Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или неопределенному физическому лицу - субъекту персональных данных (статья 3 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных»). Так себе формулировка, должен заметить. Определение, которое ничего не определяет, точнее, которое можно распространить на что угодно, поскольку формулировка «относящаяся прямо или косвенно» даёт для этого неограниченные возможности.
Есть ощущение, что все примерно представляют, что это такое, тем более, что конституционные права, гарантирующие неприкосновенность частной жизни, например, никто не отменял. Но почему информацию, которую человек не намерен размещать в открытом доступе, должна храниться и использоваться третьими лицами, каким-то особенным образом, и почему для этого нужен специальный федеральный закон, это в голове укладывается с трудом.
По-моему, это – издевательство над законом, когда граждане по-прежнему подписывают «согласия» на обработку их персональных данных (ставят «галку» в нужном квадрате), и эти «согласия» считаются «соглашениями» с оператором. Содержание такого «соглашения» - в одной трафаретной фразе: «даю согласие на обработку моих персональных данных». На какой период это согласие дано? Ведь при такой формулировке все мы уже давно подписали соглашения на всю оставшуюся жизнь. Какие персональные данные и для каких целей передаются оператору? Каким образом он должен их использовать? Какую ответственность за это несет?
С точки зрения юридической, такое «согласие» – двухсторонняя сделка, которая не содержит в себе не только основных условий: в документе вообще нет больше ни одного слова. Следовательно, эта сделка юридически ничтожна и не может иметь никаких правовых последствий. Однако, если кто-то и высказывает свое неудовольствие, то лишь иногда, статей на эту тему попадается мало. Законодатель, как мне кажется, не торопится с дополнительным нормативно-правовым регулированием практики использования персональных данных, поскольку налицо субъективный фактор и гражданин самостоятельно должен определить, какие данные у него – персональные и каким образом он намерен их «сохранять». В такой ситуации нам остается лишь зафиксировать состояние проблемы, предварительно еще раз расставив приоритеты. При этом, чтобы хоть как-то ограничить область исследования, будем рассматривать защиту персональных данных от их незаконного использования в сети интернет. Удобно, как мне кажется, ведь только что закончил публиковать серию статей о «компьютерных инцидентах»: читатели пока еще – «в теме».
Законодательство делит персональные (личные) данные на разновидности, в зависимости от сложности получения, степени секретности и прав на использование третьими лицами. Основные разновидности:
Общие персональные данные — содержащие ключевую информацию о субъекте: Ф.И.О., дата рождения, адрес (регион, город, улица, дом, квартира), паспортные сведения, образование, место работы, уровень дохода и т.д. Если использовать их по отдельности, то нельзя говорить о том, что это сведения, относящиеся к персональным данным, поскольку идентифицировать личность, например, по одной только фамилии невозможно. В категорию ПДн они попадают в комбинированном варианте, в частности Ф.И.О. в сочетании с местом регистрации.
Биометрические — позволяющие определить биологические и физиологические отличительные черты конкретного физического лица, которые могут использоваться для установления его личности. Отпечатки пальцев, ДНК человека, радужная оболочка глаз, индивидуальные анатомические особенности. Наиболее востребованы подобные ПДн на таможне и в государственных органах, которые осуществляют выдачу виз и загранпаспортов, а также в современных системах идентификации.
Общедоступные персонифицированные данные - информация о благосостоянии известных людей (представителей власти и шоу-бизнеса, руководителей крупных предприятий и т.д.). Они присутствуют в открытых источниках и могут быть получены без дополнительных разрешений.
Обезличенные персональные данные, по которым невозможно определить их принадлежность к конкретному физическому лицу.
Специальные, присутствующие в личных делах, медицинских книжках, закрытых реестрах и т.д. Речь идет о философских и политических убеждениях, сексуальных предпочтениях, хронических заболеваниях, расовой и национальной принадлежности, вероисповедании. Чтобы с ними работать, нужно предварительно обеспечить санкционированный доступ, а именно — получить официальное согласие владельца в письменном виде.
Область применения персональных данных
Правильная классификация важна, поскольку дает оператору возможность организованно собирать ПДн, хранить и передавать их третьим лицам. Предприятиям понимание того, какая информация относится к персональным данным, необходимо для правильной организации их обработки, построения системы сбора и хранения ПДн и подбора эффективных мер по обеспечению их безопасности.
Что такое персональные (личные) данные, и кто вправе ими распоряжаться?
Уже отмечено, что в силу закона, персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. При этом каждый гражданин имеет гарантированное право на соблюдение тайны личной жизни, а государственные структуры и третьи лица не имеют права осуществлять контроль в данной сфере, если это не предусмотрено законодательством.
Формат предоставления согласия на получение и обработку – вопрос спорный, как мне кажется. Закон регулирует, кто именно и на каких условиях имеет право получать персональную информацию помимо её владельца. Выполнять операции с частными данными по разрешению субъекта может работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т.д. Но после достижения результата, ради которого осуществлялся сбор ПДн, оператор теряет право их использования и несёт ответственность в случае их намеренном разглашении. То есть, если следовать закону, то в соглашении между субъектом персональных данных и оператором должны быть указаны права и обязательства обеих сторон. Но это смотря какому закону следовать.
Парадокс в том, что в Федеральном законе №152-ФЗ «О персональных данных» записано, что формат предоставления согласия на получение и обработку может быть разным, например, в виде письменного заявления или проставленной галочки в онлайн-анкете. То есть, теперь эта «галочка» - вполне законная («нарушение закона обрело законное основание»). А ведь участников правоотношений – двое: субъект и оператор, права и обязанности у них тоже – на двоих. Возникают вопросы:
- кто несет ответственность за правильное использование персональных данных?
- какие персональные данные, каким образом и для каких целей используются оператором?
- в течение какого времени действует соглашение?
- каков порядок использования данных после превращения срока действия соглашения?
- на каких условиях субъект сотрудничает с оператором?
- какую ответственность несет оператор в случае нецелевого использования персональных данных?
- условия конфиденциальности.
Обратите внимание, какой внушительный (причем неполный) перечень вопросов, которые должны быть отражены в соглашении. Вместо этого, субъект ставит «галку» в нужном квадрате и с этого момента дает свое согласие на обработку собственных персональных данных. Дальше эти данные будут использовать все, кто захочет, для любых целей, причем субъекта никто даже не поставит в известность о происходящих событиях. При таком оформлении «соглашения» - результат вполне возможный.
Разумеется, в зависимости от характера персональных данных применяются специальные правила в отношении использования ПДн. Это обычно происходит в тех случаях, если:
• информация может содержать сведения, содержащие государственную тайну, коммерческую тайну предприятия, либо иную информацию, не предназначенную для открытого распространения;
• происходит урегулирование личных и семейных вопросов, при этом права других лиц не ущемляются;
• речь идет об архивных сведениях;
• есть судебный акт, устанавливающий использование персональных данных.
•
Что касается юридических лиц, то к персональным данным на сотрудника относится информация, позволяющая составить представление о нем, как о работнике (трудовой стаж деятельности, уровень квалификации и зарплаты, пенсионные и налоговые отчисления и т.д. Обязанность предприятия заключается в том, чтобы позаботиться об их защите и использовании для создания оптимальных условий развития профессиональных навыков и повышения квалификации. Кроме того, работодатель должен сообщить, как именно будут использоваться персональные данные физического лица.
Общее впечатление от изучения материалов по теме
Как мне кажется, начиная с 2006 года, когда в России был принят базовый закон о персональных данных, мы так и не определились с порядком его применения. Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне» Россией была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в этой сфере, для «внутреннего использования». В 2006 году Государственной думой РФ был принят базовый закон — Федеральный закон № 152-ФЗ «О персональных данных». Не покидает ощущение, что мало кто отчетливо понимает, каков порядок реализации этого закона. У меня, во всяком случае, этот процесс идет тяжеловато.
Не потому, что трудно уяснить содержание закона. Просто не могу понять, зачем нужен еще один федеральный закон, который не исполняется, не будет исполняться, поскольку никто толком на может объяснить, зачем он нужен? Чтобы таким образом закрепить в федеральном законе обязательства, принятые на себя Россией по упомянутой выше международной конвенции?
Что в этом случае «в сухом остатке»
Персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. При этом каждый гражданин имеет гарантированное право на соблюдение тайны личной жизни, а государственные структуры и третьи лица не имеют права осуществлять контроль в данной сфере, если это не предусмотрено законодательством. Субъекты могут сами принимать решение о предоставлении ПДн и рассчитывать на защиту от государства при нарушении их прав. Хочу спросить, а до принятия базового закона этого не было?
Считается, что в базовом законе 152-ФЗ четко прописано, кто и на каких условиях имеет право получать персональную информацию, помимо её владельца. Выполнять операции с частными данными по разрешению субъекта может работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т.д. Но есть важный момент — после достижения результата, ради которого осуществлялся сбор ПДн, оператор теряет право их использования и несёт ответственность при их намеренном разглашении. При таких формулировках утверждать, что в законе что-либо «четко прописано» я бы не стал.
Да еще упомянуты некие особые «специальные требования в отношении работы с персональными данными. Это в тех случаях, когда:
• информация составляет государственную тайну;
• происходит урегулирование личных и семейных вопросов, при этом права других лиц не ущемляются;
• речь идет об архивных сведениях;
• есть судебный акт об их предоставлении.
Да простит меня законодатель, но, если разглашаемая незаконно информация составляет государственную тайну, это уже иначе называется. Это уже совсем другая ответственность. С терминологией в этом случае нужно быть аккуратнее.
Наиболее благополучная сфера применения закона
А существует ли она, наиболее благополучная сфера применения закона? Считается, что в наибольшей степени законом и правоприменительной практикой урегулирован и отработан вопрос о том, что входит в состав персональных данных на персонал фирмы, Согласно Трудовому Кодексу РФ, к ПДн сотрудника относится информация, позволяющая составить представление о нем, как о работнике, то есть стаж деятельности, уровень квалификации и зарплаты, пенсионные и налоговые отчисления и так далее. Обязанность предприятия (работодателя) - позаботиться об их защите и использовании для создания оптимальных условий развития профессиональных навыков и повышения квалификации. Кроме того, работодатель должен сообщить, как именно будут использоваться персональные данные физического лица. Предварительно создаются и, затем, применяются специальные распорядительные документы (инструкции, чаще всего). Почему именно в сфере трудового права защита персональных данных выглядит достаточно внушительно? Да просто там это влияет на законные права работников, нарушать которые работодатель не рискует. Да и проверяющих в области соблюдения трудового законодательства всегда больше, чем в любой иной сфере. Нарушил закон – трудовая инспекция уже стучит в твои двери…
Сбор и использование персональных данных работодателем производится для решения следующих основных задач:
• профилактики разглашения корпоративной тайны и обеспечения сохранности имущества;
• предотвращение утечки закрытой информации, составляющей коммерческую тайну предприятия;
• борьба с промышленным шпионажем;
• профилактика использования конкурентами закрытой информации в конкурентной борьбе;
• профилактики трудовых споров на почве нарушений трудового законодательства, создание нормальных условий в трудовых коллективах;
• приема на работу и документального закрепления этого события;
• получения оснований для установления той или иной заработной платы;
• проверки выполнения персоналом возложенных на них обязанностей;
• выявления и подтверждения причин для перевода сотрудника на более высокую должность.
При желании, можно было бы расширить этот перечень, поскольку с точи зрения трудового законодательства существует много вопросов, которые невозможно решить без учета требований закона о защите персональных данных. Но это характерно лишь для определенных условий: для трудовых отношений на предприятиях и еще, пожалуй, для кадровых агентств.
В большинстве случаев, условия рынка диктуют совсем иные законы.
Процветающий незаконный бизнес
Наберите в поисковике фразу «пробить кандидата по центральным учетам». Результат многих удивит. За деньги, оказывается, можно «вывернуть наизнанку» любого гражданина, причем получить не только анализ материалов с упоминаниями объекта заинтересованности в открытых источниках, но и совершенно закрытые сведения из оперативных учетов всех основных правоохранительных структур. А ведь такого рода персональные данные правоохранители предоставляют только на основании запросов суда ли следствия.
О какой защите персональных данных после этого можно говорить? Обратитесь в коммерческий банк по вопросу кредитования, и вас «пробьют» по центральным учетам, в вашем же присутствии. А так называемое «Бюро кредитных историй»? А контроль налоговыми органами всех крупных сделок граждан свыше 100 000 рублей, существующий, наверное, уже лет двадцать? А новая практика контроля доходов и расходов граждан, введенная буквально недавно?
А неограниченные возможности купить (с рук или даже в торговом киоске на рынке) диск с базой данных практически любого закрытого ведомственного происхождения. То есть, персональные данные, которые мы намерены сохранять, давно продаются, сравнительно дешево, «оптом и в розницу». Давненько не бродил по рыночным торговым точкам, но еще совсем недавно можно было легко приобрести базы данных: по недвижимости на правах собственности; по залогам недвижимости; по адресам постоянной регистрации и паспортным данным; по учетам сделок с залогами автомашин в ГИБДД, а также по фактам привлечения к ответственности (уголовная и административная ответственность, оперативные учеты).
Как все это сопоставить с защитой персональных данных? Кто из нас и когда давал на это согласие? Кто вообще будет нас спрашивать? И зачем нужен закон, если документ этот - ни для кого законом не является?
Возвращаясь к заголовку статьи, задаю себе вопрос: чем закончилась моя вторая попытка оценить состояние проблемы защиты персональных данных? Видимо, этот как раз тот случай, когда можно обойтись без ответа и выводов.