Что такое персональные данные: распространение, использование и закон о защите личных данных

Обновлено 17 июля 2022 Просмотров: 111 730 Автор: Дмитрий Петров

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Частная жизнь – сфера, в которую пускать посторонних не только не хочется, но и попросту опасно. Однако интернет через социальные сети провозгласил эпоху информационной открытости, когда личная информация практически мгновенно становится достоянием общественности.

Данные

Не углубляясь в идеи криптоанархизма (не лишенные, кстати, здравого смысла), поговорим о понятии «персональные данные» – что к ним относится, нужно ли их защищать и какими методами? Но сначала – базовая информация, владеть которой в наше время должен каждый, кто пользуется возможностями интернета.


Персональные данные — это...

В общеупотребительном смысле ПД (персональные данные) – это личные сведения конкретного физического лица. Они позволяют изучить личность или, наоборот, на основе комплекса обезличенных характеристик вычислить конкретную персону.

В упрощенном понимании под такими данными понимают минимальный набор свойств, выраженных в такой, например, информации:

  1. ФИО;
  2. пол;
  3. возраст;
  4. место рождения;
  5. прописка;
  6. образование;
  7. семейный статус;
  8. место работы и должность.

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПД.

Все перечисленное легко найти как в паспорте, так и в свидетельствах о рождении и браке или в трудовой книжке. Примечательно, что именно на основе этих документов совершается большая часть юридически значимых процедур, способных существенно повлиять на жизнь человека, – от взятия кредита до получения наследства.

Благодаря цифровизации и развитию автоматизированного анализа сбор таких данных стал централизованным, а это значит, что не исключается утечка и продажа сведений о любом человеке.

Понятно, что обладание подобной информацией дает возможность недобросовестным владельцам не только выследить определенное лицо, но и обворовать его, украсть его личность либо спланировать против него практически любое преступление.

Так что необходимость защиты столь ценных данных от попадания в чужие руки совершенно очевидна.

Какими бывают персональные данные

Личная информация не сводится к столь строгому перечню, как приведенный выше список. Используемое в законе понятие опирается на Европейскую конвенцию по защите персональных данных, а федеральные органы не обладают достаточными полномочиями для уточнения или подробной трактовки. Вот почему под такой информацией часто понимают гораздо более широкий перечень персонализированных сведений.

Поскольку организациям для работы необходима информация о сотрудниках и/или клиентах, ее собирают, изучают и обрабатывают. Для каждого предприятия или ведомства набор важных данных собственный, но при этом все систематизированные базы подчиняются единому законодательству, ведь информацию из них легко связать с определенными лицами.

Российское федеральное законодательство разбило сведения о гражданах на категории для удобства обработки и дальнейшего анализа. В итоге получились четыре обширные группы персональных данных:

  1. общие;
  2. специальные;
  3. биометрические;
  4. иные.

К первой относятся данные из паспорта, информация об образовании, трудоустройстве, а также способы связи. Сюда не входит информация о личности, только способы выделить конкретного человека из общей массы сведений.

А вот группа специальных данных уже касается сугубо личной сферы, так как здесь уже раскрывается информация об:

  1. этнической принадлежности;
  2. политических воззрениях;
  3. религиозных убеждениях;
  4. медицинских показателях;
  5. личной жизни (семейное положение, финансовое и имущественное состояние);
  6. наличии судимостей и т.п.
Мобильники

Такие сведения делают персону абсолютно беззащитной и даже позволяют дискредитировать в глазах общественности. Однако наиболее углубленной персонализацией обладает группа биометрических данных, поскольку сюда включены факторы, облегчающие идентификацию тела по биологическим показателям:

  1. внешность (фотография, видео);
  2. запись голоса;
  3. отпечатки пальцев;
  4. анализ ДНК;
  5. группа крови;
  6. рост, вес, цвет глаз и др.

Оба эти списка, в частности, относятся к сегменту, какие персональные данные нельзя разглашать.

Наконец, если информацию невозможно отнести к одной из трех перечисленных категорий в силу специфики, ее относят к иным данным:

  1. участие в социальной группе;
  2. корпоративные данные;
  3. любимые напитки;
  4. предпочитаемые развлечения, хобби и т.д.

Последний список может показаться смешным, но при этом закон запрещает без согласия человека собирать, хранить или каким-либо иным образом обрабатывать подобного рода сведения.

Например, в США за такие действия легко получить запретительный орден, требующий от виновного больше не приближаться к жертве преследования. Кроме того, даже если кто-то добровольно поделился секретами личной жизни, то разглашать их третьим лицам – противозаконно.

Защита и юридические нюансы работы с персональными данными

Личность

Когда речь идет о трактовке каких-либо сведений в качестве персональных данных, стоит опираться на судебную практику и позицию Роскомнадзора. Например, рентгеновские снимки не относятся к биометрическим данным, хотя в определенных обстоятельствах их попадание в публичный доступ и можно рассматривать как нарушение медицинской тайны.

Намного интереснее выглядит взаимодействие в интернете. Так, не всякий сайт собирает личные данные, однако вся информация из социальных сетей – персональная. Это подразумевает сам факт регистрации, которая позволяет идентифицировать конкретное лицо.

Буквально вся публикуемая информация не считается общедоступной, если анкета и/или личный кабинет включают хотя бы один пункт:

  1. ФИО;
  2. контактные данные;
  3. e-mail.

Даже файлы cookie, отвечающие за персонализацию сайта, и никнейм, если имеет расшифровку с привязкой к личности, ставят администрацию ресурса в двоякое положение. Вот почему при первом посещении появляются окна с запросом на обработку информации, а пользователи вынуждены подписывать соглашение.

Поскольку персональные данные – это перечень личных сведений, для обработки которых нужно согласие человека, есть соответствующий закон, который регулирует деятельность по обработке каждого вида персональной информации, – это Федеральный закон «О персональных данных» №152-ФЗ, принятый 27.07.2006 г.

Возвращаясь к теме регистрации на сайтах, уточним, что в этом законе не прописано никаких юридически обязывающих требований заверить факт соглашения звонком или через SMS – как правило, бывает достаточно галочки и нажатия кнопки на сайте.

С другой стороны, гражданин в любой момент имеет право отозвать свое согласие, после чего ресурс обязан в кратчайшие сроки удалить все сведения, так или иначе затрагивающие конкретную персону.

Схожие процедуры действуют при оформлении документов в Многофункциональных центрах (МФЦ), где для сложных бюрократических процедур требуется подписать информированное согласие по обработке личных данных. В противном случае чиновники просто не смогут передать запрос с персональными сведениями дальше, чтобы не получить штраф или срок.

Естественно, существуют исключения в рамках:

  1. международных договоренностей;
  2. требований российского закона;
  3. нужд судопроизводства;
  4. полномочий государственных органов;
  5. исполнения или заключения договора;
  6. защиты жизни и здоровья;
  7. ради общественно значимых целей;
  8. журналистской деятельности и работы СМИ;
  9. анализа общедоступных сведений;
  10. в статистических либо исследовательских целях (с обязательным обезличиванием).
Отдых

Также работать с информацией, если это необходимо для осуществления деятельности, могут «операторы», под которыми понимают работодателей, банки, магазины, поставщиков услуг связи, медицинские центры и т.п.

Но если в процессе или по завершении работы сведения о гражданах будут разглашены (окажутся в публичном доступе), то это уже считается преступлением. С другой стороны, скандал с «Яндекс.Едой» показал, что штрафные санкции не всегда эффективны: всего 60 тыс. штрафа – за таблицу с адресами, телефонами и тратами тысяч россиян. Вот и вся ответственность!

Закон 152-ФЗ о персональных данных — как их правильно собирать и хранить

С начала июля этого года, в связи с дополнениями в законе 152-ФЗ, существенно повышается вероятность получить по носу (в виде штрафа приличного размера) от Роскомнадзора за нарушение правил работы с персональными данными пользователей. Вообще, это тема злободневная для нашей текущей политики, и на этой почве как раз и произошло неприятное для нас (вебмастеров) событие — одновременное усиление ответственности и упрощение процедуры наложения штрафов.

Дополнения в закон 152-ФЗ о защите персональных данных

Теперь Роскомнадзор может выписать штраф без привлечения прокуратуры и размеры этих штрафов получаются какие-то запредельные особливо для тех, кто оформился как юр. лицо или ИП (ладно там гиганты интернет-индустрии, но большинству это мало не покажется). Например, за сбор Емайлов без согласия оппонента можно получить штраф до 75 тыс. рублей для юр.лиц, хотя физ. лицо отделается несколькими тысячами.

Получается, что физ. лицо несет меньше ответственности и это логично (владельца сайта «хомячка» с формой обратной связи на бОльшую сумму штрафовать рука не поднимется). Но ко многим «серьезным» вебмастерам может возникнуть вопрос о незаконной предпринимательской деятельности, если сайт монетизируется (а это несложно понять). Неплохой способ для Роскомнадзора совместить приятное (штрафы) с полезным (выявление незаконных предпринимателей).

Ключевой вопрос состоит в том, что считать персональными данными, подпадающими под этот закон? ФИО, адрес, паспортные данные, номер телефона или же просто Емайл, имя, cookie (Ip адреса, поисковые запросы и т.п.) или того хуже, ник. Этот вопрос вообще ключевой по отношению к 99% процентам вебмастеров рунета, которые из этого списка обычно собирают только Емайлы, куки и имена (в форме добавления комментария, в форме подписки или обратной связи).

Однозначной трактовки нет и это пугает, ибо есть свобода маневра в том случае, если Роскомнадзор захочет оштрафовать как можно больше владельцев сайтов. С другой стороны, в сети есть призывы не паниковать, ссылаясь на слова главы Роскомнадзора, сказанными в одном из интервью:

Что такое персональные данные по версии закона 152-ФЗ от Роскомнадзора

Повторю ответ на вопрос заданный в заголовке этой публикации — я не знаю истины, но в силу масштабности возможных штрафов предпочитаю «подстелить соломки» и нивелировать риски нарушения самых «убойных» пунктов, за которые взимаются самые большие суммы (десятки тысяч рублей за одно нарушение).

Как снизить риск штрафа за нарушение закона 152-ФЗ?

Понятно, что закон писался все же для «серьезных» сайтов с огромной аудиторией и большими объемами собираемых персональных данных. Во-вторую очередь шерстить, наверное, будут интернет-магазины и прочую коммерцию, ибо там штрафы однозначно будут большие (юр.лица, ИП). Но вполне возможно, что дойдет дело и до обычных владельцев небольших ресурсов. Поэтому определенные действия все же предпринять стоит.

Тут ключевым является именно «снизить риск», ибо дать гарантию, что к вам после этого уже не докопаются, будет сложно. Во-первых, нужно быть юристом, чтобы понять все возможные заковыки. Во-вторых, формулировки и трактовки расплывчаты. В-третьих, ключевую роль могут сыграть варианты реализации описанного ниже. В общем, снизить риск, но не снять проблему полностью.

Итак, что желательно сделать, чтобы у Роскомнадзора не возникло желание с вами поближе познакомиться:

  1. Хранить собираемые персональные данные на территории Российской федерации. Тут все определяется, как я понимаю, географическим расположение сервера, на котором работает сайт. Т.е. хостинг желательно выбирать на территории России. Собственно, из-за этих проблем (хранения личных данных россиян за пределами страны) и был заблокирован Линкедин (соцсеть для работников и работодателей).
  2. Пользователей необходимо поставить в известность о тех мерах безопасности, которые вы предпринимаете для хранения сообщаемых ими персональных данных (и ответственности, которую несут стороны). Для этого обычно размещают на сайте так называемую «Политику конфиденциальности», где нужно будет все четко и по пунктам расписать. Где ее взять? Ну, списать у кого-нибудь или, например, можно использовать сервисы для ее автоматического составления:
    1. Политика конфиденциальности для коммерческого и обычного сайта (я его использовал, но потом чутка дооформил полученный документ). Нашел ссылку на этот сервис у Сергея Сосновского.
    2. То же самое, но есть ограничения при бесплатном использовании
  3. Нужно, чтобы ссылка на страницу с политикой конфиденциальности была доступна с любой страницы вашего сайта, поэтому ее нужно сделать сквозной, разместив, например, в футере или в низу сайдбара.
  4. Нужно, чтобы перед отправкой вам своих персональных данных через любую форму на сайте пользователь предварительно соглашался с описанной выше политикой конфиденциальности.
    1. В идеале — это должен быть чекбокс, не поставив галочку в котором пользователь данные отправить не сможет. И естественно, что ссылка на эти самые правила обработки данных должна быть рядом (пользователя может заинтересовать с чем он соглашается). Именно такую реализацию я сейчас вижу на сайтах некоторых банков.
    2. Но сам я сделал упрощенно — просто написал, что наживая кнопку вы, дескать, соглашаетесь со всем и вся (см. внизу этой статьи под формой подписки на рассылку).
  5. Желательно не собирать лишней информации о пользователях в различных формах и заявках. Во-первых, это ухудшает воронку конверсий (чем больше полей, тем меньше желание их заполнять), во-вторых, возможно, собираемая вами информация и не подпадет таки под шаблон Роскомнадзора.
  6. Даже если вы данные не собираете и не храните, например, используя сторонние системы комментирования (типа дискуса) или социальные сети для входа на сайт, то я бы все равно в политике конфиденциальности об этом упомянул и описанное выше предупреждение разместил. Например, Гугл Адсенс требует упоминать в политике конфиденциальности, что на сайте ведется сбор информации из куков, пусть это осуществляет и сторонняя сайту система контекстной рекламы.
  7. Данные нужно надежно хранить. Как это будут проверять не знаю. К тому же, по первому требованию вы данные пользователя должны будете удалить из своей базы. Вот это уже проверить намного проще.
  8. Ну и, естественно, следуя пунктам закона 152-ФЗ вы должны (просто обязаны) настучать на себя в Роскомнадзор. Конкретных штрафов за невыполнение этого требования не приводится, но они, скорее всего, есть. Хотя я этот пункт проигнорировал (ну, типа, сделал главное и забыл сообщить, просто погрузившись в рутину накопившихся за это время дел).

Думаю, что ссылку на мою версию политики хранения персональных данных пользователей вы найдете без труда (с некоторых страниц на нее аж по три ссылки ведет). Варианты оформления своих форм подписки, обратной связи, комментирования, заказов и т.п. вы тоже выберите сами исходя из своих соображений. Мне же остается только откланяться и сказать спасибо тем, кто дочитал до этого предложения.

Вместо заключения

Персональные данные сегодня мало чем отличаются от банального физического кошелька. Да, это собственность человека, которой он волен распоряжаться по своему усмотрению. Даже если некоторые могут как-то взаимодействовать, все происходит с согласия или разрешения владельца, а за нарушения предусматривается ответственность вплоть до уголовной. Но разве это мешает карманникам в транспорте вытаскивать портмоне с наличными и кучей банковских карт?

Учитывая распространенность мошенническим схем, современникам стоит внимательнее относиться к любым сведениям о себе, выкладываемым в общий доступ. И хотя спрятаться от государства в интернете очень сложно (если вообще возможно), то для любых незнакомцев из социалок лучше оставаться максимально анонимными.

Как минимум, это снизит риск потерять сбережения на банковской карте, как максимум – от полного разорения или вовлечения в уголовные схемы.

Ваш комментарий или отзыв