Что относится к персональным данным человека

В законе N 152-ФЗ нет точного определения, что относится к персональным данным человека, есть только указание на возможность идентификации человека по этим данным.

То, что точно позволяет идентифицировать клиента, — это:

— паспортные данные,

— реквизиты банковского счета,

— ИНН,

— СНИЛС и др.

Некоторые данные о человеке, к примеру номер телефона или его имя, по отдельности не позволяют его идентифицировать, однако если у компании есть доступ к ним в совокупности, это сделать просто. По имени «Иван Петров» нельзя определить личность, но если мы знаем его место работы, например, ООО «Альянс Плюс», мы уже сможем найти его среди сотрудников этой компании.

Далее расскажем, что чаще всего входит в персональные данные физического лица.

Что входит в персональные данные

➕ Имя, фамилия, отчество

➕ Контактная информация: адрес, номера телефонов, email, почтовые адреса.

➕ Идентификационные номера: номера паспорта, ИНН, СНИЛС и другие идентификационные коды.

➕ Информация о местоположении человека: GPS-координаты.

➕ Финансовая информация: банковские реквизиты, номера карт, информация о доходах, расходах, кредитах.

➕ Медицинская информация: данные о здоровье и медицинская история.

➕ Информация о работе и образовании: место работы, должность, образование.

➕ Фото человека.

Вот так выглядит персональная информация, собранная с помощью квиза по подбору загородного дома в аренду. Клиент потратил на прохождение квиза всего одну минуту, и оставил много полезных сведений.

Что не является персональными данными

➖ Анонимные данные: информация не может быть связана с конкретным человеком. Например, мы проводим анонимный опрос о качестве обслуживания среди наших клиентов

➖ Агрегированные данные: данные обобщены и не могут быть использованы для идентификации отдельного человека. Пример — компания использует данные CRM, чтобы составить усреднённый портрет целевой аудитории

➖ Общие контактные данные: общие адреса электронной почты или телефонные номера компаний, как правило, не считаются персональными данными, если они не связаны с конкретными людьми

☝ А как же данные из социальных сетей? Пользователи указывают много личной информации, но она не является общедоступной, даже если доступ открыт для всех. Собирать досье на человека из соцсетей не разрешается

Кому могут понадобиться персональные данные

Совершать действия с персональными данными может работодатель, финансовые компании, медицинские организации, интернет-магазины, предприятия социальной сферы (детские сады, школы, МФЦ), высшие учебные заведения, операторы связи, страховые компании и т.д.

Для каких целей могут быть использованы персональные данные: показ контекстной рекламы, рекомендаций, формирование индивидуальных предложений на основе предпочтений пользователя, допродажа дополнительных услуг к уже существующим (например, кредит для владельца дебетовой карты, страховка квартиры для купивших страховку автомобиля), мошеннические действия (похищение денежных средств с банковских карт).

Какие персональные данные относятся к общедоступным? Публичными данными считаются те, на обработку и распространение которых было получено разрешение от их владельца.

Чтобы компания могла использовать личную информацию в своих целях, она должна получить от пользователя Согласие на обработку персональных данных. Согласие можно получить в письменном виде или электронно (галочка в специальной форме, принятие условий публичной оферты). Получить согласие на обработку данных по телефону или через смс-сообщение нельзя. Также пользователь может в любой момент отозвать свое согласие.

Что разрешается после получения Согласия на обработку персональных данных: получение, сбор, хранение и использование персональных сведений. Кроме того, документ гарантирует, что информация будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Компания, которая получает право осуществлять обработку персональных данных, называется оператором персональных данных. Ими могут быть государственные и муниципальные органы, юридическое или физическое лицо. Объявляя себя оператором ПД компания должна:

• подготовить документ на основании которого будет происходить сбор, хранение и обработка данных,
• предупредить субъект ПД об их обработке,
• получать согласие на обработку ПД,
• хранить ПД на территории Российской Федерации.

Что не относится к персональным данным?

Получается, что без ведома гражданина мы не можем использовать ни его имя, ни фамилию, ни любую другую информацию. Если отталкиваться от понятия «персональных данных», то к ним не могут относиться сведения, которые не позволяют идентифицировать конкретного человека.

Итак, если у нас есть номер телефона человека или адрес его электронной почты, эти данные также будут относиться к персональным, так как имеют отношение к конкретному лицу. То же самое можно сказать в отношении адреса или места работы. Даже фотографии с кооперативов и праздников, где запечатлен конкретный человек, могут считаться персональными данными.

Важно! Персональные данные — это любые сведения прямо или косвенно относящиеся к конкретному человеку. Не относится к персональным данным информация, не позволяющая идентифицировать конкретное лицо. Например, к персональной информации нельзя отнести просто название улицы или города, в котором живет человек.

На сегодняшний день существует такое понятие, как обезличивание персональных данных. Это один из способов обработки личной информации, который позволяет сделать так, чтобы по конкретным персональным данным нельзя было понять, кому конкретно они принадлежат.

Практически каждый день мы оставляем о себе ту или иную информацию. Большая часть из этих данных носит личный характер. Оставляя информацию о себе, очень важно помнить об осторожности, особенно при предоставлении паспортных данных и уровне доходов. Несмотря на то, что часть персональных данных носит общедоступный характер, тем не менее, даже эти сведения охраняются законом, так как при неправомерном использовании могут привести к причинению вреда их владельцам.

Какие данные относятся к персональным данным: основные виды ПДн

Для упрощения регулирования законодательство РФ дифференцирует ПДн в зависимости от сложности получения, степени секретности и прав на использование третьими лицами. Основные разновидности:

1. Общие персональные данные — те, которые сообщают ключевую информацию о субъекте: Ф.И.О., дата рождения, адрес (регион, город, улица, дом, квартира), паспортные сведения, образование, место работы, уровень дохода и т.д. Если использовать их по отдельности, то нельзя говорить о том, что это сведения, относящиеся к персональным данным , поскольку идентифицировать личность, например, по одной только фамилии невозможно. В категорию ПДн они попадают в комбинированном варианте, в частности Ф.И.О. в сочетании с местом регистрации.
2. Биометрические — позволяют определить биологические и физиологические отличительные черты конкретного физического лица, которые могут использоваться для установления его личности. Что входит в перечень таких персональных данных ? Отпечатки пальцев, ДНК человека, радужная оболочка глаз, индивидуальные анатомические особенности. Наиболее востребованы подобные ПДн на таможне и в государственных органах, которые осуществляют выдачу виз и загранпаспортов, а также в современных системах идентификации.
3. Общедоступные персонифицированные данные — чаще всего, это информация о благосостоянии известных людей (представителей власти и шоу-бизнеса, руководителей крупных предприятий и т.д.). Они присутствуют в открытых источниках и могут быть получены без дополнительных разрешений.
4. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.
5. Специальные — ПДн, присутствующие в личных делах, медицинских книжках, закрытых реестрах и т.д. Речь идет о философских и политических убеждениях, сексуальных предпочтениях, хронических заболеваниях, расовой и национальной принадлежности, вероисповедании. Чтобы с ними работать, нужно предварительно обеспечить санкционированный доступ, а именно — получить официальное согласие владельца в письменном виде.

Большое значение имеет правильная классификация оператором вида ПДн и принятие соответствующих мер для того, чтобы законно их собирать, хранить и передавать третьим лицам.

Что относится к биометрическим материалам

Отнесение информации к биофизическим данным требует соблюдения следующих условий:

• сведения должны отображать информацию о субъекте;
• применение указанной информации позволяет распознать человека.

Персональные данные без штрафовВремя прохождения около 5 мин.Пройти тест

К биофизическим индивидуальным свойствам относятся:

• отпечатки пальцев и ладоней;
• радужка оболочки глаз;
• анализы ДНК;
• образ лица;
• особенности строения тела;
• состояние психического здоровья;
• рост;
• вес.

Для распознавания гражданина необходима одна или больше поведенческих или физических особенностей. В постановлении № 722 к сведениям, подлежащим размещению в общей информационной системе индивидуальных данных, относятся:

• фото- или видеоизображение лица гражданина;
• данные голоса, полученные при помощи звукозаписывающих устройств.

Что понимается под обработкой персональных данных

Обработка – это все действия, которые совершаются с персональными данными. Например, новостная рассылка по e-mail, ведение базы клиентов, обработка и анализ анкет людей, прочее.

Понятие биометрических данных. Какими законами регулируется обращение с такой информацией

Биометрия — это уникальные физические или поведенческие характеристики, которые позволяют отличать людей друг от друга.

На законодательном уровне в России порядок обращения с биометрическими персональными данными определен:

1. Законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
2. Законом «Об информации, информационных технологиях …» от 27.07.2006 № 149-ФЗ.
3. Постановлением Правительства РФ «Об определении состава сведений, размещаемых в единой информационной системе персональных данных…» от 30.06.2018 № 772.
4. Приказом Минкомсвязи России «Об утверждении порядка обработки…» от 25.06.2018 № 321.

Президиумом Совета при Президенте РФ по стратегическому развитию и национальным проектам протоколом от 24.12.2018 № 16 был утвержден паспорт национальной программы «Цифровая экономика РФ», в соответствии с которым создается Единая биометрическая система. С 01.07.2018 сбор биофизических параметров своих клиентов начали крупные банковские учреждения, реализуя положения закона «О внесении изменений в отдельные законодательные акты РФ» от 31.12.2017 № 482-ФЗ. Таким образом, биометрические данные уже используются банками для идентификации клиентов по голосу и видео.

Какая ответственность предусмотрена за нарушение закона «О персональных данных»

В статье 23.7 КоАП Республики Беларуси предусмотрена административная ответственность в виде штрафа до 200 базовых величин. Она может наступить за:

• незаконный сбор, обработку, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных; умышленное незаконное распространение персональных данных;
• несоблюдение мер обеспечения защиты персональных данных.

Те же действия, повлекшие причинение существенного вреда или тяжких последствий, а также совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга могут повлечь уголовную ответственность (ст. 203-1 Уголовного кодекса Республики Беларусь предусматривает наказание вплоть до 5 лет лишения свободы).

К административной ответственности может быть привлечена как компания, так и конкретные люди, руководители или сотрудники, которые занимались обработкой и защитой персональных данных. К уголовной – только физические лица.

Также компания будет нести гражданскую ответственность, то есть обязана возместить человеку имущественный или моральный ущерб, понесенный им в случае разглашения или утечки его персональных данных, если такое требование заявит пострадавшее лицо.

И хотя в Беларуси ответственность за нарушения законодательства о персональных данных в разы мягче, чем в соседних государствах и западных странах, нельзя забывать о потере деловой репутации, а также о целенаправленных кибератаках. Согласно отчету компании Positive Technologies, во втором квартале 2021 года 36% атак злоумышленников на информационные системы компаний были проведены для кражи персональных данных ее сотрудников и клиентов.

Необходимость следить за нововведениями

Так уж устроено законодательство, что оно действует тогда, когда человек знает о нём. Это относится исключительно к защите своих прав. Некоторые категории людей должны постоянно следить за своими персональными данными, ведь то, что вчера было вполне нормальным и допустимым, уже сегодня оказывается за гранью закона. В качестве примера можно привести ситуацию с бизнесом. Так, если на предприятии есть хотя бы один работник или клиент, являющийся физическим лицом, то законодательство накладывает серьезные обязательства. Так, необходимо, чтобы при обработке информации была соблюдена конфиденциальность. Персональные данные работника не должны попасть в руки сторонних лиц или организаций. Для того чтобы идентифицировать человека, достаточно знать его Ф.И.О. и любую иную информацию личности, например, адрес проживания, дату рождения, номер телефона. Поэтому чтобы персональные данные работника не попали не в те руки и за этим не последовали штрафы и прочее, к вопросу безопасности следует подойти основательно.

Что нужно сделать компаниям для соответствия требованиям закона:

1. Назначить ответственных (сотрудника или подразделение) за защиту персональных данных.
2. Разработать политику компании в отношении персональных данных и сделать ее общедоступной – разместить на корпоративном портале, сайте компании.
3. Разработать формы для получения согласия человека на обработку персональных данных. Что в них должно содержаться – название компании, цель использования персональных данных, срок исопльзование и прочее – читайте подробнее в 5 статье закона.
4. Проинформировать сотрудников о новом законе и политике компании в отношении к персональным данным, провести обучение ответственных по работе с персональными данными.
5. Установить порядок доступа и работы с персональными данными.
6. Осуществлять техническую и криптографическую защиту персональных данных. Требования к защите персональных данных можно найти в приказе оперативно-аналитического центра при президенте Республики Беларусь от 20 февраля 2020 г. №66.Информационные системы, в которых хранятся или обрабатываются персональные данные, должны соответствовать более полусотне критериев.

Как оператору работать с персональными данными

Как правильно работать с персональными данными, указано в 5 статье ФЗ 152.

Обозначим основные этапы:

1. Сбор персональных данных.

Например, когда пользователь регистрируется в социальной сети и указывает своё имя и адрес электронной почты, это сбор персональных данных.

2. Обработка персональных данных.

На этом этапе данные анализируются или преобразуются. Так, если приложение рекомендует музыку на основе того, что клиент слушал раньше, это обработка данных.

3. Хранение персональных данных.

После сбора и обработки данные должны где-то храниться. Можно хранить на серверах или в базах данных.

4. Защита персональных данных.

Компании обязаны заботиться о безопасности данных и предотвращать утечки или взломы. Это включает прогноз угроз безопасности и шифрование.

5. Знакомство с документами и правилами.

Компания обязана предоставлять документы, которые определяют, как они работают с данными. Это политика конфиденциальности и процедуры для соблюдения законов о защите данных.

6. Ответственность.

Операторы персональных данных несут ответственность за правильную и законную обработку информации.

☝ Что требует Европейское законодательство в сфере защиты персональных данных, рассказываем в статье Что такое GDPR

Собрали в таблицу самые распространенные случаи, когда возникает вопрос о правильности сбора ПД:

ПримерОтносится ли к ПДПочемуНужно ли согласие на обработку данныхКлиент заказал обратный звонок, указал номер телефона и имяНетНомер телефона и имя сами по себе не помогут идентифицировать человека. В этом случае клиент запросил звонок и предоставил эти данные только для этой целиНетКомпания собирает кукиДаПостоянные идентификаторы, которые сайты используют куки, можно использовать для определения личности человекаДаКомпания собирает данные о клиентах, чтобы делать рассылку с рекламными предложениямиДаВ этом случае email привязан к определённому клиентуДаКомпания узнаёт ФИО и номер телефона клиента, чтобы подключить его к программе лояльностиДаКлиента регистрируют в программе, чтобы дальше собирать данные о его активности, в сумме полученные данные позволяют идентифицировать человекДа (например, клиент подтверждает свою личность через смс)Компания проводит анонимный опрос о качестве своего продукта и публикует результаты на своем сайте и пресс-релизахНетДанные обезличеныНетКомпания оформляет договор с клиентомДаДанные точно идентифицируют клиентаНетКомпания открывает клиенту доступ к сервисуДаУ компании есть ФИО и номер банковской карты, по которым можно определить человекаДаКомпания передаёт службе доставки адрес, имя и телефон клиентаДаДостаточно точно определяют личность клиентаНетКомпания делает рассылку по подпискеДаНужны ФИО, адрес электронной почты, номер банковской карты — данные позволяют определить личность клиентаДа

‍

Хранение и защита идентификационных сведений

Защита биометрических персональных данных предполагает соблюдение оператором данных следующих правил (п.8 приказа № 321):

• сбор сведений должны осуществлять уполномоченные сотрудники, обеспеченные ключами простой электронной подписи;
• ключи электронных подписей хранятся таким образом, чтобы исключить несанкционированный доступ к ним и избежать незаконного изменения, добавления, удаления информации;
• за передачу ключей электронной подписи третьим лицам либо необеспечение их конфиденциальности предусмотрена ответственность.

Конфиденциальность доступной информации должны хранить сотрудники, как собирающие биометрические данные, так и готовящие и выдающие ключи электронных подписей.

Дополнительно банковские учреждения должны (пп. 31, 33 Порядка, утв. приказом № 321):

• информировать Банк России об обнаружении случаев нарушения правил защиты информационных материалов при работе с ними в срок не позже следующего рабочего дня с момента выявления такого факта;
• ежегодно оценивать безопасность технической защиты информации, привлекая специализированные организации.

Что такое согласие на обработку персональных данных?

Согласие на обработку персональных данных — это однозначное разрешение от конкретного человека на то, чтобы компания могла обрабатывать его персональные данные.

Согласие на обработку персональных данных должно соответствовать следующим критериям:

✅ Должно быть четко указано, для каких целей данные будут использоваться. Это может быть предоставление определенных услуг, рассылка или реклама.

✅ Человек должен явно выразить согласие на обработку своих персональных данных.

✅ Должно быть указано, какие конкретные данные будут собираться: имя, адрес, номер телефона, адрес электронной почты и т. д.

✅ Указаны сроки обработки персональных данных.

✅ Прописаны права пользователя на доступ к данным, право на исправление неточностей, право на удаление данных и др.

✅ Если данные будут передаваться третьим лицам, это также должно быть указано в согласии.

✅ Нужно получить отдельное согласие на маркетинговые коммуникации.

Если данные будут использоваться для маркетинговых целей, пользователь должен дать отдельное согласие на это. То же самое относится к согласию на использование «cookies».

✅ Указана возможность отменить согласие.

✅ Указаны контактные данные оператора.

Должны быть предоставлены контактные данные ответственного лица, чтобы пользователь мог обратиться с вопросами или запросами.

✅ Оформлено информированное согласие.

Согласие должно быть предложено после того, как человек получил всю необходимую информацию и полностью понимает, как его данные будут использоваться.

Все эти пункты собирают в два отдельных документа — Политику конфиденциальности и Согласие на обработку персональных данных.

☝ Правила по получению согласия на обработку ПД прописаны в Общем регламенте о защите данных (GDPR) в Европейском Союзе и Федеральном законе РФ «О персональных данных» от 27.07.2006 N 152-ФЗ.

Как получить согласие на обработку персональных данных

По новому закону, человек может дать согласие на обработку персональных данных письменно, в виде электронного документа или в иной электронной форме (например, путем проставления специальной галочки на интернет-ресурсе).

Понятие персональных данных и правовое регулирование

Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.

Наш тест: персональные данные – работаем без штрафаВремя прохождения около 5 мин.Пройти тест

Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.

Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?

Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.

Читайте о том, что представляет собой обработка персональных данных, в специальном материале.

На основании п. 2.5 Методрекомендаций к личным данным относятся:

• имя, отчество и фамилия гражданина;
• дата его рождения (число, месяц и год);
• место рождения;
• адрес регистрации или место фактического проживания;
• сведения о семейном положении и детях;
• социальное положение;
• данные об имуществе;
• размер и источники дохода;
• сведения об оконченных учебных заведениях;
• профессия и занимаемая должность.

При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.

Ознакомиться с экспертным определением понятия персональных данных, а также с ключевыми особенностями их обработки на практике вы можете в специальном материале, размещенном в системе «КонсультантПлюс». Получите пробный доступ к нему бесплатно.

Иные персональные данные

Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:

1. Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
2. Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.

ВАЖНО! С 01 сентября 2022 года вступили в силу новые требования к обработке персональных данных в соответствии с законодательством.

Советы по защите персональных данных

Если ваши данные уже были украдены, то стоит предпринять меры по восстановлению безопасности.

• Сменить пароли
• Проверить электронные устройства на вирусы
• Поменять банковскую карту (если есть подозрение, что были украдены ее реквизиты)

В целях предупреждения утечки вашей персональной информации в незаконные руки соблюдайте следующие рекомендации.

1. Регулярно меняйте пароли, не применяйте одинаковые пароли на разных ресурсах. При создании паролей используйте сложные комбинации.
2. Подключите двухфакторную идентификацию там, где это возможно. Двухфакторная идентификация — это вход в личный кабинет с помощью двойного подтверждения, например, пароля и кода из смс-сообщения.

3. Используйте антивирусы и лицензионное программное обеспечение.
4. Никому не сообщайте полные реквизиты своей банковской карты. Как правило, для осуществления перевода достаточно номера телефона или карты.
5. Вводите свои личные данные, делайте онлайн-платежи на безопасных сайтах. Защищенное соединение происходит по адресу, которые начинается с https, а в строке браузера отображается значок замка.

6. Подключите смс-оповещения о различных действиях с вашими счетами, о входе на сайты.
7. Если вам звонят от имени сотрудников банка, службы безопасности, полицейских, не разговаривайте, положите трубку и перезвоните по номеру, указанному на официальном сайте организации.
8. В случае звонков с просьбой помочь вашему знакомому или родственнику, прежде всего свяжитесь с тем, кому якобы требуется помощь.
9. Не публикуйте в сети фотографии ваших банковских карт и паспортных данных.
10. По возможности не пользуйтесь функцией “Запомнить пароль” на различных устройствах.
11. Не переходите по ссылкам из сообщений электронной почты или смс-сообщений, если они получены от неизвестного источника.