Найти тему
Data Privacy Security
4 подписчика

Основы защиты персональных данных: просто о сложном

12
7 мин
Оглавление

С этой публикации я хочу начать цикл статей, посвященных вопросам обработки и защиты персональных данных в РФ. Она может показаться вам нудной и скучной, но она нужна для того, чтобы вы узнали, как обстоят дела с персональными данными в нашей стране. Если вы не дочитаете её до конца, то всегда сможете найти её на моем канале.

В дальнейшем, простым и понятным языком я расскажу вам о том, как защитить и реализовать свои права, на что обратить внимание при оформлении согласия на обработку персональных данных и о других важных вопросах.

Если вы хотите, чтобы я что-то дополнил или раскрыл подробнее - пишите ваши вопросы в комментариях после статьи.

Краткая история развития законодательства в области персональных данных в РФ

История началась ещё в 1981 году, когда Советом Европы была принята "Конвенция о защите физических лиц при автоматизированной обработке персональных данных" под номером 108, которую Россия подписала 7 ноября 2001 года.

Определение персональных данных в 108-й Конвенции Совета Европы было следующим:

а. "персональные данные" означают информацию, касающуюся конкретного или могущего быть идентифицированным лица ("субъекта данных")

Указом Президента РФ от 06.03.1997 № 188 был утвержден "Перечень сведений конфиденциального характера", в котором под первым из семи пунктов появилось упоминание персональных данных:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Это было первое явное упоминание персональных данных в российском законодательстве.

Для выполнения требований 108-й Конвенции Совета Европы был разработан и принят Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных", который на сегодняшний день является основным документом, регламентирующим обработку персональных данных в РФ.

https://pixabay.com
https://pixabay.com

Основные определения

Чтобы начать разговор непосредственно о персональных данных, нам с вами нужно понять, что же они собой представляют. Для этого заглянем в Федеральный закон №152-ФЗ "О персональных данных", который в статье 3 говорит нам, что:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Данное определение содержит сразу 2 понятия и говорит нам о том, что любое физическое лицо (то есть - каждый из нас) является субъектом персональных данных.

К сожалению, исходя из этого определения, очень сложно понять, что же всё-таки может являться персональными данными.

Пример информации, которая является персональными данными:

  • фамилия, имя, отчество;
  • паспортные данные;
  • адрес регистрации и проживания;
  • место работы и занимаемая должность;
  • размер заработной платы;
  • номер телефона и адрес электронной почты;
  • банковские реквизиты;
  • и многое другое...

В следующих публикациях мы с вами разберем, какие бывают категории персональных данных, случаи, когда нельзя осуществлять обработку без вашего согласия.

https://pixabay.com/
https://pixabay.com/

Основные принципы обработки персональных данных

Давайте разберем с вами статью 5 ФЗ "О персональных данных".

  • Первое, о чем она говорит - обработка должна осуществляться на законной и справедливой основе.

Это означает, что никто не может просто так, безо всякого основания, взять ваши персональные данные и начать их обрабатывать. Для этого обязательно должно выполняться одно из условий обработки из статьи 7 152-ФЗ, о которых мы поговорим позже.

  • Объединим второй и четвертый принцип: Обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Например, если компания обрабатывает ваш номер телефона исключительно для реализации договора с вами (предположим, курьер звонит вам, чтобы договорится о доставке купленного вами товара), то данная компания не может без дополнительных оснований (в данном случае без согласия) использовать ваш номер телефона, предположим, для осуществления рекламных рассылок.

  • Третий принцип относится к операторам, и вам (как субъектам персональных данных) не нужен.
  • Пятый принцип также содержит упоминание цели: Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (или так называемый "принцип минимизации данных").

Возьмем пример выше: зачем компании, осуществляющей курьерскую доставку, знать ваш ИНН или размер вашей заработной платы? Для их целей достаточно знать ФИО, адрес, контактные данные и, возможно, данные паспорта (или другого документа, удостоверяющего личность), чтобы убедиться, что вы именно тот получатель.

  • Шестой принцип или "принцип точности и актуальности" также относится к операторам.
  • И седьмой принцип гласит, что "хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных...".

Это означает, что после реализации цели, для которой персональные данные были получены, они должны быть уничтожены.

https://pixabay.com/
https://pixabay.com/

Условия обработки персональных данных

В РФ обработка персональных данных допускается в случае выполнения хотя бы одного из семи условий:

  • Обработка персональных данных осуществляется с согласия субъекта на обработку его персональных данных.

Полагаю, что каждый из вас не раз подписывал подобное согласие. Но скажите честно, вы хоть раз прочитали его полностью? В своих следующих публикациях я планирую разобрать согласие по полочкам, показать все подводные камни. Подписывайтесь, чтобы не пропустить:)

  • Обработка необходима для достижения целей, предусмотренных законом.

Если в каком-либо законе явно сказано, что вы должны предоставить тому или иному органу определенный набор персональных данных, то сбор и дальнейшая обработка будет осуществляться без согласия.

  • Обработка осуществляется в связи с участием лица в судопроизводстве / для исполнения судебного акта

Никто не будет брать с вас согласие на обработку ваших персональных данных, если вы являетесь одной из сторон в каком-нибудь судебном разбирательстве. Но это не отменяет действие принципов обработки, таких как соответствие целям, принцип минимизации и др.

  • Обработка необходима для исполнения договора, одной из сторон которого является субъект персональных данных

Всё тот же пример с курьерской службой - им не нужно брать с вас согласие на обработку, если они будут использовать ваши персональные данные исключительно для осуществления договора с вами, а именно - для доставки товара.

  • Если обработка необходима для защиты жизни и здоровья субъекта, но только в том случае, если получение его согласия невозможно.
  • Обработка необходима для осуществления прав и законных интересов оператора или третьих лиц.
  • Обработка необходима для осуществления профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной и иной творческой деятельности.

Но это не значит, что любой журналист может узнать о вас, всё что ему вздумается, и осветить в своей статье или выступлении на ТВ. Мы разберем с вами подробнее эту тему в следующих публикациях.

  • Обработка осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.

Что такое обезличивание мы с вами также разберем.

  • Осуществляется обработка персональных данных, которые субъект сделал общедоступными.

Будьте внимательны, когда подписываете согласие на обработку, ведь сами того не подозревая, вы можете сделать так, что ваши персональные данные станут общедоступными.

  • Осуществляется обработка персональных данных, подлежащих обязательному опубликованию в соответствии с федеральным законом.

Скорее всего, это к вам не относится, но есть категории людей, информация о которых должна быть раскрыта на всеобщее обозрение (например, сведения о доходах определенного перечня госслужащих должны быть опубликованы).

P.S.

В данной статье я постарался раскрыть вам основы, не погружаясь глубоко и не рассматривая нюансы. В дальнейшем мы с вами рассмотрим множество вопросов, связанных с приватностью, защитой персональных данных и информационной безопасностью. И я хочу узнать от вас, с чего мне начать. Пишите в комментариях ваши вопросы, и я отвечу, а самые интересные раскрою максимально подробно в виде статей.

Подписывайтесь на мой канал и я научу вас, как защитить свои персональные данные, реализовать свои права и многому другому из мира приватности😉