Вирт Юлия
10 052

Виды персональных данных

Понимание, что такое персональные данные и их виды, позволяет определить требования законодательства к их защите. Непринятие мер защиты индивидуальных сведений или недостаточность такой защиты является основанием привлечения компании к ответственности.  

Содержание

Какие есть виды персональных данных

В соответствии с п. 2.5, 2.6 и 2.7 Методических рекомендаций, утвержденных Приказом Роскомнадзора от 30.05.2017 № 94, персданные можно разделить на 3 группы:

  • общие;
  • специальные;
  • биометрические;
  • иные.

Общие

Это любые сведения, прямо или косвенно относящиеся к конкретному физлицу:

  • ФИО;
  • дата и место рождения;
  • адрес;
  • семейное и имущественное положение;
  • образование;
  • доходы;
  • любые другие сведения о человеке.

Специальные

Сюда мы отнесем все категории персональных данных, касающиеся:

  • расовой и национальной принадлежности;
  • общественно-политических взглядов;
  • религии;
  • философских убеждений;
  • состояния здоровья;
  • интимной жизни.

Биометрические

Биометрия — информация, характеризующая физиологические и биологические особенности личности и позволяющая установить эту самую личность точно. К таким сведениям, как нам разъясняют письма Минцифры России от 17.07.2020 № ОП-П24-070-19433 и Роскомнадзора от 10.02.2020 № 08АП-6782, относятся:

  • дактилоскопические данные;
  • голос;
  • данные ДНК;
  • радужная оболочка глаз;
  • изображение человека (между прочим, сюда относятся даже фотографии и видеозаписи);
  • иные биологические или физиологические характеристики, позволяющие идентифицировать человека.

Данные квалифицируются как биометрические при соблюдении условий:

  • они признаны такими на законодательном уровне;
  • отражают физиологические и биологические особенности гражданина, позволяющие установить его (или ее) личность;
  • используются оператором персданных для установления личности гражданина.

Прочие

В данную категорию попадает личная информация, не включенная в другие виды. Например, геолокация, членство в какой-либо организации и т.п. Отличия этого вида персональных данных:

  • возможность частого изменения;
  • по своей сути являются дополнительными сведениями, не характеризующими личность.

С какими типами персональных данных работают на предприятиях

В любой организации есть штат работников. Независимо от их количества работодателю приходится иметь дело с персональными данными работников. Сведения, характеризующие человека как работника, собираются, обрабатываются и хранятся. К таким характеристикам относится образование, стаж работника, его заработная плата и пр.

Помимо этого, ряд организаций, занимающихся торговлей или оказанием услуг физлицам, имеет дело с персданными клиентов.

ВАЖНО!
В обоих случаях сбору и хранению подлежит только информация, необходимая организации для рабочих процессов.
Может пригодиться: как составить положение о персональных данных работников

Кто такие оператор и субъект персональных данных

Действующее законодательство определяет оператора персданных как лицо, которое самостоятельно или совместно с другими лицами:

  • организует и осуществляет обработку индивидуальной информации о человеке;
  • определяет цели такой обработки;
  • определяет состав персданных, попадающих в обработку;
  • определяет действия, которые он с ними производит или планирует производить.

В роли оператора вправе выступать:

  • государственные и муниципальные органы;
  • юридические лица;
  • физлица.
ВАЖНО!
Статус оператора при сборе и обработке персональных данных присваивается независимо от включения в реестр, который ведет Роскомнадзор.
Подробнее: как стать оператором персданных в реестре Роскомнадзора

Обязанности оператора персональных данных по их обработке, защите и хранению

Обязанности оператора персданных определены главой 4 Федерального закона от 27.07.2006 № 152-ФЗ. К ним относятся:

  • уведомление Роскомнадзора об обработке персональных данных;
  • получение согласия субъекта персданных на обработку;
  • издание локальных нормативных актов по вопросам обработки индивидуальных сведений;
  • обеспечение безопасности имеющихся сведений;
  • оценка потенциального вреда человеку при нарушении законодательства о персданных;
  • ознакомление работников, занимающихся обработкой индивидуальных сведений, с положениями законодательства;
  • иные обязанности в соответствии с действующим законодательством.

Ответственность за нарушение правил обработки персональных данных

Небрежное отношение к индивидуальным сведениям может повлечь не только административную, но уголовную ответственность.

Административная ответственность установлена не только за нарушение правил обработки индивидуальных сведений, но и за:

  • неисполнение обязанностей при взаимодействии с субъектом персданных;
  • ненадлежащее исполнение требований по их защите;
  • неисполнение обязанностей при взаимодействии с Роскомнадзором.

При обработке информации оператора могут привлечь к ответственности в следующих случаях:

Нарушение Статья КоАП Ответственность
Должностное лицо Юрлицо
Обработка в непредусмотренных законодательством случаях Ч. 1 ст. 13.11 штраф 10 000–20 000 руб. штраф 60 000–100 000 руб.
Цели несовместимы с целями сбора Ч. 1 ст. 13.11 штраф 10 000–20 000 руб. штраф 60 000–100 000 руб.
При отсутствии согласия субъекта или согласие с неполными данными Ч. 1 ст. 13.11 штраф 20 000–40 000 руб. штраф 30 000–150 000 руб.
С использованием баз данных, находящихся за границей России Ч. 8 ст. 13.11 штраф 100 000–200 000 руб. штраф 1 000 000– 6 000 000 руб.
ВАЖНО!
При повторном правонарушении предусмотрено увеличение штрафных санкций.

Отдельной нормы об ответственности за нарушение обработки индивидуальных сведений о гражданах в УК РФ нет. Однако лицо может быть привлечено к уголовной ответственности, в частности, за:

  • незаконное распространение информации, составляющей личную и семейную тайну гражданина, без его согласия (ч. 1 ст. 137 УК РФ);
  • неправомерный доступ к базе данных, который позволил произвести какие-либо действия с информацией (ч. 1 ст. 272 УК РФ, п. 3 Постановления Пленума Верховного Суда РФ от 15.12.2022 № 37);
  • неправомерный отказ должностного лица в предоставлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).

К уголовной ответственности возможно привлечение только физлица (ст. 19 УК РФ).

ВАЖНО!
Привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности юрлицо (ч. 3 ст. 2.1 КоАП РФ).
Подробнее: судебная практика по спорам о защите персональных данных

Разбираем на примерах: что относится к персональным данным

Перечень сведений, являющихся персональными данными, в законодательстве четко не поименован и является открытым. Определение включения каких-либо сведений в состав персональных данных конкретного лица происходит индивидуально. Компании занимаются обработкой данных не только сотрудников, но и клиентов, партнеров и пр. Когда сетевые идентификаторы, фотографии и видеозаписи, зарплата и образование будут персданными, зачастую зависит от конкретной ситуации.

Паспортные данные

С учетом норм действующего законодательства и судебной практики можно определить паспортные данные как информацию о:

  • документе (серия, номер, дата выдачи, наименование выдавшего органа, код подразделения);
  • владельце паспорта (ФИО, дата и место рождения, прописка, семейное положение, сведения о детях).

Сведения о владельце документа позволяют установить его личность и однозначно являются персональными данными. А вот относительно сведений о самом документе позиции судов расходятся. Серия и номер бланка документа отнесены к персональным данным:

Значительно чаще суды делали вывод, что эти сведения относятся к самому бланку документа, а не к его владельцу:

Паспортные данные отнесены к персональным данным ст. 84 НК РФ. Так как номер и серия паспорта совместно с ФИО и другими данными позволяют идентифицировать гражданина — целесообразно включать их в состав персданных. Роскомнадзор и суды неоднократно расценивали хранение копий паспортов как избыточный объем обрабатываемых персданных работников:

А вот информация о наименовании органа, выдавшего паспорт, дата выдачи и код подразделения к персональным данным не относятся.

ИНН и СНИЛС

СНИЛС — страховой номер индивидуального лицевого счета физлица. И СФР в разъяснениях на своем официальном сайте, и Президиум Верховного Суда РФ в Постановлении Президиума Верховного Суда РФ от 27.09.2017 отнесли СНИЛС к персданным.

А вот относительно включения в состав индивидуальных сведений ИНН единого мнения нет. Например, Минфин РФ в письмах от 12.02.2020 № 03-01-11/9505, от 28.01.2020 № 03-01-11/4925, от 19.01.2021 № 03-01-11/2330, от 15.01.2021 № 03-01-11/1380, от 12.01.2021 № 03-01-11/343, от 12.01.2021 № 03-01-11/347 озвучил позицию, что ИНН — цифровая последовательность, включающая в себя код налогового органа, порядковый номер записи в ЕГРН и контрольное число, и она не является информацией, входящей в перечень персданных. При этом п. 5 ст. 213.7 Федерального закона от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)» относит СНИЛС и ИНН к сведениям, позволяющим провести идентификацию гражданина. Правительство РФ в постановлении от 05.10.2017 № 1212 также отнесло СНИЛС и ИНН в персданным, требующим согласие на их обработку.

Видимо, следует придерживаться вывода, что сам по себе ИНН к индивидуальным сведениям не относится, но если он используется вместе с прочими сведениями о человеке (например, ФИО), то его следует включать в состав персданных.

Номера телефонов

Сам по себе абонентский телефон представляет собой набор цифр и персональными данными не является. Не войдет в перечень персданных и телефонный номер, зарегистрированный на юрлицо, даже если его станет использовать один сотрудник. Однако он может стать средством идентификации, если будет прямо или косвенно относиться к конкретному физлицу (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ). Тогда в отношении его начнут действовать и нормы законодательства о персональных данных.

Адрес места жительства

А вот что касается адреса, то здесь разночтений нет. И законодательство, и судебная практика относят место жительства к персональным данным. Ст. 152.2 ГК РФ содержит норму, определяющую место пребывания или жительства человека как часть его частной жизни.

Адрес электронной почты

Относительно адреса электронной почты как отнесение к персданным ситуация аналогична номерам телефонов. Существует судебная практика, относящая е-мейлы к индивидуальным сведениям. Например, Решение Калининского районного суда города Санкт-Петербурга по делу № 12-253/2015 от 26.05.2015. Роскомнадзор в разъяснениях указывал, что наличие в адресе электронной почты ФИО владельца позволяет отнести ее в состав персональных данным. Адрес электронки, представляющий собой абстрактное слово или набор символов, индивидуальными сведениями являться не будет.

ВАЖНО!
Абстрактный набор символов в адресе электронной почты не будет являться основанием не включать его в состав индивидуальных сведений, если ее владелец при предоставлении оператору электронки дополнительно указывает свои ФИО.

Состояние здоровья

Нормами ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ состояние здоровья относится к специальным категориям персданных. Чтобы понять, что попадает под определение «состояние здоровья», стоит обратиться к ч. 1 ст. 22 Федерального закона от 21.11.2011 № 323-ФЗ. К сведениям о состоянии здоровья относятся:

  • результаты медицинского обследования;
  • наличие заболевания;
  • установленные диагнозы;
  • информация о развитии заболевания;
  • возможные виды медицинского вмешательства;
  • результаты оказания медицинской помощи;
  • и т.п.
ВАЖНО!
Абз. 7 ст. 88 ТК РФ запрещает работодателю запрашивать сведения о состоянии здоровья работника, за исключением касающихся его трудоспособности.

Номер автомобиля

В соответствии с п. 37 Правил госрегистрации транспортных средств... (утв. постановлением Правительства РФ от 21.12.2019 № 1764) государственный номер присваивается транспортному средству. При этом ни госномер, ни VIN не отражают связи с владельцем автомобиля. Вывод таков, что номера транспортных средств без указания их собственников к персональным данным не относятся. Такой же позиции придерживаются и суды. Например, Решение Краснодарского УФАС России от 18.02.2020 № 023/10/18.1-563/2020.

Фотографии

В 2013 году Роскомнадзор публиковал разъяснения относительно отнесения фото и видеоизображений к биометрическим сведениям о человеке. В ноябре 2021 года разъяснения были объявлены неактуальными и удалены с сайта, но подход, озвученный Роскомнадзором в 2013 году, продолжает использоваться различными ведомствами. Например, в Методических рекомендациях (Письмо от 28.08.2020 № ЛБ-С-074-24059) Минкомсвязи России фотографии отнесены к биометрии человека, так как они характеризуют физиологические и биологические индивидуальные особенности человека.

ВАЖНО!
Одно из условий отнесении биометрии человека к персданным — использование при идентификации личности.

Исходя из этого условия, не относятся в индивидуальным сведениям о физическом лице:

  • скан и ксерокопия паспорта, сделанные в качестве подтверждения осуществления конкретным человеком определенных действий без проведения процедуры установления личности. Например, при заключении договора на оказание медуслуг;
  • фотография в личном деле работника;
  • рентгеновские или флюорографические снимки, находящиеся в истории болезни (медицинской карте) пациента;
  • материалы фото- и видеосъемки в публичных местах и на охраняемой территории.

Профили в социальных сетях

Персданные признаются общедоступными при выполнении двух условий:

  • предоставлены непосредственно владельцем;
  • доступны неопределенному кругу лиц.
ВАЖНО!
Заниматься обработкой такой информации операторы вправе только с согласия владельца индивидуальных сведений, за исключением случаев, установленных законом.

К такому выводу суды пришли еще в 2017 году (Решение Арбитражного суда г. Москвы от 05.05.2017 по делу № А40-5250/17-144-51). Поэтому, несмотря на общедоступность сведений, сбор и обработка данных профилей в соцсетях регулируются законодательством о персональных данных.

Полезно знать: