3 433

Виды персональных данных

Размер шрифта:

Понимание, что такое персональные данные и их виды, позволяет определить требования законодательства к их защите. Непринятие мер защиты индивидуальных сведений или недостаточность такой защиты является основанием привлечения компании к ответственности.  

Навигация

Какие есть виды персональных данных

В соответствии с п. 2.5, 2.6 и 2.7 Методических рекомендаций, утвержденных Приказом Роскомнадзора от 30.05.2017 № 94, персданные можно разделить на 3 группы:

  • общие;
  • специальные;
  • биометрические;
  • иные.

Общие

Это любые сведения, прямо или косвенно относящиеся к конкретному физлицу:

  • ФИО;
  • дата и место рождения;
  • адрес;
  • семейное и имущественное положение;
  • образование;
  • доходы;
  • любые другие сведения о человеке.

Специальные

Сюда мы отнесем все категории персональных данных, касающиеся:

  • расовой и национальной принадлежности;
  • общественно-политических взглядов;
  • религии;
  • философских убеждений;
  • состояния здоровья;
  • интимной жизни.

Биометрические

Биометрия — информация, характеризующая физиологические и биологические особенности личности и позволяющая установить эту самую личность точно. К таким сведениям, как нам разъясняют письма Минцифры России от 17.07.2020 № ОП-П24-070-19433 и Роскомнадзора от 10.02.2020 № 08АП-6782, относятся:

  • дактилоскопические данные;
  • голос;
  • данные ДНК;
  • радужная оболочка глаз;
  • изображение человека (между прочим, сюда относятся даже фотографии и видеозаписи);
  • иные биологические или физиологические характеристики, позволяющие идентифицировать человека.

Данные квалифицируются как биометрические при соблюдении условий:

  • они признаны такими на законодательном уровне;
  • отражают физиологические и биологические особенности гражданина, позволяющие установить его (или ее) личность;
  • используются оператором персданных для установления личности гражданина.

Прочие

В данную категорию попадает личная информация, не включенная в другие виды. Например, геолокация, членство в какой-либо организации и т.п. Отличия этого вида персональных данных:

  • возможность частого изменения;
  • по своей сути являются дополнительными сведениями, не характеризующими личность.

С какими типами персональных данных работают на предприятиях

В любой организации есть штат работников. Независимо от их количества работодателю приходится иметь дело с персональными данными работников. Сведения, характеризующие человека как работника, собираются, обрабатываются и хранятся. К таким характеристикам относится образование, стаж работника, его заработная плата и пр.

Помимо этого, ряд организаций, занимающихся торговлей или оказанием услуг физлицам, имеет дело с персданными клиентов.

ВАЖНО!
В обоих случаях сбору и хранению подлежит только информация, необходимая организации для рабочих процессов.
Может пригодиться: как составить положение о персональных данных работников

Кто такие оператор и субъект персональных данных

Действующее законодательство определяет оператора персданных как лицо, которое самостоятельно или совместно с другими лицами:

  • организует и осуществляет обработку индивидуальной информации о человеке;
  • определяет цели такой обработки;
  • определяет состав персданных, попадающих в обработку;
  • определяет действия, которые он с ними производит или планирует производить.

В роли оператора вправе выступать:

  • государственные и муниципальные органы;
  • юридические лица;
  • физлица.
ВАЖНО!
Статус оператора при сборе и обработке персональных данных присваивается независимо от включения в реестр, который ведет Роскомнадзор.
Подробнее: как стать оператором персданных в реестре Роскомнадзора

Обязанности оператора персональных данных по их обработке, защите и хранению

Обязанности оператора персданных определены главой 4 Федерального закона от 27.07.2006 № 152-ФЗ. К ним относятся:

  • уведомление Роскомнадзора об обработке персональных данных;
  • получение согласия субъекта персданных на обработку;
  • издание локальных нормативных актов по вопросам обработки индивидуальных сведений;
  • обеспечение безопасности имеющихся сведений;
  • оценка потенциального вреда человеку при нарушении законодательства о персданных;
  • ознакомление работников, занимающихся обработкой индивидуальных сведений, с положениями законодательства;
  • иные обязанности в соответствии с действующим законодательством.

Ответственность за нарушение правил обработки персональных данных

Небрежное отношение к индивидуальным сведениям может повлечь не только административную, но уголовную ответственность.

Административная ответственность установлена не только за нарушение правил обработки индивидуальных сведений, но и за:

  • неисполнение обязанностей при взаимодействии с субъектом персданных;
  • ненадлежащее исполнение требований по их защите;
  • неисполнение обязанностей при взаимодействии с Роскомнадзором.

При обработке информации оператора могут привлечь к ответственности в следующих случаях:

Нарушение Статья КоАП Ответственность
Должностное лицо Юрлицо
Обработка в непредусмотренных законодательством случаях Ч. 1 ст. 13.11 штраф 10 000–20 000 руб. штраф 60 000–100 000 руб.
Цели несовместимы с целями сбора Ч. 1 ст. 13.11 штраф 10 000–20 000 руб. штраф 60 000–100 000 руб.
При отсутствии согласия субъекта или согласие с неполными данными Ч. 1 ст. 13.11 штраф 20 000–40 000 руб. штраф 30 000–150 000 руб.
С использованием баз данных, находящихся за границей России Ч. 8 ст. 13.11 штраф 100 000–200 000 руб. штраф 1 000 000– 6 000 000 руб.
ВАЖНО!
При повторном правонарушении предусмотрено увеличение штрафных санкций.
Ответственность оператора персональных данных
Административная ответственность за нарушение обработки персональных данных

Отдельной нормы об ответственности за нарушение обработки индивидуальных сведений о гражданах в УК РФ нет. Однако лицо может быть привлечено к уголовной ответственности, в частности, за:

  • незаконное распространение информации, составляющей личную и семейную тайну гражданина, без его согласия (ч. 1 ст. 137 УК РФ);
  • неправомерный доступ к базе данных, который позволил произвести какие-либо действия с информацией (ч. 1 ст. 272 УК РФ, п. 3 Постановления Пленума Верховного Суда РФ от 15.12.2022 № 37);
  • неправомерный отказ должностного лица в предоставлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).

К уголовной ответственности возможно привлечение только физлица (ст. 19 УК РФ).

ВАЖНО!
Привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности юрлицо (ч. 3 ст. 2.1 КоАП РФ).
Подробнее: судебная практика по спорам о защите персональных данных

Разбираем на примерах: что относится к персональным данным

Перечень сведений, являющихся персональными данными, в законодательстве четко не поименован и является открытым. Определение включения каких-либо сведений в состав персональных данных конкретного лица происходит индивидуально. Компании занимаются обработкой данных не только сотрудников, но и клиентов, партнеров и пр. Когда сетевые идентификаторы, фотографии и видеозаписи, зарплата и образование будут персданными, зачастую зависит от конкретной ситуации.

Паспортные данные

С учетом норм действующего законодательства и судебной практики можно определить паспортные данные как информацию о:

  • документе (серия, номер, дата выдачи, наименование выдавшего органа, код подразделения);
  • владельце паспорта (ФИО, дата и место рождения, прописка, семейное положение, сведения о детях).

Сведения о владельце документа позволяют установить его личность и однозначно являются персональными данными. А вот относительно сведений о самом документе позиции судов расходятся. Серия и номер бланка документа отнесены к персональным данным:

Значительно чаще суды делали вывод, что эти сведения относятся к самому бланку документа, а не к его владельцу:

Паспортные данные отнесены к персональным данным ст. 84 НК РФ. Так как номер и серия паспорта совместно с ФИО и другими данными позволяют идентифицировать гражданина — целесообразно включать их в состав персданных. Роскомнадзор и суды неоднократно расценивали хранение копий паспортов как избыточный объем обрабатываемых персданных работников:

А вот информация о наименовании органа, выдавшего паспорт, дата выдачи и код подразделения к персональным данным не относятся.

ИНН и СНИЛС

СНИЛС — страховой номер индивидуального лицевого счета физлица. И СФР в разъяснениях на своем официальном сайте, и Президиум Верховного Суда РФ в Постановлении Президиума Верховного Суда РФ от 27.09.2017 отнесли СНИЛС к персданным.

А вот относительно включения в состав индивидуальных сведений ИНН единого мнения нет. Например, Минфин РФ в письмах от 12.02.2020 № 03-01-11/9505, от 28.01.2020 № 03-01-11/4925, от 19.01.2021 № 03-01-11/2330, от 15.01.2021 № 03-01-11/1380, от 12.01.2021 № 03-01-11/343, от 12.01.2021 № 03-01-11/347 озвучил позицию, что ИНН — цифровая последовательность, включающая в себя код налогового органа, порядковый номер записи в ЕГРН и контрольное число, и она не является информацией, входящей в перечень персданных. При этом п. 5 ст. 213.7 Федерального закона от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)» относит СНИЛС и ИНН к сведениям, позволяющим провести идентификацию гражданина. Правительство РФ в постановлении от 05.10.2017 № 1212 также отнесло СНИЛС и ИНН в персданным, требующим согласие на их обработку.

Видимо, следует придерживаться вывода, что сам по себе ИНН к индивидуальным сведениям не относится, но если он используется вместе с прочими сведениями о человеке (например, ФИО), то его следует включать в состав персданных.

Номера телефонов

Сам по себе абонентский телефон представляет собой набор цифр и персональными данными не является. Не войдет в перечень персданных и телефонный номер, зарегистрированный на юрлицо, даже если его станет использовать один сотрудник. Однако он может стать средством идентификации, если будет прямо или косвенно относиться к конкретному физлицу (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ). Тогда в отношении его начнут действовать и нормы законодательства о персональных данных.

Адрес места жительства

А вот что касается адреса, то здесь разночтений нет. И законодательство, и судебная практика относят место жительства к персональным данным. Ст. 152.2 ГК РФ содержит норму, определяющую место пребывания или жительства человека как часть его частной жизни.

Адрес электронной почты

Относительно адреса электронной почты как отнесение к персданным ситуация аналогична номерам телефонов. Существует судебная практика, относящая е-мейлы к индивидуальным сведениям. Например, Решение Калининского районного суда города Санкт-Петербурга по делу № 12-253/2015 от 26.05.2015. Роскомнадзор в разъяснениях указывал, что наличие в адресе электронной почты ФИО владельца позволяет отнести ее в состав персональных данным. Адрес электронки, представляющий собой абстрактное слово или набор символов, индивидуальными сведениями являться не будет.

ВАЖНО!
Абстрактный набор символов в адресе электронной почты не будет являться основанием не включать его в состав индивидуальных сведений, если ее владелец при предоставлении оператору электронки дополнительно указывает свои ФИО.

Состояние здоровья

Нормами ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ состояние здоровья относится к специальным категориям персданных. Чтобы понять, что попадает под определение «состояние здоровья», стоит обратиться к ч. 1 ст. 22 Федерального закона от 21.11.2011 № 323-ФЗ. К сведениям о состоянии здоровья относятся:

  • результаты медицинского обследования;
  • наличие заболевания;
  • установленные диагнозы;
  • информация о развитии заболевания;
  • возможные виды медицинского вмешательства;
  • результаты оказания медицинской помощи;
  • и т.п.
ВАЖНО!
Абз. 7 ст. 88 ТК РФ запрещает работодателю запрашивать сведения о состоянии здоровья работника, за исключением касающихся его трудоспособности.

Номер автомобиля

В соответствии с п. 37 Правил госрегистрации транспортных средств... (утв. постановлением Правительства РФ от 21.12.2019 № 1764) государственный номер присваивается транспортному средству. При этом ни госномер, ни VIN не отражают связи с владельцем автомобиля. Вывод таков, что номера транспортных средств без указания их собственников к персональным данным не относятся. Такой же позиции придерживаются и суды. Например, Решение Краснодарского УФАС России от 18.02.2020 № 023/10/18.1-563/2020.

Фотографии

В 2013 году Роскомнадзор публиковал разъяснения относительно отнесения фото и видеоизображений к биометрическим сведениям о человеке. В ноябре 2021 года разъяснения были объявлены неактуальными и удалены с сайта, но подход, озвученный Роскомнадзором в 2013 году, продолжает использоваться различными ведомствами. Например, в Методических рекомендациях (Письмо от 28.08.2020 № ЛБ-С-074-24059) Минкомсвязи России фотографии отнесены к биометрии человека, так как они характеризуют физиологические и биологические индивидуальные особенности человека.

ВАЖНО!
Одно из условий отнесении биометрии человека к персданным — использование при идентификации личности.

Исходя из этого условия, не относятся в индивидуальным сведениям о физическом лице:

  • скан и ксерокопия паспорта, сделанные в качестве подтверждения осуществления конкретным человеком определенных действий без проведения процедуры установления личности. Например, при заключении договора на оказание медуслуг;
  • фотография в личном деле работника;
  • рентгеновские или флюорографические снимки, находящиеся в истории болезни (медицинской карте) пациента;
  • материалы фото- и видеосъемки в публичных местах и на охраняемой территории.

Профили в социальных сетях

Персданные признаются общедоступными при выполнении двух условий:

  • предоставлены непосредственно владельцем;
  • доступны неопределенному кругу лиц.
ВАЖНО!
Заниматься обработкой такой информации операторы вправе только с согласия владельца индивидуальных сведений, за исключением случаев, установленных законом.

К такому выводу суды пришли еще в 2017 году (Решение Арбитражного суда г. Москвы от 05.05.2017 по делу № А40-5250/17-144-51). Поэтому, несмотря на общедоступность сведений, сбор и обработка данных профилей в соцсетях регулируются законодательством о персональных данных.

Полезно знать:

Правовые документы

Федеральный закон от 21.11.2011 N 323-ФЗ

Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ

Приказ Роскомнадзора от 30.05.2017 N 94

Постановление Правительства РФ от 05.10.2017 N 1212

Постановление Правительства РФ от 21.12.2019 N 1764

<Письмо> Минкомсвязи России от 28.08.2020 N ЛБ-С-074-24059

<Письмо> Минцифры России от 17.07.2020 N ОП-П24-070-19433

<Письмо> Роскомнадзора от 10.02.2020 N 08АП-6782

Федеральный закон от 26.10.2002 N 127-ФЗ

Постановление Пленума Верховного Суда РФ от 15.12.2022 N 37

Федеральный закон от 27.07.2006 N 152-ФЗ

Статья 152.2 ГК РФ. Охрана частной жизни гражданина

Статья 13.11 КОАП РФ. Нарушение законодательства Российской Федерации в области персональных данных

Статья 2.1 КОАП РФ. Административное правонарушение

Статья 84 НК РФ. Порядок постановки на учет и снятия с учета организаций и физических лиц. Идентификационный номер налогоплательщика

Статья 88 ТК РФ. Передача персональных данных работника

Статья 137 УК РФ. Нарушение неприкосновенности частной жизни

Статья 140 УК РФ. Отказ в предоставлении гражданину информации

Статья 19 УК РФ. Общие условия уголовной ответственности

Статья 272 УК РФ. Неправомерный доступ к компьютерной информации

Оставить комментарий Распечатать
Вирт Юлия