Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: что это такое, как обрабатывать и защищать по закону». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Информация, которая связана с конкретным человеком, касающаяся, например, конкретных данных из его биографии, его национальность, место жительства, данные о различного рода болезнях, о профессиональных знаниях и способностях, о семейной жизни, привычках, хобби, нравственные, политические, сексуальные и религиозные пристрастия и многое другое — составляет значительную, а скорее всего даже большую часть циркулирующей в обществе информации.
Что относится к персональной информации
Обычно, когда говорят о том, какая информация относится к ПДн, имеют в виду следующие данные:
- фамилия, имя и отчество;
- информация о том, какое получено образование;
- данные об уровне доходов;
- место и дата рождения;
- социальное и имущественное положение человека.
Этот список включает в себя основную информацию такого рода, но не является полным.
Кроме того, ПДн можно разделить на несколько разновидностей:
- Здесь рассматриваются сведения, которые раскрывают убеждения человека, его философские или религиозные предпочтения, интимную жизнь, состояние здоровья, информация о национальности и расовой принадлежности. Такие данные могут быть получены, например, из анкет, заполненных гражданином.
- В этот раздел можно включить данные, которые непосредственно позволяют идентифицировать человека. Сюда включаются ФИО, адрес проживания, паспортные данные и другая аналогичная информация.
- Биометрические данные включают в себя отпечатки пальцев, анализ ДНК, фотография сетчатки глаза, различные особенности строения тела.
- К отдельному разделу относится информация, которая является обезличенной. К ней относятся данные, которые не дают возможность провести идентификацию конкретного человека.
Тут также идёт речь об общедоступной информации, которая не может быть скрыта, потому, что это является требованием законодательства. Сюда, например, включаются данные о доходах, которые получены муниципальными или государственными служащими.
Ко всей перечисленной информации применяются нормы, предусмотренные законом, определяющие её хранение и использование.
Цель использования данных
Нельзя не сказать и еще об одном отличии персональных данных от другой информации – это целевой характер использования персональных данных.
Так, например, исходя из п. 1 ст. 86 ТК РФ обработка данного вида информации может производиться исключительно в целях, «обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества». Данное положение также весьма эффективно способствует отграничить персональные данные от иной информации.
Таким образом, вышеприведённые критерии разграничения дают возможность на практике без труда отграничить персональные данные от иной информации, что исключит ошибки в процессе их использования, а также станет эффективным механизмом в защите прав потребителя.
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
Понятие персональных данных
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.
Позиция регулятора и судов
Роскомнадзор не видит прямой возможности исключить ФИО из общего перечня ПД, несмотря на мнения экспертов о том, что только эти данные, без наличия иного идентифицирующего признака, не дают однозначной возможности определить личность. Этой же позиции придерживается Центробанк.
Хотя Роскомнадзор выпустил несколько разъяснений, где однозначно ответил на вопрос, являются ли фамилия, имя, отчество персональными данными, иногда ведомство выражает двойственную позицию. Так, в 2012 году в письме территориального управления по Республике Карелия отмечено, что фамилия и инициалы гражданина – это, несомненно, персональные данные субъекта. С другой стороны, без применения других сведений определить принадлежность ПД частному лицу затруднительно. Фамилия, имя, отчество наряду со многими другими способами используются для идентификации отдельного человека среди других.
По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров (фамилии, имени и отчества), на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. При этом очевидно, что, если у заинтересованного злоумышленника есть иные данные об объекте, предоставление ему данных ФИО позволит определить субъект, например, по номеру машины узнать данные о ее владельце.
В более поздних разъяснениях, предоставленных в 2017 году в ответ на обращение Казначейства России, регулятор, опираясь на нормы федерального закона о персональных данных, отметил, что ФИО, без сомнения, относятся к этой категории. Он сообщил, что среди полномочий ведомства нет права давать разъяснения по вопросам толкования норм закона, эта задача относится к сфере компетенции Минсвязи.
Тем не менее из прямого прочтения текста закона вытекает понимание, что имя и инициалы относятся к персональным данным без каких-либо изъятий, за исключением прямо приводимых в законе:
- если сведения относятся к общедоступным;
- если они используются в целях статистики.
В первую очередь разберемся с вопросом, зачем необходима такая защита? Согласитесь, мало кому из нас было бы приятно, если бы наши данные были в открытом доступе, даже несмотря на то, что большинство из нас самостоятельно выкладывает их в социальных сетях. Но одно дело Одноклассники или Facebook — информацию, которую мы там предоставляем, невозможно проверить. Кроме того, мы имеем возможность вместо ФИО писать ники, а информацию о дате рождения, месте проживания и пр. можем просто игнорировать.
Заполняя различные анкеты в госучреждениях, торговых точках и т. д., мы указываем много личной информации, которая могла бы стать доступной, если бы не одно «но» – в таких анкетах всегда присутствует пункт о разрешении на обработку данных в определенных целях. Нецелевое использование такой информации карается законом.
Закон о защите персональных данных заботится не только о физических, но и о юридических лицах. Мало кому понравится, если информация о финансовом состоянии дел или данных сотрудников компании будет доступна каждому желающему. Это значительно бы упростило жизнь мошенникам, чего не желают ни простые граждане, ни сотрудники правоохранительных органов.
Когда имя и фамилия не являются персональными данными?
Наличие исключений характерно для большинства российских законов, но в ситуации с ПДн, а точнее — ФИО как вида персональных данных, они отсутствуют. Абсолютно все сведения о человеке относятся к личной информации, и это в свое время было одним из условий вступления нашей страны во Всемирную торговую организацию. Хотя, по мнению некоторых экспертов, все не так однозначно, поскольку:
- в компании могут работать или обслуживаться сразу несколько однофамильцев;
- население России огромное, поэтому несложно найти тысячи людей, у которых совпадают не только имена и фамилии, но даже отчества;
- узнать фамилию, имя и отчество гражданина не составляет никакого труда — достаточно открыть социальные сети или воспользоваться поисковой системой.
При этом даже имя без фамилии нельзя назвать обезличенным, ведь в век прогрессирующих компьютерных технологий его вполне достаточно, чтобы установить обладателя. С другой стороны, каждый оператор может в целях улучшения безопасности ИСПДн воспользоваться предлагаемыми регулятором методами снижения значительной идентифицированности ПДн. Среди них:
- маркировка учетных записей с помощью особых меток, которые позволяют найти о субъекте полную информацию в общей базе при наличии соответствующего доступа;
- частичная замена данных;
- перемешивание ПДн, которые относятся к разным субъектам;
- разделение большого массива информации на несколько частей, которые хранятся отдельно друг от друга.
Характеристики безопасности персональных данных
Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:
ОСНОВНЫЕ:
- конфиденциальность
- целостность
- доступность
ДОПОЛНИТЕЛЬНЫЕ:
- неотказуемость
- учетность (подконтрольность)
- аутентичность (достоверность)
- адекватность
Структура информационной системы подразделяется на:
- автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
- комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
- комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
Персональные данные – использование на предприятии
В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).
Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.
Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.
В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.
В каких случаях ФИО относятся к персональным данным
Регулятор склонен считать ПД любые сведения, обрабатываемые оператором и предоставляемые ему субъектом при условии подписания согласия на обработку. Такой информацией будут и полные анкетные данные, и краткие сведения в интернет-магазине, по которым невозможно установить их реального обладателя. В любом случае все сведения должны защищаться с применением организационных, программных и технических способов обеспечения конфиденциальности.
Часто оператор, считая фамилию, имя, отчество общеизвестной информацией, хочет сократить расходы, связанные с их обработкой. Но в итоге такие манипуляции не приводят к достижению соглашения с регулятором. При проверке организация будет оштрафована, если защита имен граждан обеспечена программными решениями низкого уровня.
В инструкции об обработке ПД, с которыми работает Центробанк, это сведения о сотрудниках, аудиторах, руководстве коммерческих банков и других категориях лиц. В п. 5.1. четко указано: такие сведения, как фамилия и имя, отчество при его наличии, пол, являются персональными данными. На качество и степень обработки категория сведений не влияет. При этом Банк России уточняет, что только фамилии и имени для идентификации недостаточно, они должны быть использованы совместно с реквизитами паспорта или другой идентифицирующей информацией.
Простые персональные данные
К числу простых персональных данных относятся в первую очередь следующие сведения (п. 2.5 Методических рекомендаций):
- Фамилия, имя, отчество пациента.
- Дата и место рождения пациента.
- Паспортные данные (см., например, апелляционное определение Московского городского суда от 22.05.2014 № 33-14709).
- ИНН (см., например, Постановление Девятнадцатого арбитражного апелляционного суда от 10.03.2017 № 19АП-126/2017).
- СНИЛС.
- Адрес проживания и телефон (см., например, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 01.08.2017 № 78-КГ17-45).
- Семейное положение.
- Социальное положение.
- Имущественное положение.
- Образование.
- Должность и стаж работы.
- Доходы.
В своей деятельности медицинская организация сталкивается не со всеми из перечисленных данных. Как правило, это только первые 6 пунктов.
Несколько дискуссионным остается вопрос об адресе электронной почты, который пациенты очень часто сообщают медицинской организации для отправки результатов анализов и других целей. Можно найти судебные решения, где суд признает его персональными данными (см., например, решение Калининского районного суда г. Санкт-Петербурга по делу № 12-253/2015 от 26.05.2015). При этом практика и мнение Роскомнадзора по этому вопросу неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории персональных данных, а в случае, если адрес представляет собой лишь набор символов (слов), его нельзя считать персональными данными.
Соотношение понятий персональные данные и врачебная тайна
Как мы уже упоминали выше, понятие персональных данных тесным образом пересекается с понятием врачебной, или медицинской, тайны.
Напомним, что врачебную тайну составляют сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»). При осуществлении своей деятельности медработник не вправе разглашать эти сведения, в том числе после смерти гражданина за некоторыми исключениями, предусмотренными п. 3, 4 ст. 13, ч. 3 ст. 22, ч. 5 ст. 67 закона № 323-ФЗ. Эти сведения по сути относятся к числу специальных персональных данных.
Таким образом, мы видим, что понятие персональных данных шире понятия врачебной тайны и включает в себя более широкий объем сведений. Коротко можно сказать так: часть персональных данных, обрабатываемых медицинскими организациями, составляет врачебную тайну.
Отличие между ними заключается также в том, что институт персональных данных применяется в рамках любых общественных отношений, а врачебная тайна – только в узкой сфере – медицинской деятельности. Обработку и защиту персональных данных в медицинской организации осуществляет широкий спектр лиц (руководитель медицинской организации, администратор и т.д.), а врачебную тайну обязаны хранить только медицинские работники (врачи, медсестры и т.д.)
Выделяют несколько видов персональных данных:
- Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
- Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
- Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
- Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Банковская тайна при кредите
Если заемщик не платит по кредиту и нарушает график погашения долгов, при этом уклоняясь от общения с банком, тот начинает его искать. Обычно должников расстраивает то, что их финансовые проблемы становятся предметом обсуждения общественности – сотрудников, начальства, соседей, близких и др.
Они пишут гневные письма в народный рейтинг, которые, к сожалению, необоснованны. Все дело в том, что банковская тайна при кредите действует только для вкладчиков с расчетным счетом в банке. Заемщики вообще не имеют кредитного счета. А термин «кредитная линия» не играет роли и не обязывает учреждение хранить тайны таких клиентов.
В действительности банк открывает локальный ссудный счет, принадлежащий учреждению. А погашение долга идет в адрес кредитора, а не на мнимый «кредитный счет» клиента.
ПОСТАНОВЛЕНИЕ Президиума Высшего Арбитражного Суда Российской Федерации
№ 8274/09 от 17.11.2009
Положение «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ» (утв. Центробанком России № 302-П от 26.03.2007) определяет, что условие для выдачи и погашения кредита (т. н. кредиторская обязанность банка) – это открытие ссудного счета и его ведение самой финансовой организацией.
Подобные счета не входят в группу банковских и показывают в их балансе создание и погашение ссудной суммы. Иными словами, операций по выдаче кредитов и возврату денег, согласно оформленным кредитным договорам.
Выходит, что действия финансового учреждения по управлению ссудными счетами нельзя расценивать как отдельную услугу банка. А ссудный счет клиента является всего лишь внутренним ресурсом банка, который вообще не связан с заемщиком. Он создан для контроля его кредиторской задолженности, которая для самого банка будет дебиторской.
Таким образом, счет заводят не для заемщика, а только для ведения учета операций. Примерно так же предприятия учитывают дебиторские долги по счету 62, 76 и др. Согласно бухучету ВСЕ клиентские счета кредитного учреждения фигурируют в ПАССИВЕ банковского баланса.
Статья 11 Налогового кодекса РФ (пункт 2) гласит, что «под счетами понимаются расчетные (текущие) и иные счета в банках, открытые на основании договора банковского счета, на которые зачисляются и с которых могут расходоваться денежные средства организаций и индивидуальных предприятий». Итак, при оформлении кредита ДЕНЬГИ ПОСТУПАЮТ на счет заемщика. Тут же ИДЕТ дебетовая ПРОВОДКА по счету ссуды. Становится очевидным, что ссудный счет не попадает под свое определение в статье 11 (пункт 2). Это – с правовой позиции.
Выходит, что банк заводит ссудный счет БЕЗ СПРОСА, НА ОСНОВАНИИ локальных документов и во исполнение своих инструкций по бухучету и предоставлению услуг.
Положение Банка России № 385-П от 16.07.2012
«О правилах ведения бухучета в кредитных организациях, расположенных на территории РФ» (последний вариант)
№ 455 «Кредиты и прочие средства, предоставленные физлицам»
Активные счета, предназначенные для контроля задолженности по кредитам, другим вложенным средствам согласно графику погашения; для контроля долгов по прочим средствам, которые выданы клиентам; по кредитам, одобренным при нехватке денег на текущем счете (по «овердрафту»), и пассивные счета, где учтены ресурсы на возможные убытки.
Как гласит Федеральный закон, “персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация”. Подробнее о том, что такое персональные данные и какие сведения входят в это понятие, мы рассказываем в отдельной статье, а какие категории ПД бывают читайте тут.
К примеру, Сбербанк России при оформлении кредитного продукта запрашивает те личные данные клиента, которые могут подтвердить его платежеспособность, что в дальнейшем приводит к возможности заключения договора с ним. Это такая стандартная информация как ФИО, дата рождения, адреса прописки и проживания, основные сведения паспорта, номер его телефона.
Но Банк имеет возможность попросить предоставить контактную информацию о близких родственниках или друзьях заемщика. Это действие направлено на проверку клиента, а также в случае невозможности дозвониться до него напрямую.
Обязательным условием при оформлении кредитных продуктов является фотографирование клиента. Это условие дает возможность Банку идентифицировать его и обезопасить себя и клиента от мошеннических действий ( часто при краже паспорта заемщика). Фото совместно с заполненной анкетой также является его персональной информацией.
Банк имеет право запрашивать персональные данные клиента для проверки его благонадежности и платежеспособности.
Подробнее о том, что считается персональными данными, мы рассказываем в специальном материале.
Персональные данные пациента и врачебная тайна
Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст. 10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.
Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.