Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Является ли ФИО персональными данными?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
В каких случаях ФИО относятся к персональным данным
Регулятор склонен считать ПД любые сведения, обрабатываемые оператором и предоставляемые ему субъектом при условии подписания согласия на обработку. Такой информацией будут и полные анкетные данные, и краткие сведения в интернет-магазине, по которым невозможно установить их реального обладателя. В любом случае все сведения должны защищаться с применением организационных, программных и технических способов обеспечения конфиденциальности.
Часто оператор, считая фамилию, имя, отчество общеизвестной информацией, хочет сократить расходы, связанные с их обработкой. Но в итоге такие манипуляции не приводят к достижению соглашения с регулятором. При проверке организация будет оштрафована, если защита имен граждан обеспечена программными решениями низкого уровня.
В инструкции об обработке ПД, с которыми работает Центробанк, это сведения о сотрудниках, аудиторах, руководстве коммерческих банков и других категориях лиц. В п. 5.1. четко указано: такие сведения, как фамилия и имя, отчество при его наличии, пол, являются персональными данными. На качество и степень обработки категория сведений не влияет. При этом Банк России уточняет, что только фамилии и имени для идентификации недостаточно, они должны быть использованы совместно с реквизитами паспорта или другой идентифицирующей информацией.
Почему возникает вопрос, являются ли ФИО персональными данными гражданина
Преимущественно дискуссии инициируют те операторы, которые недовольны значительным списком требований в отношении защиты ПДн, используемых в рамках их коммерческой деятельности. Но позиция государства четкая, и даже весомые на первый взгляд аргументы не принимаются во внимание при рассмотрении судебных дел, назначении штрафных санкций и урегулировании конфликтов с Центральным банком. Поэтому игнорировать актуальные требования ФЗ-152 нельзя.
Подводя итоги, отметим, что ФИО — персональные данные, в отношении которых необходимо предпринимать меры защиты, чтобы не нарушить права субъекта и не понести предусмотренное действующими законами наказание.
Новые штрафы за нарушение правил обработки персональных данных
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Что является персональными данными по закону
Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.
В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.
С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.
Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.
В каких документах есть персональные данные
В процессе работы кадровая служба копит и хранит сведения о сотруднике, заключенные в следующих документах:
Документы | Какие персональные данные в них содержатся |
Резюме, анкета, автобиография, личный листок по учету кадров | Личные качества, биографические данные |
Копия удостоверения личности | ФИО, дата и место рождения, адрес регистрации, семейное положение, реквизиты самого удостоверения |
Личная карточка № Т-2 | Дополнительно к данным удостоверения личности указывается состав семьи и образование |
Трудовая книжка | Трудовой стаж, места работы |
Копии свидетельств о заключении брака, рождении детей | Сведения о составе семьи |
Документы воинского учета | Отношение работника к воинской обязанности |
Справка о доходах с предыдущего места работы | Уровень заработка на предыдущем месте трудоустройства |
Документы об образовании | Уровень образования |
СНИЛС, ИНН | Индивидуальные номера гражданина в системе пенсионного страхования и для налоговых органов |
Трудовой договор | Должность, заработная плата, место работы |
Приказы по личному составу и их копии | Информация о приеме, переводе, повышении, увольнении |
В качестве персональных выступают и другие данные, не перечисленные в таблице. Например, информация о соискателях для принятия руководством решения о приеме нового сотрудника из нескольких кандидатур.
У меня свой интернет-магазин и я слышал, что надо как-то работать с персональными данными, иначе меня могут оштрафовать. Как мне понять, что менять и как действовать?
Да, действительно могут. Федеральным законом №152 от 27.07.2006 «О защите персональных данных» определены требования по защите персональных данных, а в КОАП РФ предусмотрены серьёзные санкции за нарушение этого закона, которые могут представлять собой штрафы в несколько миллионов для бизнеса.
Чтобы понимать, что нужно защищать, дадим определение персональным данным. Это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. То есть охраняемыми законом будут те персональные данные, которые позволят установить личность. С учётом того, что в интернет-магазинах есть учетные записи с анкетами, которые содержат адрес отправки, получателя, пол, дату рождения, телефон и пр., то подобный вид деятельности однозначно подпадает под требования по защите персональных данных.
Средства защиты и охраны персональных данных
Надежность ПД обеспечивается:
- установлением рисков при обработке ПД в ИС;
- постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
- процедура совершенствования средств и результативности защиты;
- постоянное рассмотрение машинных носителей ПД;
- мгновенное установление неразрешенного проникновения;
- восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
- фиксация и учет всех действий, которые совершаются в ИС;
- используется сотрудничество с вневедомственной охраной;
- база данных защищена паролями, известными только людьми, у которых есть право доступа;
Характеристики безопасности персональных данных
Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:
ОСНОВНЫЕ:
- конфиденциальность
- целостность
- доступность
ДОПОЛНИТЕЛЬНЫЕ:
- неотказуемость
- учетность (подконтрольность)
- аутентичность (достоверность)
- адекватность
Структура информационной системы подразделяется на:
- автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
- комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
- комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
Все ли фотографии и видеозаписи конкретного лица являются его персональными данными?
Нет. Только те, которые позволяют установить личность и используются для установления личности.
Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).
Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией.
При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см. Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Понятие персональных данных
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.
Защита персональных данных
Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.
К исключениям относятся:
- только ФИО субъектов;
- трудовые отношения;
- договорные отношения;
- общедоступные персональные данные;
- однократные пропуска на территорию;
- когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
- транспортная безопасность.
Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.
Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.
Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).
Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.
Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.
Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:
- Положение о персональных данных;
- Приказ об утверждении положения;
- Приказ о назначении ответственного лица;
- Политика в отношении обработки и безопасности персональных данных;
- Пользовательское соглашение в приложении и на сайте;
- Инструкция ответственного за организацию обработки персональных данных;
- Приказ о выделении помещений для обработки персональных данных + правила доступа;
- Журнал учета машинных носителей информации с персональными данными.
Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.
Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.
Чиновники разъяснили, что не является персональными данными
Роскомнадзор прокомментировал некоторые вопросы, касающиеся отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.
Роскомнадзор прокомментировал некоторые вопросы, касающиеся отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.
В соответствии с Федеральным законом «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, пишет .
В этой связи , что не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы.
Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица.
Аналогично с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.
Информационные следы и персональные данные
Информация, которая связана с конкретным человеком, касающаяся, например, конкретных данных из его биографии, его национальность, место жительства, данные о различного рода болезнях, о профессиональных знаниях и способностях, о семейной жизни, привычках, хобби, нравственные, политические, сексуальные и религиозные пристрастия и многое другое — составляет значительную, а скорее всего даже большую часть циркулирующей в обществе информации.
Возможно, не все хотели бы делиться подобной информацией, однако в процессе своей жизнедеятельности человек так или иначе оставляет соответствующие «информационные следы» в отделах кадров, в социальных службах, органах исполнительной власти, в сфере услуг, различного рода организациях.
А как же иначе, если всегда и во все времена представители различных организаций, оказывающие те или иные услуги, в том числе и работодатели при приёме на работу, медицинские, финансовые организации и т.д. — собирают данные о личности потребителей своих услуг, о своих работниках. И, как правило, такие данные собираются максимально подробно. Оправданием для них выступает тот факт, что они хотят наиболее полно иметь представление о личности своих заказчиков/потребителей/клиентов.
Цель использования данных
Нельзя не сказать и еще об одном отличии персональных данных от другой информации – это целевой характер использования персональных данных.
Так, например, исходя из п. 1 ст. 86 ТК РФ обработка данного вида информации может производиться исключительно в целях, «обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества». Данное положение также весьма эффективно способствует отграничить персональные данные от иной информации.
Таким образом, вышеприведённые критерии разграничения дают возможность на практике без труда отграничить персональные данные от иной информации, что исключит ошибки в процессе их использования, а также станет эффективным механизмом в защите прав потребителя.
СНИЛС – это страховой номер индивидуального лицевого счета. В Федеральном законе №27 сказано, что Пенсионный фонд и страхователи должны обеспечить защиту данных, которые входят в индивидуальный лицевой счет. Однако сам номер СНИЛС не позволяет идентифицировать физическое лицо, поэтому в перечень ПДн не входит.
СНИЛС становится общедоступной информации при создании электронной подписи. Квалифицированные центры, а их деятельность регламентируется законом ФЗ №63 «Об электронной подписи», используют номер СНИЛС или ИНН для проведения операций с сертификатами.
Как видите, СНИЛС по аналогии с ИНН не позволяет конкретизировать субъект информации, хотя и является кодом другой информации. Это привело к тому, что на правительственные органы наложили обязательства сохранять конфиденциальность данных, поданных для получения СНИЛС, при этом сам код остается общедоступным.