Все о персональных данных

© sdecoret / Фотобанк Фотодженика

В этом материале:

1. Условия обработки персональных данных
2. Обработка персональных данных в отсутствие согласия субъекта персональных данных
3. Деятельность операторов, осуществляющих обработку персональных данных
4. Права субъекта персональных данных
5. Ответственность за нарушение закона о персональных данных

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", далее – Закон № 152-ФЗ). По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных, что в полной мере согласуется с положениями ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, принятой Советом Европы 28 января 1981 г. Правовой защите подлежит лишь та информация о человеке, которая позволяет его персонифицировать. Схожее определение персональных данных приводится и в Регламенте (ЕС) Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. То есть и Закон № 152-ФЗ и Регламент (ЕС) определяют персональные данные достаточно широко, поэтому какого-либо перечня сведений, относящихся к персональным данным субъекта, не существует.
 

Виды персональных данных

Поскольку законодатель не приводит какого-либо перечня сведений, относимых к категории персональных данных, исходя из особенностей обработки отдельных категорий персональных данных можно выделить следующие их группы:

Обычные персональные данные, то есть это те сведения о физическом лице, которые не являются специальными персональными данными (ст. 10 Закона № 152-ФЗ); биометрическими персональными данными (ст. 11 Закона № 152-ФЗ); данными, разрешенными субъектом для распространения (ст. 10.1 Закона № 152-ФЗ).

К категории обычных персональных данных могут быть отнесены так называемые "анкетные" данные гражданина (ФИО, образование, место жительства и др.). То есть это те сведения, которые сообщаются самим субъектом персональных данных (ч. 1 ст. 8 Закона № 152-ФЗ).

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (различные справочники, адресные книги и т. п.). При этом по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов персональные данные должны быть исключены из подобных источников (ч. 2 ст. 8 Закона № 152-ФЗ).

Режим конфиденциальности информации не распространяется также в случаи обезличивания персональных данных или совершения действий, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (п. 9 ст. 3 Закона № 152-ФЗ).

Персональные данные, разрешенные субъектом персональных данных для распространения (далее – разрешенные персональные данные).

К ним относятся сведения, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи отдельного письменного согласия на обработку персональных данных (п. 1.1 ст. 3 Закона № 152-ФЗ). Требования к содержанию такого согласия утверждены приказом Роскомнадзора от 24 февраля 2021 г. № 18 (действуют до 1 сентября 2027 года). Особенности обработки таких данных урегулированы ст. 10.1 Закона № 152-ФЗ.

Отметим, что ранее законодатель оперировал понятием "общедоступные персональные данные", подразумевая под ними сведения, доступ к которым неограниченному кругу лиц предоставлен с письменного согласия субъекта персональных данных или на которые в силу закона не распространяется режим конфиденциальности. Однако по смыслу Закона № 152, размещение персональных данных гражданами в открытых источниках (в Интернете, социальных сетях и пр.) не делает их автоматически общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта, даже если он самостоятельно предоставил доступ к персональной информации о себе в открытых источниках (Постановление Девятого арбитражного апелляционного суда от 27 июля 2017 г. № 09АП-31744/17, Определение Верховного Суда Российской Федерации от 29 января 2018 г. № 305-КГ17-21291). Соответственно с 1 марта 2021 года категория общедоступных персональных данных из Закона № 152-ФЗ исключена (п. 2 ст. 1 Федерального закона от 30 декабря 2020 г. № 519-ФЗ).

Таким образом, согласие субъекта персональных данных выступает в качестве исключительного правового основания на обработку разрешенных персональных данных, содержание которого в обязательном порядке должно включать в себя перечень ресурсов оператора, на которых планируется размещать эти сведения. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень разрешенных персональных данных по каждой категории, указанной в согласии.

В целях обеспечения реализации принципа волеизъявления субъекта персональных данных введены положения, не допускающие получение оператором согласия по умолчанию или бездействию субъекта персональных данных.

Дополнительно вводится право субъекта персональных данных установить запрет на осуществление неограниченным кругом лиц обработки его разрешенных персональных данных (кроме получения доступа) и условия такой обработки, а также обязанность оператора информировать указанных лиц об имеющихся условиях и запретах.

Специальные категории персональных данных включают информацию о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости и т. п. (ч. 1 ст. 10 Закона № 152-ФЗ). Данный перечень не является закрытым и может дополняться новыми основаниями.

Придание специальным категориям персональных данных особого статуса обусловлено возможностью наступления крайне негативных последствий для человека при их противоправном распространении или ином несанкционированном использовании, которые могут выражаться в дискриминации носителя по различным признакам, невозможности реализации им статусных прав на образование, вероисповедание, проведение собраний и т. п.

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ).

В основе сбора и анализа сведений, составляющих биометрические данные человека, лежит использование биометрических признаков. Примерами биометрических методов идентификации являются дактилоскопические данные, изображение радужной оболочки глаз, анализы ДНК, изображение человека и др. Отметим, что с 8 мая 2023 года геномная информация также отнесена к биометрическим персональным данным.

Отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

Минцифры России в своем письме от 28 августа 2020 г. № ЛБ-С-074-24059 указывало, что к биометрическим персональным данным не относятся:

• данные, полученные при сканировании паспорта оператором персональных данных для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т. п.), т. е. без проведения процедур идентификации (установления личности);
• данные, полученные при осуществлении ксерокопирования документа, удостоверяющего личность;
• фотографическое изображение, содержащееся в личном деле работника;
• подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы;
• рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента;
• материалы видеосъемки в публичных местах и на охраняемой территории.

О других важных изменениях в Законе № 152-ФЗ, которые начали действовать с 1 марта 2023 года, читайте в нашей новости.

Последняя актуализация: 23 июня 2023 г.

Документы по теме:

• Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108 (Страсбург, 28 января 1981 г.)
• Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС
• Гражданский кодекс Российской Федерации
• Трудовой кодекс Российской Федерации
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных"
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"
• Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи"
• Распоряжение Правительства РФ от 30 июня 2018 г. № 1322-р "Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина РФ в единой системе идентификации и аутентификации, и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических персональных данных гражданина РФ в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина РФ"
• Приказ Роскомнадзора от 24 февраля 2021 г. № 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения"
• Приказ Роскомнадзора от 21 июня 2021 г. № 106 "Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором"
• Приказ Роскомнадзор от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных"
• Письмо Роскомнадзора от 11 марта 2022 г. № 08-15154 "Об особенностях предоставления несовершеннолетним лицом согласия на обработку биометрических и специальных категорий персональных данных"
• Разъяснения Роскомнадзора от 14 декабря 2012 г. "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве"
• Письмо Минцифры России от 28 августа 2020 г. № ЛБ-С-074-24059 "О методических рекомендациях"

Читайте также: 

Утвержден перечень случаев, когда не допускается аутентификация биометрических персональных данных физлиц

Также в документе содержится список случаев, когда такая аутентификация разрешена при наличии простой электронной подписи физлица.

Роскомнадзор утвердил 3 формы уведомлений в сфере обработки персональных данных

Они будут применяться с 26 декабря 2022 года.

Роскомнадзор вправе внепланово проверить аккредитованную IT-компанию, допустившую утечку своей базы персональных данных

Мораторий на проверки аккредитованных IT-компаний с 14 февраля 2023 года перестанет распространяться на внеплановые КНМ этих организаций в некоторых случаях.

За размещение биометрических данных в информационных системах с нарушением требований закона предлагается установить административную ответственность

Также планируется повысить штрафы за нарушение законодательства РФ о персональных данных.