Возможно, вы заметили, что перечень документов, который вы подписываете перед приемом у врача или при устройстве на работу, постоянно увеличивается. Частично это связано с обновлением федеральных и локальных правовых актов, регулирующих работу с персональными данными.
Что к ним относится и что мы подписываем, ставя соответствующую галочку на сайте, рассказываем в материале.
(Не)определенное лицо
Для начала давайте разберемся, что такое персональные данные (ПД). В России их сбор, обработка и использование регулируется федеральным законом № 152-ФЗ.
В нем персональные данные определены как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», или субъекту ПД.
В законе нет конкретного перечня данных, как правило, к персональным относят:
- фамилию, имя, отчество
- номер телефона, адрес электронной почты
- дату и место рождения
- адрес места жительства — постоянной или временной регистрации, фактического проживания
- серию и номер паспорта, ИНН, СНИЛС, данные водительского удостоверения
- сведения о трудовой деятельности
- реквизиты банковских или иных счетов, номер банковской карты и прочее.
Главное, что определяет персональные данные — возможность по ним идентифицировать конкретного человека.
Иногда по отдельности эти сведения не скажут ничего. Например, в маркетинговом опросе вы можете указать свои имя и фамилию, и этого недостаточно, чтобы определить личность. К тому же их можно выдумать ради этой задачи. А если к вашим Ф.И.О. добавить номер телефона и электронную почту, то по ним уже можно установить, кто именно оставлял ответы, то есть данные становятся персональными. Поэтому, кстати, не стоит выкладывать в соцсети фото найденных документов или чьих-то банковских карт в стремлении найти их владельцев — это тоже может быть расценено как раскрытие ПД.
Отпечатки, религия и телефонный справочник
Согласно №152-ФЗ, персональные данные делятся на группы:
• Общие. Те, что перечислены выше.
• Специальные. К ним относится расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, а также информация о состоянии здоровья и интимной жизни.
• Биометрические. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Важно также отметить, что персональные данные могут собираться в обезличенной форме — то есть такие сведения, сгруппированные по определенному признаку, не позволят в процессе их обработки определить принадлежность к конкретному субъекту ПД.
Также существуют ПД, которые используются для создания общедоступных источников. Например, телефонных или профессиональных справочников. В таком случае важное требование — согласие самого субъекта ПД на включение данных в эти источники. Они могут содержать Ф.И.О., год и место рождения, адрес, сведения о профессии и прочее.
К примеру, данные, которые человек опубликовал на своей странице в соцсетях, не являются общедоступными и не подразумевают автоматического согласия на их обработку или передачу третьим лицам. И их использование для коммерческих или маркетинговых целей без разрешения самого пользователя запрещено.
Иными словами, если человек написал «Ищу работу, контактный номер +7 (000) 000 00 00», а рекрутинговая компания включила его контакт в базу рассылки, то у него есть полное право обратиться в Роскомнадзор (РКН).
Понятная цель, однозначное «да»
Общее правило для работы с ПД — все действия с персональными данными физлиц возможны только с их добровольного согласия.
Согласно поправкам в № 152-ФЗ, с 1 сентября 2025 г. согласие на обработку персональных данных должно быть оформлено самостоятельным документом. Его нельзя включать в другие документы — договоры, пользовательские соглашения, политики конфиденциальности, оферты и другое. Также запрещено смешивать несколько видов согласий на обработку ПД в одно. Кроме того, обновилась форма согласия на размещение и обработку персональных данных в Единой биометрической системе.
Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным, говорится в статье 9 № 152-ФЗ. В нем должны быть четко приписаны цель обработки персональных данных, их перечень, объем, срок хранения, способ обработки. При этом и объем, и формат обработки ПД должны соответствовать указанной цели. Иными словами, для создания телефонного справочника ни к чему ваш ИНН.
Все эти параметры определяет оператор ПД — государственный или муниципальный орган, юридическое или физическое лицо. Он же осуществляет сбор, обработку, хранение, обезличивание и уничтожение персональных данных. Сведения об операторе также должны быть указаны в согласии на обработку. При этом оператор может передавать эти работы третьим лицам, о чем уведомляет субъект ПД в том же согласии, оставляя за собой всю ответственность за действия с данными.
Оператор ПД обязан соблюдать комплекс строгих правил. В первую очередь определить правовое основание обработки, соблюсти ряд юридических, организационных и технических мер для работы с ПД и их защиты, подать уведомление в РКН на включение в реестр операторов персональных данных.
За нарушение установленного порядка предусмотрен штраф до 300 тыс. руб., столько же, например, за несовпадение целей обработки данных с заявленными в согласии на обработку. Также предусмотрены штрафы за нарушение конфиденциальности данных, утечку, в том числе повторную. Кроме того, за распространение персональных данных и получение доступа к ним незаконным путем грозит лишение свободы.
Просто нажать delete не получится
С 2021 г. субъект ПД имеет право обратиться к любому оператору ПД с требованием удалить их из общего доступа без дополнительного доказывания неправомерности обработки персональных данных. Ранее человеку необходимо было доказать, что персональные данные неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки. Если оператор откажет в требовании, следует обратиться в Роскомнадзор или судебные инстанции.
Уничтожение персональных данных — не просто удаление файла или утилизация документов. Это регламентированный процесс, в результате которого восстановление информации будет невозможным. Регулируется № 152-ФЗ и отдельным приказом Роскомнадзора № 179 от 28.10.2022.
Больше полезной информации для инвесторов вы найдете на BCS Express.