Понимание, что такое персональные данные и их виды, позволяет определить требования законодательства к их защите. Непринятие мер защиты индивидуальных сведений или недостаточность такой защиты является основанием привлечения компании к ответственности.
Навигация
Какие есть виды персональных данных
В соответствии с п. 2.5, 2.6 и 2.7 Методических рекомендаций, утвержденных Приказом Роскомнадзора от 30.05.2017 № 94, персданные можно разделить на 3 группы:
- общие;
- специальные;
- биометрические;
- иные.
Общие
Это любые сведения, прямо или косвенно относящиеся к конкретному физлицу:
- ФИО;
- дата и место рождения;
- адрес;
- семейное и имущественное положение;
- образование;
- доходы;
- любые другие сведения о человеке.
Специальные
Сюда мы отнесем все категории персональных данных, касающиеся:
- расовой и национальной принадлежности;
- общественно-политических взглядов;
- религии;
- философских убеждений;
- состояния здоровья;
- интимной жизни.
Биометрические
Биометрия — информация, характеризующая физиологические и биологические особенности личности и позволяющая установить эту самую личность точно. К таким сведениям, как нам разъясняют письма Минцифры России от 17.07.2020 № ОП-П24-070-19433 и Роскомнадзора от 10.02.2020 № 08АП-6782, относятся:
- дактилоскопические данные;
- голос;
- данные ДНК;
- радужная оболочка глаз;
- изображение человека (между прочим, сюда относятся даже фотографии и видеозаписи);
- иные биологические или физиологические характеристики, позволяющие идентифицировать человека.
Данные квалифицируются как биометрические при соблюдении условий:
- они признаны такими на законодательном уровне;
- отражают физиологические и биологические особенности гражданина, позволяющие установить его (или ее) личность;
- используются оператором персданных для установления личности гражданина.
Прочие
В данную категорию попадает личная информация, не включенная в другие виды. Например, геолокация, членство в какой-либо организации и т.п. Отличия этого вида персональных данных:
- возможность частого изменения;
- по своей сути являются дополнительными сведениями, не характеризующими личность.
С какими типами персональных данных работают на предприятиях
В любой организации есть штат работников. Независимо от их количества работодателю приходится иметь дело с персональными данными работников. Сведения, характеризующие человека как работника, собираются, обрабатываются и хранятся. К таким характеристикам относится образование, стаж работника, его заработная плата и пр.
Помимо этого, ряд организаций, занимающихся торговлей или оказанием услуг физлицам, имеет дело с персданными клиентов.
Может пригодиться: как составить положение о персональных данных работников
Кто такие оператор и субъект персональных данных
Действующее законодательство определяет оператора персданных как лицо, которое самостоятельно или совместно с другими лицами:
- организует и осуществляет обработку индивидуальной информации о человеке;
- определяет цели такой обработки;
- определяет состав персданных, попадающих в обработку;
- определяет действия, которые он с ними производит или планирует производить.
В роли оператора вправе выступать:
- государственные и муниципальные органы;
- юридические лица;
- физлица.
Подробнее: как стать оператором персданных в реестре Роскомнадзора
Обязанности оператора персональных данных по их обработке, защите и хранению
Обязанности оператора персданных определены главой 4 Федерального закона от 27.07.2006 № 152-ФЗ. К ним относятся:
- уведомление Роскомнадзора об обработке персональных данных;
- получение согласия субъекта персданных на обработку;
- издание локальных нормативных актов по вопросам обработки индивидуальных сведений;
- обеспечение безопасности имеющихся сведений;
- оценка потенциального вреда человеку при нарушении законодательства о персданных;
- ознакомление работников, занимающихся обработкой индивидуальных сведений, с положениями законодательства;
- иные обязанности в соответствии с действующим законодательством.
Ответственность за нарушение правил обработки персональных данных
Небрежное отношение к индивидуальным сведениям может повлечь не только административную, но уголовную ответственность.
Административная ответственность установлена не только за нарушение правил обработки индивидуальных сведений, но и за:
- неисполнение обязанностей при взаимодействии с субъектом персданных;
- ненадлежащее исполнение требований по их защите;
- неисполнение обязанностей при взаимодействии с Роскомнадзором.
При обработке информации оператора могут привлечь к ответственности в следующих случаях:
Нарушение | Статья КоАП | Ответственность | |
Должностное лицо | Юрлицо | ||
Обработка в непредусмотренных законодательством случаях | Ч. 1 ст. 13.11 | штраф 10 000–20 000 руб. | штраф 60 000–100 000 руб. |
Цели несовместимы с целями сбора | Ч. 1 ст. 13.11 | штраф 10 000–20 000 руб. | штраф 60 000–100 000 руб. |
При отсутствии согласия субъекта или согласие с неполными данными | Ч. 1 ст. 13.11 | штраф 20 000–40 000 руб. | штраф 30 000–150 000 руб. |
С использованием баз данных, находящихся за границей России | Ч. 8 ст. 13.11 | штраф 100 000–200 000 руб. | штраф 1 000 000– 6 000 000 руб. |
Отдельной нормы об ответственности за нарушение обработки индивидуальных сведений о гражданах в УК РФ нет. Однако лицо может быть привлечено к уголовной ответственности, в частности, за:
- незаконное распространение информации, составляющей личную и семейную тайну гражданина, без его согласия (ч. 1 ст. 137 УК РФ);
- неправомерный доступ к базе данных, который позволил произвести какие-либо действия с информацией (ч. 1 ст. 272 УК РФ, п. 3 Постановления Пленума Верховного Суда РФ от 15.12.2022 № 37);
- неправомерный отказ должностного лица в предоставлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).
К уголовной ответственности возможно привлечение только физлица (ст. 19 УК РФ).
Подробнее: судебная практика по спорам о защите персональных данных
Разбираем на примерах: что относится к персональным данным
Перечень сведений, являющихся персональными данными, в законодательстве четко не поименован и является открытым. Определение включения каких-либо сведений в состав персональных данных конкретного лица происходит индивидуально. Компании занимаются обработкой данных не только сотрудников, но и клиентов, партнеров и пр. Когда сетевые идентификаторы, фотографии и видеозаписи, зарплата и образование будут персданными, зачастую зависит от конкретной ситуации.
Паспортные данные
С учетом норм действующего законодательства и судебной практики можно определить паспортные данные как информацию о:
- документе (серия, номер, дата выдачи, наименование выдавшего органа, код подразделения);
- владельце паспорта (ФИО, дата и место рождения, прописка, семейное положение, сведения о детях).
Сведения о владельце документа позволяют установить его личность и однозначно являются персональными данными. А вот относительно сведений о самом документе позиции судов расходятся. Серия и номер бланка документа отнесены к персональным данным:
- Определением Верховного Суда РФ от 08.09.2020 № 308-ЭС20-11154 по делу № А63-13382/2019;
- Апелляционным определением Верховного Суда Республики Адыгея от 26.01.2018 по делу № 33-42/2018;
- Определением Московского городского суда от 13.05.2019 № 4г-4164/19.
Значительно чаще суды делали вывод, что эти сведения относятся к самому бланку документа, а не к его владельцу:
- постановление Седьмого арбитражного апелляционного суда от 05.04.2018 № 07АП-1437/2018 по делу № А45-31682/2017;
- постановление Седьмого арбитражного апелляционного суда от 19.03.2018 № 07АП-1435/2018 по делу № А45-31683/2017;
- постановление Девятого арбитражного апелляционного суда от 02.11.2010 № 09АП-23673/2010-ГК по делу № А40-30314/09-45-201;
- постановление Тринадцатого арбитражного апелляционного суда от 21.06.2010 по делу № А56-4788/2010;
- Определение Московского городского суда от 17.09.2012 № 4г/6-7692;
- Определение Московского городского суда от 29.02.2012 по делу № 33-6709.
Паспортные данные отнесены к персональным данным ст. 84 НК РФ. Так как номер и серия паспорта совместно с ФИО и другими данными позволяют идентифицировать гражданина — целесообразно включать их в состав персданных. Роскомнадзор и суды неоднократно расценивали хранение копий паспортов как избыточный объем обрабатываемых персданных работников:
- постановление ФАС Северо-Кавказского округа от 11.03.2014 по делу № А53-10287/2013;
- Решение АС Ростовской области от 14.11.2013 по делу № А53-12557/2013.
А вот информация о наименовании органа, выдавшего паспорт, дата выдачи и код подразделения к персональным данным не относятся.
ИНН и СНИЛС
СНИЛС — страховой номер индивидуального лицевого счета физлица. И СФР в разъяснениях на своем официальном сайте, и Президиум Верховного Суда РФ в Постановлении Президиума Верховного Суда РФ от 27.09.2017 отнесли СНИЛС к персданным.
А вот относительно включения в состав индивидуальных сведений ИНН единого мнения нет. Например, Минфин РФ в письмах от 12.02.2020 № 03-01-11/9505, от 28.01.2020 № 03-01-11/4925, от 19.01.2021 № 03-01-11/2330, от 15.01.2021 № 03-01-11/1380, от 12.01.2021 № 03-01-11/343, от 12.01.2021 № 03-01-11/347 озвучил позицию, что ИНН — цифровая последовательность, включающая в себя код налогового органа, порядковый номер записи в ЕГРН и контрольное число, и она не является информацией, входящей в перечень персданных. При этом п. 5 ст. 213.7 Федерального закона от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)» относит СНИЛС и ИНН к сведениям, позволяющим провести идентификацию гражданина. Правительство РФ в постановлении от 05.10.2017 № 1212 также отнесло СНИЛС и ИНН в персданным, требующим согласие на их обработку.
Видимо, следует придерживаться вывода, что сам по себе ИНН к индивидуальным сведениям не относится, но если он используется вместе с прочими сведениями о человеке (например, ФИО), то его следует включать в состав персданных.
Номера телефонов
Сам по себе абонентский телефон представляет собой набор цифр и персональными данными не является. Не войдет в перечень персданных и телефонный номер, зарегистрированный на юрлицо, даже если его станет использовать один сотрудник. Однако он может стать средством идентификации, если будет прямо или косвенно относиться к конкретному физлицу (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ). Тогда в отношении его начнут действовать и нормы законодательства о персональных данных.
Адрес места жительства
А вот что касается адреса, то здесь разночтений нет. И законодательство, и судебная практика относят место жительства к персональным данным. Ст. 152.2 ГК РФ содержит норму, определяющую место пребывания или жительства человека как часть его частной жизни.
Адрес электронной почты
Относительно адреса электронной почты как отнесение к персданным ситуация аналогична номерам телефонов. Существует судебная практика, относящая е-мейлы к индивидуальным сведениям. Например, Решение Калининского районного суда города Санкт-Петербурга по делу № 12-253/2015 от 26.05.2015. Роскомнадзор в разъяснениях указывал, что наличие в адресе электронной почты ФИО владельца позволяет отнести ее в состав персональных данным. Адрес электронки, представляющий собой абстрактное слово или набор символов, индивидуальными сведениями являться не будет.
Состояние здоровья
Нормами ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ состояние здоровья относится к специальным категориям персданных. Чтобы понять, что попадает под определение «состояние здоровья», стоит обратиться к ч. 1 ст. 22 Федерального закона от 21.11.2011 № 323-ФЗ. К сведениям о состоянии здоровья относятся:
- результаты медицинского обследования;
- наличие заболевания;
- установленные диагнозы;
- информация о развитии заболевания;
- возможные виды медицинского вмешательства;
- результаты оказания медицинской помощи;
- и т.п.
Номер автомобиля
В соответствии с п. 37 Правил госрегистрации транспортных средств... (утв. постановлением Правительства РФ от 21.12.2019 № 1764) государственный номер присваивается транспортному средству. При этом ни госномер, ни VIN не отражают связи с владельцем автомобиля. Вывод таков, что номера транспортных средств без указания их собственников к персональным данным не относятся. Такой же позиции придерживаются и суды. Например, Решение Краснодарского УФАС России от 18.02.2020 № 023/10/18.1-563/2020.
Фотографии
В 2013 году Роскомнадзор публиковал разъяснения относительно отнесения фото и видеоизображений к биометрическим сведениям о человеке. В ноябре 2021 года разъяснения были объявлены неактуальными и удалены с сайта, но подход, озвученный Роскомнадзором в 2013 году, продолжает использоваться различными ведомствами. Например, в Методических рекомендациях (Письмо от 28.08.2020 № ЛБ-С-074-24059) Минкомсвязи России фотографии отнесены к биометрии человека, так как они характеризуют физиологические и биологические индивидуальные особенности человека.
Исходя из этого условия, не относятся в индивидуальным сведениям о физическом лице:
- скан и ксерокопия паспорта, сделанные в качестве подтверждения осуществления конкретным человеком определенных действий без проведения процедуры установления личности. Например, при заключении договора на оказание медуслуг;
- фотография в личном деле работника;
- рентгеновские или флюорографические снимки, находящиеся в истории болезни (медицинской карте) пациента;
- материалы фото- и видеосъемки в публичных местах и на охраняемой территории.
Профили в социальных сетях
Персданные признаются общедоступными при выполнении двух условий:
- предоставлены непосредственно владельцем;
- доступны неопределенному кругу лиц.
К такому выводу суды пришли еще в 2017 году (Решение Арбитражного суда г. Москвы от 05.05.2017 по делу № А40-5250/17-144-51). Поэтому, несмотря на общедоступность сведений, сбор и обработка данных профилей в соцсетях регулируются законодательством о персональных данных.
Полезно знать:
Федеральный закон от 21.11.2011 N 323-ФЗ
Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ
Приказ Роскомнадзора от 30.05.2017 N 94
Постановление Правительства РФ от 05.10.2017 N 1212
Постановление Правительства РФ от 21.12.2019 N 1764
<Письмо> Минкомсвязи России от 28.08.2020 N ЛБ-С-074-24059
<Письмо> Минцифры России от 17.07.2020 N ОП-П24-070-19433
<Письмо> Роскомнадзора от 10.02.2020 N 08АП-6782
Федеральный закон от 26.10.2002 N 127-ФЗ
Постановление Пленума Верховного Суда РФ от 15.12.2022 N 37
Федеральный закон от 27.07.2006 N 152-ФЗ
Статья 152.2 ГК РФ. Охрана частной жизни гражданина
Статья 13.11 КОАП РФ. Нарушение законодательства Российской Федерации в области персональных данных
Статья 2.1 КОАП РФ. Административное правонарушение
Статья 88 ТК РФ. Передача персональных данных работника
Статья 137 УК РФ. Нарушение неприкосновенности частной жизни
Статья 140 УК РФ. Отказ в предоставлении гражданину информации
Статья 19 УК РФ. Общие условия уголовной ответственности
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации