Что не является персональными данными

Персональные данные — информация, которая прямо или косвенно относится к конкретному физическому лицу.

Проще говоря, это Ф. И. О., паспортные данные, банковские данные, номера телефона, адрес проживания, фотография и так далее.

Важно, чтобы данные относились к конкретному человеку. Абстрактный номер телефона не является персональными данными, потому что невозможно понять, кому он принадлежит. Но если напротив этого телефона стоит Ф.

И. О., то это уже персональные данные, так как понятно, к какой персоне они относятся.

Субъект персональных данных — лицо, чьи данные собираются, обрабатываются и хранятся. Оператор персональных данных — это юридическое лицо или государственная организация, которые эти данные собирают, обрабатывают, хранят, передают и уничтожают.

Пример употребления на «Секрете»

«»Яндекс» указал, что некоторые возможности сервисов станут недоступны после удаления персональных данных. Например, «Яндекс.Музыка» советует новые треки, опираясь на историю прослушиваний, лайки и дизлайки, и без этой информации рекомендации будут неточными».

(Из новости о том, что «Яндекс» разрешил пользователям навсегда удалять персональные данные.)

Нюансы

Выделяют несколько видов персональных данных:

  • Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
  • Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
  • Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
  • Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.

Критика

Главная проблема персональных данных — в их частых утечках. Скандалы вокруг таких инцидентов происходят в России нередко. Так, в мае 2020 года в интернете появились паспортные данные москвичей, оштрафованных за нарушение самоизоляции.

В ноябре 2019 года в открытом доступе оказалась личная информация 500 000 пользователей сайта по поиску работы Job in Moscow. Хакерам стали доступны не только персональные данные соискателей, но и логины и пароли их учётных записей.

«Аксиома: любая база данных утечёт. Завтра или через три года, целиком или по кусочкам, но это обязательно случится. Вот чем опасен сбор персональных и необезличенных данных», — констатирует сооснователь и генеральный директор HFLabs Дмитрий Журавлёв.

Цифры

Чтобы решить эту проблему, в 2021 году Госдума в 10 раз подняла штрафы за разглашение персональных данных. Для граждан — с 500–1000 рублей до 5000–10 000 рублей, для должностных лиц — с 4000–5000 рублей до 40 000–50 000 рублей. Помимо этого, систематически вносимые в законодательство поправки довели ответственность юрлиц за мелкие нарушения до 200 000 рублей.

Более серьёзные нарушения, включая сбор персональных данных посредством информационно-телекоммуникационной сети «Интернет», могут повлечь наложение административного штрафа на юрлицо от 1 млн до 6 млн рублей. Повторное совершение такого нарушения может повлечь штраф от 6 млн до 18 млн рублей.

Сбор персональных данных – теперь это мрак. Коснется всех!

Отчеты нужно будет предоставлять в Роскомнадзор вовремя, иначе накажут.

Начиная с 1 сентября 2022 года о сборе персональных данных нужно будет сообщать в Роскомнадзор. И не постфактум, а до начала их обработки. Думаете, вашу компанию это не касается? Не касалось, а теперь – еще как!

Ваша компания захотела провести электронный опрос покупателей (и те должны оставить ФИО и телефонэлектронный адрес). Вы решили провести в онлайне конкурс с призами. Вы решили провести конференцию и собираете заявки…

Теперь обо всем этом вы будете отчитываться. Причем до мероприятия!

И не важно, представляете ли вы компанию, являетесь индивидуальным предпринимателем, самозанятым или обычным гражданином – отчитываться должны будут все, кто намерен собирать и обрабатывать персональные данные.

Что, как и когда делать – подробно расписано в федеральном законе от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Но, как обычно, там много букв на трудном языке, поэтому вот ответы на главные вопросы, которые появились у вас после прочтения первого абзаца и будут появляться дальше, пока вы не дочитаете статью.

Спойлер: все не так страшно, и TexTerra нашла законный (хоть и странный) способ собирать данные и ни перед кем не отчитываться. Подойдет он не всем и не во всех случаях.

1. ФИО и номер телефона – это персональные данные?

ФИО пока не считаются персональными данными. Это одно из исключений, перечисленных во второй части статьи 22 Закона №152-ФЗ «О персональных данных». Но с 1 сентября 2022 года фамилия имя и отчество станут считаться персональными данными – их уберут из списка исключений.

Что касается телефонных номеров, то они были, есть и будут оставаться персональными данными, даже если больше никакими данными не сопровождаются. «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 №152-ФЗ «О персональных данных»).

В Google и «Яндексе», соцсетях, рассылках, на видеоплатформах, у блогеров

2. Какие еще исключения будут убраны?

Подотчетным станет сбор персональных данных:

  • в ходе трудовых отношений,
  • при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
  • уже упомянутых ФИО,
  • даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
  • для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

По поводу последнего пункта (переписывание паспортных данных на проходной или охране) есть лазейка, о которой мы расскажем, отвечая на следующий вопрос.

3. То есть отчитываться должны все (вы обещали рассказать про лазейку)?

Не все, а только те, кто заносит данные в компьютер. Если вы записываете персональные данные в тетрадку или на листок (без использования средств автоматизации) и не намерены их куда-то после этого передавать, то слать отчеты в Роскомнадзор не нужно – такой подход не нарушает закон.

Передача персональных данных через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь – нет. Поэтому охранник, записывающий ваши данные от руки в тетрадь, ничего не нарушает, а тому, кто заносит их в компьютер без предварительного уведомления Роскомнадзора, грозит штраф.

4. Какой еще штраф? Сколько?

Не так уж много, как можно было бы подумать. Это может быть даже предупреждение. Согласно ст. 19.7 КоАП РФ, физических лиц могут оштрафовать на сумму от 100 до 300 рублей, должностных лиц (тех же охранников и вахтеров) – от 300 до 500 рублей, а юридическим лицам грозит штраф от 3 тысяч до 5 тысяч рублей.

Надо полагать, символические суммы рано или поздно изменятся, когда пройдет некий период привыкания.

5. Как уведомить Роскомнадзор о сборе и обработке персональных данных?

Делается это исключительно дистанционно и уведомлять нужно то подразделение Роскомнадзора, к которому вы относитесь территориально (ищите его здесь). То есть можно отправить уведомление по электронной почте, указанной в адресе подразделения, или на общий адрес rsoc_in@rkn.gov.ru, через портал госуслуг или отправив письмо Почтой России. Лично ходить не нужно – Роскомнадзор приостановил такой вид обращений до конца угрозы эпидемии коронавируса.

Уведомления нужно составлять и отправлять перед сбором и обработкой персональных данных для каждой цели отдельно. Для прохода через проходную – одно, а для участия в розыгрыше – еще одно, для приема на работу или заключения договора на оказание услуг – другое и так далее.

Ваша заявка принята.
Мы свяжемся с вами в ближайшее время.

6. Как составить уведомление?

Используйте фирменный бланк компании. Далее вам поможет список рекомендаций от Роскомнадзора по составлению и заполнению формы уведомления, утвержденной приказом Роскомнадзора от 30.05.2017 №94 в редакции от 30.10.2018 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

В уведомлениях нужно указывать:

  • название компании или ФИО лица, собирающего данные,
  • правовое основание обработки персональных данных (можно взять отсюда, но не используйте пункт 1),
  • цель обработки персональных данных,
  • категории персональных данных (помните, что фото и видео человека – тоже его персональные биометрические данные),
  • категории субъектов, персональные данные которых обрабатываются (работник, абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и т.п.),
  • перечень действий с персональными данными – неавтоматизированная, исключительно автоматизированная или смешанная обработка,
  • описание мер защиты базы персональных данных от взлома или случайного проникновения в нее,
  • дата начала обработки персональных данных (по факту, обработка начинается вместе с началом сбора данных),
  • сроки и/или условия прекращения обработки данных,
  • планируется или нет передача персональных данных за рубеж,
  • местонахождение базы данных,
  • сведения об обеспечении безопасности персональных данных.

7. Для чего Роскомнадзору нужны наши уведомления?

Вас внесут вот в этот реестр. Здесь же вас может найти любой желающий, кто решит проверить, на законных ли основаниях вы собираете персональные данные людей.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально.

Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.

Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

В п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 152‑ФЗ) предусмотрено, что персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Как видно из приведенного определения, закон не содержит исчерпывающего перечня сведений, которые входят в круг персональных данных. Соответственно, в каждом случае необходимо определить, может ли та или иная информация быть отнесена к конкретному лицу. Поможет в этом анализ судебной практики.

См. статью «Организуем работу с персональными данными сотрудников» в № 2’ 2015

См. статью «Работа с персональными данными клиентов» в № 3’ 2015

«Классические» персональные данные

К «классическим» персональным данным относятся Ф.И.О. физического лица, ведь они позволяют его идентифицировать среди остальной массы людей, поэтому без согласия человека обработка таких персональных данных не допускается.

Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).

Помимо Ф.И.О. к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.

Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя. Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга. Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).

Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц. При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных. Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.

Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную доверенность конкретному человеку. Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных. Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).

В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо. В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность. У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.

Вы видите 20% этой статьи. Выберите свой вариант доступа

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Дополнительные документы соискателя

В статье приводим подробный обзор документов, которые работодатель на практике часто запрашивает у соискателей в целях оценки их соответствия вакансиям по профессиональным и деловым качествам, хотя это и не предусмотрено законом (резюме, анкета, заявление о приеме на работу и т. п.), а также тех, наличие которых обязательно должно быть обеспечено даже при отказе в трудоустройстве (согласие на обработку персданных). Со ссылками на судебную практику объясняем, с какими рисками может столкнуться работодатель в данной сфере, например, если будет обосновывать отказ в приеме на работу непредставлением полностью заполненной анкеты или резюме, – хотя в судебной практике есть и решения в пользу работодателей, о которых мы тоже рассказываем.

Узнаете, как такие риски нивелировать. В вашем распоряжении окажутся формы анкеты для соискателя и заявления о приеме на работу (о его роли скажем отдельно), образец оформления согласия на обработку персданных кандидата (этот документ должен быть в любом случае). Будете в курсе, какие разъяснения дал Роскомнадзор, в т.

ч. как быть в ситуации поступления в адрес работодателя резюме, составленного в произвольной форме, если однозначно определить лицо, его направившее, не представляется возможным.

Adblock
detector