Что такое персональные данные? Может все проще чем кажется? Или, наоборот, сложнее?

Какие сведения относятся к персональным данным? Казалось бы, банальный вопрос. Откройте закон и посмотрите термин. Но не все так просто.

1. Термин нечеткий и не однозначный,
2. Судебная практика противоречива,
3. Разъяснений Роскомнадзора слишком мало для формирования единого понимания.

А пока мы, как пользователи, не разберемся какие данные человека относятся к персональным данным, то и построить нормально систему защиты этих самых персональных данных нормально не сможем.

Вот почему на практике часто встречается полная ерунда:
• Компании берут согласие с работников на передачу их данных в военкоматы и налоговые органы, но не берут на передачу для оформления полиса ДМС,
• Компании пытаются защищать каждую кадровую бумажку где фигурирует хоть какая то информация о работнике, но при этом публично вывешены фотографии работников с днями рождениями, и данные вносятся в базы данных хранимых в облаке,
• Компания собирает много лишней (избыточной) информации, запрещенной законом, не объясняя цели такого сбора, но при получении документов о наличии ребенка для предоставления льгот берет согласие с работника, который сам принес эти данные и прописывает цели такого сбора данных.

На фоне такой сложности, многие компании целенаправленно приняли решение ограничиться формальным подходом к защите персональных данных, с мотивировкой:
• «НИЧЕГО НЕ ПОНЯТНО»
• или «ТРЕБОВАНИЙ СЛИШКОМ МНОГО, МЫ ФИЗИЧЕСКИ ВСЕ НЕ СМОЖЕМ СДЕЛАТЬ, НЕТ РЕСУРСА».

Определив же для себя, «очертив четко границы термина», мы сможем объективно оценить:
• Что надо делать, а что не надо?
• Что критично, а что не так критично?
• Что надо защищать, а где будет явный перебор?
• И т.д.

Анализируя определения в законодательстве (152-ФЗ, в Указе Президента №188, в «Конвенции о защите физических лиц при автоматизированной обработке персональных данных" (Страсбург 28.01.1981) ратифицирована в России), рекомендую принять следующее правило отнесения информации к персональным данным:
1. Информация имеет отношение к конкретному физическому лицу,
2. Информация позволяет идентифицировать конкретное физическое лицо (прямо или опосредованно (косвенно)).

Идентификация или отнесение сведений к КОНКРЕТНОМУ субъекту (человеку) возможно только при возможности соотнесения соответствующей информации с фамилией, именем и отчеством (при наличии) конкретного человека.

В частности многие сведения, которые предоставляет работник (или кандидат) или работодатель использует в трудовых отношениях сами по себе не могут быть отнесены к персональным данным, без добавления идентификатора в виде ФИО:
• Дата рождения,
• Семейное положение,
• Информация о наличии детей,
• Информация о состоянии здоровья,
• Табельный номер,
• Должность,
• И др.
Но как только к ним «присоединяется» ФИО такие сведения становятся персональными данными. Или сочетание сведений может давать возможности косвенной идентификации человека или информации, принадлежащей конкретному человеку.

РЕКОМЕНДАЦИЯ:
В локальном акте, (оптимально, в Политике, которая размещена на сайте компании) дать определение и толкование этого термина в своей организации и выстраивать систему работы с персональными данными в компании через призму своего толкования данного термина.