Виды персональных данных

Какие есть виды персональных данных

В соответствии с п. 2.5, 2.6 и 2.7 Методических рекомендаций, утвержденных Приказом Роскомнадзора от 30.05.2017 № 94, персданные можно разделить на 3 группы:

• общие;
• специальные;
• биометрические;
• иные.

Общие

Это любые сведения, прямо или косвенно относящиеся к конкретному физлицу:

• ФИО;
• дата и место рождения;
• адрес;
• семейное и имущественное положение;
• образование;
• доходы;
• любые другие сведения о человеке.

Специальные

Сюда мы отнесем все категории персональных данных, касающиеся:

• расовой и национальной принадлежности;
• общественно-политических взглядов;
• религии;
• философских убеждений;
• состояния здоровья;
• интимной жизни.

Биометрические

Биометрия — информация, характеризующая физиологические и биологические особенности личности и позволяющая установить эту самую личность точно. К таким сведениям, как нам разъясняют письма Минцифры России от 17.07.2020 № ОП-П24-070-19433 и Роскомнадзора от 10.02.2020 № 08АП-6782, относятся:

• дактилоскопические данные;
• голос;
• данные ДНК;
• радужная оболочка глаз;
• изображение человека (между прочим, сюда относятся даже фотографии и видеозаписи);
• иные биологические или физиологические характеристики, позволяющие идентифицировать человека.

Данные квалифицируются как биометрические при соблюдении условий:

• они признаны такими на законодательном уровне;
• отражают физиологические и биологические особенности гражданина, позволяющие установить его (или ее) личность;
• используются оператором персданных для установления личности гражданина.

Прочие

В данную категорию попадает личная информация, не включенная в другие виды. Например, геолокация, членство в какой-либо организации и т.п. Отличия этого вида персональных данных:

• возможность частого изменения;
• по своей сути являются дополнительными сведениями, не характеризующими личность.

С какими типами персональных данных работают на предприятиях

В любой организации есть штат работников. Независимо от их количества работодателю приходится иметь дело с персональными данными работников. Сведения, характеризующие человека как работника, собираются, обрабатываются и хранятся. К таким характеристикам относится образование, стаж работника, его заработная плата и пр.

Помимо этого, ряд организаций, занимающихся торговлей или оказанием услуг физлицам, имеет дело с персданными клиентов.

Может пригодиться: как составить положение о персональных данных работников

Кто такие оператор и субъект персональных данных

Действующее законодательство определяет оператора персданных как лицо, которое самостоятельно или совместно с другими лицами:

• организует и осуществляет обработку индивидуальной информации о человеке;
• определяет цели такой обработки;
• определяет состав персданных, попадающих в обработку;
• определяет действия, которые он с ними производит или планирует производить.

В роли оператора вправе выступать:

• государственные и муниципальные органы;
• юридические лица;
• физлица.

Подробнее: как стать оператором персданных в реестре Роскомнадзора

Обязанности оператора персональных данных по их обработке, защите и хранению

Обязанности оператора персданных определены главой 4 Федерального закона от 27.07.2006 № 152-ФЗ. К ним относятся:

• уведомление Роскомнадзора об обработке персональных данных;
• получение согласия субъекта персданных на обработку;
• издание локальных нормативных актов по вопросам обработки индивидуальных сведений;
• обеспечение безопасности имеющихся сведений;
• оценка потенциального вреда человеку при нарушении законодательства о персданных;
• ознакомление работников, занимающихся обработкой индивидуальных сведений, с положениями законодательства;
• иные обязанности в соответствии с действующим законодательством.

Ответственность за нарушение правил обработки персональных данных

Небрежное отношение к индивидуальным сведениям может повлечь не только административную, но уголовную ответственность.

Административная ответственность установлена не только за нарушение правил обработки индивидуальных сведений, но и за:

• неисполнение обязанностей при взаимодействии с субъектом персданных;
• ненадлежащее исполнение требований по их защите;
• неисполнение обязанностей при взаимодействии с Роскомнадзором.

При обработке информации оператора могут привлечь к ответственности в следующих случаях:

Отдельной нормы об ответственности за нарушение обработки индивидуальных сведений о гражданах в УК РФ нет. Однако лицо может быть привлечено к уголовной ответственности, в частности, за:

• незаконное распространение информации, составляющей личную и семейную тайну гражданина, без его согласия (ч. 1 ст. 137 УК РФ);
• неправомерный доступ к базе данных, который позволил произвести какие-либо действия с информацией (ч. 1 ст. 272 УК РФ, п. 3 Постановления Пленума Верховного Суда РФ от 15.12.2022 № 37);
• неправомерный отказ должностного лица в предоставлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).

К уголовной ответственности возможно привлечение только физлица (ст. 19 УК РФ).

Подробнее: судебная практика по спорам о защите персональных данных

Разбираем на примерах: что относится к персональным данным

Перечень сведений, являющихся персональными данными, в законодательстве четко не поименован и является открытым. Определение включения каких-либо сведений в состав персональных данных конкретного лица происходит индивидуально. Компании занимаются обработкой данных не только сотрудников, но и клиентов, партнеров и пр. Когда сетевые идентификаторы, фотографии и видеозаписи, зарплата и образование будут персданными, зачастую зависит от конкретной ситуации.

Паспортные данные

С учетом норм действующего законодательства и судебной практики можно определить паспортные данные как информацию о:

• документе (серия, номер, дата выдачи, наименование выдавшего органа, код подразделения);
• владельце паспорта (ФИО, дата и место рождения, прописка, семейное положение, сведения о детях).

Сведения о владельце документа позволяют установить его личность и однозначно являются персональными данными. А вот относительно сведений о самом документе позиции судов расходятся. Серия и номер бланка документа отнесены к персональным данным:

• Определением Верховного Суда РФ от 08.09.2020 № 308-ЭС20-11154 по делу № А63-13382/2019;
• Апелляционным определением Верховного Суда Республики Адыгея от 26.01.2018 по делу № 33-42/2018;
• Определением Московского городского суда от 13.05.2019 № 4г-4164/19.

Значительно чаще суды делали вывод, что эти сведения относятся к самому бланку документа, а не к его владельцу:

• постановление Седьмого арбитражного апелляционного суда от 05.04.2018 № 07АП-1437/2018 по делу № А45-31682/2017;
• постановление Седьмого арбитражного апелляционного суда от 19.03.2018 № 07АП-1435/2018 по делу № А45-31683/2017;
• постановление Девятого арбитражного апелляционного суда от 02.11.2010 № 09АП-23673/2010-ГК по делу № А40-30314/09-45-201;
• постановление Тринадцатого арбитражного апелляционного суда от 21.06.2010 по делу № А56-4788/2010;
• Определение Московского городского суда от 17.09.2012 № 4г/6-7692;
• Определение Московского городского суда от 29.02.2012 по делу № 33-6709.

Паспортные данные отнесены к персональным данным ст. 84 НК РФ. Так как номер и серия паспорта совместно с ФИО и другими данными позволяют идентифицировать гражданина — целесообразно включать их в состав персданных. Роскомнадзор и суды неоднократно расценивали хранение копий паспортов как избыточный объем обрабатываемых персданных работников:

• постановление ФАС Северо-Кавказского округа от 11.03.2014 по делу № А53-10287/2013;
• Решение АС Ростовской области от 14.11.2013 по делу № А53-12557/2013.

А вот информация о наименовании органа, выдавшего паспорт, дата выдачи и код подразделения к персональным данным не относятся.

ИНН и СНИЛС

СНИЛС — страховой номер индивидуального лицевого счета физлица. И СФР в разъяснениях на своем официальном сайте, и Президиум Верховного Суда РФ в Постановлении Президиума Верховного Суда РФ от 27.09.2017 отнесли СНИЛС к персданным.

А вот относительно включения в состав индивидуальных сведений ИНН единого мнения нет. Например, Минфин РФ в письмах от 12.02.2020 № 03-01-11/9505, от 28.01.2020 № 03-01-11/4925, от 19.01.2021 № 03-01-11/2330, от 15.01.2021 № 03-01-11/1380, от 12.01.2021 № 03-01-11/343, от 12.01.2021 № 03-01-11/347 озвучил позицию, что ИНН — цифровая последовательность, включающая в себя код налогового органа, порядковый номер записи в ЕГРН и контрольное число, и она не является информацией, входящей в перечень персданных. При этом п. 5 ст. 213.7 Федерального закона от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)» относит СНИЛС и ИНН к сведениям, позволяющим провести идентификацию гражданина. Правительство РФ в постановлении от 05.10.2017 № 1212 также отнесло СНИЛС и ИНН в персданным, требующим согласие на их обработку.

Видимо, следует придерживаться вывода, что сам по себе ИНН к индивидуальным сведениям не относится, но если он используется вместе с прочими сведениями о человеке (например, ФИО), то его следует включать в состав персданных.

Номера телефонов

Сам по себе абонентский телефон представляет собой набор цифр и персональными данными не является. Не войдет в перечень персданных и телефонный номер, зарегистрированный на юрлицо, даже если его станет использовать один сотрудник. Однако он может стать средством идентификации, если будет прямо или косвенно относиться к конкретному физлицу (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ). Тогда в отношении его начнут действовать и нормы законодательства о персональных данных.

Адрес места жительства

А вот что касается адреса, то здесь разночтений нет. И законодательство, и судебная практика относят место жительства к персональным данным. Ст. 152.2 ГК РФ содержит норму, определяющую место пребывания или жительства человека как часть его частной жизни.

Адрес электронной почты

Относительно адреса электронной почты как отнесение к персданным ситуация аналогична номерам телефонов. Существует судебная практика, относящая е-мейлы к индивидуальным сведениям. Например, Решение Калининского районного суда города Санкт-Петербурга по делу № 12-253/2015 от 26.05.2015. Роскомнадзор в разъяснениях указывал, что наличие в адресе электронной почты ФИО владельца позволяет отнести ее в состав персональных данным. Адрес электронки, представляющий собой абстрактное слово или набор символов, индивидуальными сведениями являться не будет.

Состояние здоровья

Нормами ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ состояние здоровья относится к специальным категориям персданных. Чтобы понять, что попадает под определение «состояние здоровья», стоит обратиться к ч. 1 ст. 22 Федерального закона от 21.11.2011 № 323-ФЗ. К сведениям о состоянии здоровья относятся:

• результаты медицинского обследования;
• наличие заболевания;
• установленные диагнозы;
• информация о развитии заболевания;
• возможные виды медицинского вмешательства;
• результаты оказания медицинской помощи;
• и т.п.

Номер автомобиля

В соответствии с п. 37 Правил госрегистрации транспортных средств... (утв. постановлением Правительства РФ от 21.12.2019 № 1764) государственный номер присваивается транспортному средству. При этом ни госномер, ни VIN не отражают связи с владельцем автомобиля. Вывод таков, что номера транспортных средств без указания их собственников к персональным данным не относятся. Такой же позиции придерживаются и суды. Например, Решение Краснодарского УФАС России от 18.02.2020 № 023/10/18.1-563/2020.

Фотографии

В 2013 году Роскомнадзор публиковал разъяснения относительно отнесения фото и видеоизображений к биометрическим сведениям о человеке. В ноябре 2021 года разъяснения были объявлены неактуальными и удалены с сайта, но подход, озвученный Роскомнадзором в 2013 году, продолжает использоваться различными ведомствами. Например, в Методических рекомендациях (Письмо от 28.08.2020 № ЛБ-С-074-24059) Минкомсвязи России фотографии отнесены к биометрии человека, так как они характеризуют физиологические и биологические индивидуальные особенности человека.

Исходя из этого условия, не относятся в индивидуальным сведениям о физическом лице:

• скан и ксерокопия паспорта, сделанные в качестве подтверждения осуществления конкретным человеком определенных действий без проведения процедуры установления личности. Например, при заключении договора на оказание медуслуг;
• фотография в личном деле работника;
• рентгеновские или флюорографические снимки, находящиеся в истории болезни (медицинской карте) пациента;
• материалы фото- и видеосъемки в публичных местах и на охраняемой территории.

Профили в социальных сетях

Персданные признаются общедоступными при выполнении двух условий:

• предоставлены непосредственно владельцем;
• доступны неопределенному кругу лиц.

К такому выводу суды пришли еще в 2017 году (Решение Арбитражного суда г. Москвы от 05.05.2017 по делу № А40-5250/17-144-51). Поэтому, несмотря на общедоступность сведений, сбор и обработка данных профилей в соцсетях регулируются законодательством о персональных данных.

Полезно знать:

• как составить согласие на обработку персональных данных;
• каковы последствия отзыва согласия на обработку персданных.