Персональные данные - что нужно знать

Можно ли жить, не сообщая никому свои персональные данные? Да, на необитаемом острове без средств связи.

А в обычной жизни каждый из нас оставляет цифровые следы (активные и пассивные) регулярно. Без персональных данных ни заказать пиццу, ни сдать анализы, ни зарегистрироваться на любом сайте невозможно.

Но есть и то, что мы не знаем о ПДн - какие еще неожиданные сведения относятся к этой категории, как хранить их, что можно и что нельзя с ними делать. Об этом мы расскажем в данном материале.

Круговорот ПДн в природе регулируется известным многим №152-ФЗ. Он дает такое определение персданным: «любая информация, относящаяся к прямо или косвенно определенному или определимому физическому лицу». Сразу вызывает вопросы. Первый: а можно ли где-то посмотреть список всех ПДн, чтобы не ошибиться? Ответ на него - отрицательный. Такие сведения определяются в совокупности и в каждом отдельном случае.

Что точно можно считать персональными данными:

• ФИО;

• Паспортные данные;

• ИНН;

• СНИЛС;

• Номер телефона (в связке с другими данными, например, ФИО);

• Адрес проживания;

• Сведения о семейном положении;

• Сведения о наличии или отсутствии судимости;

• Место работы и т.д.

Может показаться странным, но ПДн также могут быть признаны:

• Хэш-ID Пользователя;

• время просмотра web-страницы;

• URL;

• HTTP referer (один из заголовков запроса клиента протокола HTTP).

• User Agent (часть HTTP запроса);

• HTTP Cookie

[Из Постановления 13ААС от 01.07.2016 №А56-6698/2016].

К этой категории сведений относят даже стиль вождения. Еще в 2016г. в рамках специального исследования выяснили, что по этому признаку можно на 100% установить личность водителя. В частности, их могут использовать страховые компании, чтобы предложить особые условия. И утечка такой информации может стать довольно чувствительной.

Итак, персональные данные бывают прямо относимыми (наши ФИО, уникальные ИНН и СНИЛС), а также косвенными и отдаленными (например, HTTP и время просмотра веб-страницы). Особенно тяжело выявить косвенные ПДн. Как же это сделать? Судебная практика и регулятор говорят так: если можно идентифицировать лицо по какому-либо признаку, то это ПДн. Например, номер банковской карты, хотя и представляет собой набор цифр, уникален. Как минимум у банка будет информация, на кого оформлена конкретная карта. Поэтому платежные данные также стоит считать ПДн.

Помочь также может определение целей сбора и возможного влияния такого сбора на личность. Если последний параметр актуален, то такие данные стоит отнести их к персональным. В этом вопросе лучше «перебдеть», чем «недобдеть». Цель такой сложной регламентации персональных данных – это защита неприкосновенности личности, поэтому регулятор (Роскомнадзор) может весьма широко определять их.

Также можно попробовать идти от обратного: какие данные ТОЧНО не могут ни прямо, ни косвенно определить конкретного человека. Но если что, доказывать «НЕперсональность» данных придется вам, поэтому аргументы должны быть железные. Например, данные относятся к имуществу, а не к человеку (лицевой счет ЖКХ).

Персональные данные разделяют на виды (категории), исходя не из академических, а из весьма практических целей - регулируются они по-разному.

Итак, категории ПДн:

• Специальные

Закон прямо относит сюда сведения о расовой и национальной принадлежности, о политических взглядах, о религиозных или философских убеждениях, состоянии здоровья, об интимной жизни (ч.1 ст. 10 №152-ФЗ). Также такими ПДн могут считаться данные о судимости (об этом говорит расположение в ч.3 ст. 10 №152-ФЗ и отдельные кейсы).

Особенности регулирования: такие данные запрещено обрабатывать, кроме случаев по закону (ч. 2 ст. 10 №152-ФЗ), но тогда необходимо соблюдать повышенные технические меры защиты.

• Биометрические

ПДн, которые соответствуют 3 признакам одновременно (ч.1 ст. 11 №152-ФЗ):

1) Сведения характеризуют физиологические и биологические особенности человека;

2) На их основе можно установить личность;

3) Они используются для установления личности.

Особенности регулирования: строгие требования к обработке, в том числе, к автоматизированной обработке биометрии (закон об ЕБС от 29.12.2022 N 572-ФЗ).

Пример кейса: фотография, которая использовалась для пропуска в бассейн, была признана биометрическими ПДн. Обработка таких сведений требовала получения письменного согласия субъекта, чего не было сделано. Суд признал это нарушением правил обработки биометрических ПДн (Постановление АС Северо-Западного Округа от 21.11.2017 по делу № А42-342/2017).

Роскомнадзор разъясняет, что фото человека – это не всегда биометрия. Например, скан паспорта, который запрашивают при заключении договора, сюда не относится, так как в данном случае не проводятся процедуры идентификации (установления личности). То есть это ПДн, но не биометрия.

• Общедоступные

В обиходе такую категорию называют общедоступными ПДн, но это может вводить в заблуждение. Во-первых, по закону общедоступными являются не сами персональные данные, а их источники (ст. 8 №152-ФЗ).

Во-вторых, эти сведения не такие уж и ОБЩЕдоступные: их распространение должно быть ограничено определенным кругом. Их цель - информировать. Например, это может быть справочник номеров сотрудников в организации. И он нужен для связи между коллегами. Такой справочник должен находиться только внутри конкретной организации, не выкладываться в интернет на всеобщее обозрение. В ином случае такие данные уже будут распроостраненными, а не общедоступными (см. след. вид ПДн).

Особенности регулирования: требуется согласие субъекта по общим требованиям ч. 4 ст. 9 №152-ФЗ.

• Данные, разрешенные субъектом к распространению

В чем отличие от предыдущего вида: 1) данные не имеют ограничения по кругу распространения, в отличие от категории общедоступных источников; 2) цель не информационная. Регулируется такой вид жестче.

Особенности регулирования: требуется отдельное согласие на распространение по приказу Роскомнадзора №18 (кроме данных, распространяемых по закону).

• «Обезличенные»

Это процедура по замене обычных сведений на специальный идентификатор. Который в случае необходимости можно расшифровать. Некоторые операторы заблуждаются, принимая минимальные ПДн, которые собираются в интернете, за обезличенные. И еще полагают, что делать с ними ничего не нужно.

Вывод и регулирование: на обезличивание ПДн точно так же требуется согласие, как на обработку ПДн (кроме случаев, указанных в законе).

• Иные (все остальные)

Все остальные ПДн. Тут ориентируемся на общие требования закона №152-ФЗ.

Основные участники процесса – это субъекты и операторы ПДн.

Субъект ПДн – это и есть физическое лицо, которому принадлежат данные. Сюда относят работников компании, соискателей, бывших работников, клиентов, выгодоприобретателей по договорам и т.д.

К числу операторов, которые совершают те или иные действия с ПДн субъектов, могут быть отнесены различные организации, обрабатывающие сведения своих сотрудников, контрагентов, клиентов и т.д.152-ФЗ предъявляет ряд требований к порядку обработки ПДн оператором, использованию средств защиты и т.д. Причем конкретный перечень необходимых действий индивидуален и зависит от особенностей бизнес-процессов компании.

Грамотно организовать процессы ПДн помогает комплексный аудит системы обработки персданных. По его результатам разрабатываются необходимые документы и процедуры.

На этом круг участников может ограничиться, а может добавиться и еще одна фигура – обработчик ПДн, или более официально – «лицо, осуществляющее обработку персональных данных по поручению оператора» (ч. 3 ст. 6 №152-ФЗ). Примеры таких обработчиков: компания, которая аутсорсит бухгалтерию или юридические услуги;хостинг или интернет-платформа. С такими обработчиками оператору нужно быть осторожным: ответственность за его действия с персональными данными будет нести сам оператор. Важно ответственно подойти к выбору обработчиков-исполнителей/контрагентов и документально распределить ответственность и иные необходимые меры.

Персональные данные – это очень многогранная история, которая включает в себя огромное множество аспектов. Начинать изучение стоит, конечно же, с азов изучения законодательства, в частности, что такое ПДн, какие виды бывают, кто субъекты и операторы, у кого какие базовые права и обязанности. Если сейчас штрафы по многим нарушениям закона о ПДн сравнительно небольшие, то совсем скоро это может измениться. Государство несколько лет прорабатывает вопрос повышения ответственности вплоть до введения оборотных штрафов и уголовной ответственности. Кажется, что сейчас это уже дело времени: рано или поздно ответственность очевидно повысится. Лучше успеть привести все в порядок до того, как станет слишком поздно и больно.