалифицированную помощь и поддержку в вопросах, связанных с обработкой их данных в государственных, коммерческих и иных информационных системах, и защитой их прав.

На Ваши вопросы готовы ответить специалисты Управления.

Обратите внимание, что жалобы и запросы принимаются только в письменной форме. Для этого достаточно отправить письмо по электронному, почтовому адресу или через форму отправки электронного сообщения. Вся необходимая контактная информация размещена в разделе КОНТАКТЫ

Время публикации: 18.04.2014 15:26
Последнее изменение: 22.08.2017 16:17

Являются ли паспортные данные персональными данными?

Согласно п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть лишь сведения, которые с достоверностью позволяют идентифицировать лицо.

Следовательно, основным критерием при определении персонализации необходимо, чтобы информация была однозначно соотносима с определенным человеком.

Судебная практика относит к числу персональных данных следующую информацию о гражданине:

— фамилия, имя, отчество;

— дата и место рождения;

— адрес места регистрации и места проживания;

— семейное, социальное, имущественное положение;

— образование, профессия, доходы, другая информация (Постановление Арбитражного суда Северо-Кавказского округа от 29.05.2020 N Ф08-1324/2020 по делу N А53-11417/2019; Постановление Арбитражного суда Северо-Кавказского округа от 03.04.2019 N Ф08-1028/2019 по делу N А53-26369/2018 (Определением Верховного Суда РФ от 06.06.2019 N 308-ЭС19-9542 отказано в передаче дела N А53-26369/2018 в Судебную коллегию по экономическим спорам Верховного Суда РФ для пересмотра в порядке кассационного производства данного Постановления); Постановление Арбитражного суда Западно-Сибирского округа от 03.10.2018 N Ф04-4286/2018 по делу N А27-5719/2017; Определение Московского городского суда от 17.09.2012 N 4г/6-7692; Определение Московского городского суда от 29.02.2012 по делу N 33-6709).

К данному перечню может быть отнесена иная информация, неразрывно связанная с личностью ее обладателя (Постановление Тринадцатого арбитражного апелляционного суда от 21.06.2010 по делу N А56-4788/2010).

Действующее законодательство РФ не содержит легального определения «паспортные данные», однако идентифицирующие лицо признаки указываются отдельно, например ФИО гражданина (п. 4 Положения о паспорте гражданина Российской Федерации, утв. Постановлением Правительства РФ от 08.07.1997 N 828; ст. 84 НК РФ; пп. «л» ч. 1 ст. 5 Федерального закона от 08.08.2001 N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»).

Например, в соответствии с Алгоритмом ввода персональных данных гражданина, которому оформляется паспорт, удостоверяющий личность гражданина Российской Федерации за пределами территории Российской Федерации, в базу данных автоматизированной информационной системы, предназначенной для оформления и выдачи паспортов, удостоверяющих личность гражданина Российской Федерации за пределами территории Российской Федерации (Приложение N 8 к Административному регламенту Министерства иностранных дел Российской Федерации по предоставлению государственной услуги по оформлению и выдаче паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации, утв. Приказом МИДа России от 12.02.2020 N 2113), к персональным данным владельца паспорта относятся данные, содержащиеся в реквизитах «Фамилия», «Имя» и «Отчество», «Дата рождения», «Полное место рождения», «Место рождения» и «Place of birth», «Пол» и др.

Согласно п. 4 Положения о паспорте гражданина Российской Федерации, утв. Постановлением Правительства РФ от 08.07.1997 N 828, в паспорт вносятся следующие сведения о личности гражданина: фамилия, имя, отчество, пол, дата рождения и место рождения.

В соответствии с п. 3 Описания бланка паспорта гражданина Российской Федерации, утв. Постановлением Правительства РФ от 08.07.1997 N 828 (далее — Описание бланка паспорта гражданина РФ), нумерация бланка паспорта состоит из 3 групп цифр. Первые 2 группы, состоящие из 4 цифр, обозначают серию бланка паспорта, третья группа, состоящая из 6 цифр, обозначает номер бланка паспорта.

Обязательными реквизитами бланка паспорта гражданина РФ являются: серия и номер паспорта, а также наименование органа, выдавшего паспорт, дата его выдачи, код подразделения, личный код и личная подпись (п. 8 Описания бланка паспорта гражданина РФ).

Таким образом, с учетом норм действующего законодательства и судебной практики можно сделать вывод, что под паспортными данными понимаются данные паспорта как бланка (серия, номер, дата выдачи, наименование выдавшего органа, код подразделения) и данные о владельце паспорта (фамилия, имя, отчество, дата и место рождения, адрес регистрации, семейное положение, сведения о детях).

Такие паспортные данные, как серия и номер, являются неотъемлемыми реквизитами самого паспорта как документа, делающие его уникальным бланком среди прочих. И их можно отнести к персональным данным.

Читайте так же:
Ограничения в приеме на работу при наличии судимости у родственника

В Постановлении Президиума ВАС РФ от 16.06.2009 N 750/09 по делу N А43-3182/2008-5-74 отмечено, что суд располагал полученными от соответствующего органа сведениями, подтверждающими принадлежность паспорта определенной серии и определенного номера конкретному гражданину, т.е. у суда имелась возможность идентифицировать лицо.

Такие данные, как наименование органа, выдавшего паспорт, код подразделения, дата выдачи, к персональным данным не относятся, поскольку не позволяют идентифицировать личность владельца паспорта.

Суды часто делают выводы о том, что серия и номер паспорта, дата его выдачи, наименование органа, его выдавшего, код подразделения (данные паспорта) относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность, в связи с чем не относятся к персональным данным (Постановление Седьмого арбитражного апелляционного суда от 05.04.2018 N 07АП-1437/2018 по делу N А45-31682/2017, Постановление Седьмого арбитражного апелляционного суда от 19.03.2018 N 07АП-1435/2018 по делу N А45-31683/2017, Постановление Девятого арбитражного апелляционного суда от 02.11.2010 N 09АП-23673/2010-ГК по делу N А40-30314/09-45-201, Постановление Тринадцатого арбитражного апелляционного суда от 21.06.2010 по делу N А56-4788/2010, Определение Московского городского суда от 17.09.2012 N 4г/6-7692; Определение Московского городского суда от 29.02.2012 по делу N 33-6709). Например, в Определении Верховного Суда РФ от 08.09.2020 N 308-ЭС20-11154 по делу N А63-13382/2019 указано, что к информации, позволяющей идентифицировать лицо, относится совокупность следующих данных: фамилия, имя, отчество, номер и серия паспорта и т.д.

Имеется также судебная практика, где серия и номер паспорта рассматриваются в качестве персональных данных (Определение Верховного Суда РФ от 08.09.2020 N 308-ЭС20-11154 по делу N А63-13382/2019, Апелляционное определение Верховного суда Республики Адыгея от 26.01.2018 по делу N 33-42/2018).

Аналогичный смысл заложен в ст. 84 НК РФ и Определении Московского городского суда от 13.05.2019 N 4г-4164/19.

Таким образом, часть паспортных данных (серия, номер, ФИО, дата и место рождения, адрес места регистрации, сведения о семейном положении и детях) относится к персональным данным, другая часть (наименование органа, выдавшего паспорт, код подразделения, дата выдачи) к персональным данным не относится.

Арбитражный суд Самарской области

Остались вопросы к адвокату?

Задайте их прямо сейчас здесь, или позвоните нам по телефонам в Москве +7 (499) 288-34-32 или в Самаре +7 (846) 212-99-71 (круглосуточно), или приходите к нам в офис на консультацию (по предварительной записи)!

Кратко и доступно: что такое персональные данные, их хранение и обработка

Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:

Не ПДнПДн
ivan999@mail.ruФИО: Иванов Иван Иванович, email: ivan999@mail.ru
30% опрошенных женатыИванов Иван Иванович женат

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Читайте так же:
Общение с ребенком при ограничении родительских прав

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

голоса
Рейтинг статьи
Ссылка на основную публикацию