Является ли СНИЛС персональными данными?
Закон о защите персональных данных создал бизнесу дополнительные риски. Фото предоставлено пресс-службой МШУ «Сколково»
Принятие Федерального закона № 152 «О персональных данных» стал головной болью для многих компаний, накладывая на них огромную ответственность. Как в такой ситуации быть тем, кому персональные данные жизненно необходимы для работы, — в частности, интернет-магазинам, — в материале «КС».
Рассматриваемая тема поднималась в начале мая на очередном заседании eCommerce-клуба «Сибирь». Анна Войцехович, патентный поверенный юридической компании «Гребнева и партнеры», чьей специализацией является интеллектуальная собственность, рассказала участникам встречи о том, как можно спокойно жить и работать с персональными данными в условиях сегодняшнего закручивания гаек. «КС» консолидировал тезисы ее выступления и попутно обратился и к другим экспертам в области права, предложив дать свои рекомендации бизнесу в этом отношении.
Содержание
Кто хочет стать оператором
Что нужно сделать, чтобы Роскомнадзор включил вас в список операторов персональных данных (ПДн)? Да, собственно, почти ничего — достаточно завести на сайте личный кабинет, анкету для пользователя, кнопку обратного звонка, форму для объявления. Можно ли найти интернет-магазин, у которого нет ничего вышеперечисленного?
Если компания, занимающаяся торговлей через Интернет, попадает под это определение (а это почти 100%), ей нужно уведомить Роскомнадзор, причем желательно сделать это как можно скорее, лучше всего еще до того, как начать сбор персональных данных клиентов.
Что нужно запомнить в первую очередь
Во-первых, четкого определения того, что должно входить в перечень персональных данных, нет. Есть то, что Роскомнадзор может счесть таковыми, и вопрос каждый раз будет рассматриваться индивидуально. Если проследить текущую тенденцию судебных дел, персональными данными может быть сочтена следующая информация: фамилия, имя и отчество, дата и место рождения, домашний адрес, семейное, социальное и имущественное положение, образование и место работы. Очень важно: чтобы сведения признали персональными данными, необязательно собирать все, что перечислено выше, достаточно всего одного пункта.
«По факту персональными данными можно назвать любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. То есть персональные данные — это любые сведения о человеке, по которым можно его идентифицировать, — подчеркнула Анна Войцехович. — Закон не содержит полного и исключительного перечня таких сведений. Никакой проверки того, что данные относятся к конкретному физическому лицу, закон не предусматривает. Даже если клиент ввел заведомо вымышленные данные, от обязанностей по обработке персональных данных это вас не освобождает».
Во-вторых, презумпции невиновности для подозреваемых здесь фактически нет. РКН не должен доказывать, что те или иные данные — персональные. «Есть основания полагать» — этого более чем достаточно. В свою очередь держатель информации должен дать как можно более убедительные подтверждения тому, что эта информация действительно необходима. Вот пример: интернет-магазин просит при регистрации указать день рождения — для чего? Самый очевидный ответ — чтобы предложить специальную скидку в день рождения или просто поздравить — проверяющих вряд ли устроит. Регулятор вправе потребовать предоставить документ, в котором прописана подобная программа лояльности. Не предоставили — все, сбор считается необоснованным. Говорите, что программа только разрабатывается, — то же самое. «Позиция Роскомнадзора очень проста — информация должна собираться с предельно конкретной целью, и у вас должно быть очень четкое объяснение, зачем вам нужна каждая ее деталь», — комментирует юрист.
Очень часто интернет-коммерсанты собирают все подряд «на всякий случай», не задумываясь о том, зачем нужны все эти сведения, — и это одна из самых распространенных ошибок. Абсолютное большинство персональных данных, которые просят магазины, им не нужны: нередки случаи, когда просят указать домашний адрес еще на этапе регистрации, иногда требуют ввести еще и паспортные данные. Их, кстати, по мнению Анны Войцехович, лучше не собирать вообще; единственная отрасль, которой эти сведения действительно необходимы, — это медицинская, и к ней РКН проявляет особое внимание.
В-третьих, не стоит ожидать того, что вас предупредят перед проверкой. Разумеется, контролирующий орган (в нашем случае РКН) обязан заранее прислать уведомление перед проверкой, если требуется посмотреть какие-то документы в офисе, содержимое сервера, компьютеров и так далее. Но в случае с персональными данными это, как показывает практика, попросту не нужно — по словам Анны Войцехович, в 95% случаев нарушения находятся прямо на сайте компании или магазина. И для того, чтобы их обнаружить, никакие предупреждения не нужны.
Законы, на которые опирается РКН
Нормативных правовых актов, на основании которых разбираются дела о хранении персональных данных, не так много. Чаще всего рассматривается закон 152-ФЗ «О персональных данных», если речь идет об информации о клиентах, и 14-я статья Трудового кодекса, если субъект персональных данных — сотрудники самой компании. Нарушения данных законов относятся к Административному кодексу.
Подходят ли под категорию персональных данных номер мобильного телефона и электронная почта? Однозначного ответа до сих пор нет. Позиция Роскомнадзора — да, являются, ведь SIM-карты продаются и регистрируются по паспорту, и если вбить в поисковик номер телефона, можно выудить персональную информацию о владельце. Позиция многих юристов — нет, не является, договор с оператором сотовой связи может быть заключен на другое физлицо, а почта может быть рабочей. Уже есть судебные решения: в Санкт-Петербурге суд признал персональными данными e-mail, в Липецке — номер телефона. Бывает, что определения суда включают в список персональных данных еще техпаспорт на дом, сведения о пересечении госграницы — и все эти дела становятся прецедентными. И с ними приходится жить.
Как показывает опыт, судебная и административная практика склоняются к тому, что номер мобильного телефона относится к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, использовать номер для рассылки по нему какой-либо информации).
Если интернет-магазин использует в качестве логина e-mail адрес — это уже сбор персональных данных
Логин и пароль, без которых интернет-коммерсантам, имеющим на своем продающем сайте личный кабинет, никак нельзя обойтись, к счастью, пока персональными данными не признаются. Анна Войцехович приводит цитату руководителя РКН Александра Жарова: «Сами по себе имена пользователей и пароли к учетным записям в сервисах электронной почты или в социальных сетях не являются персональными данными». Но если интернет-магазин использует в качестве логина e-mail адрес (не всегда, но такое тоже встречается) либо требует указать его для подтверждения регистрации (намного чаще) — это уже сбор персональных данных.
Являются ли персональными данными IP-адреса — вопрос во всех отношениях спорный. Арбитражный суд Челябинска в феврале 2016 года дал положительный ответ, за полгода до этого в Санкт-Петербурге суд сделал противоположный вывод. «По моему мнению, IP-адреса нельзя назвать персональными данными, поскольку они идентифицируют не физическое лицо, а компьютер, — высказывает свою точку зрения Анна Войцехович. — И чтобы понять, насколько эта техника ассоциируется с конкретным пользователем, нужно еще очень сильно постараться. В общем, из моей личной практики общения с правоохранительными органами, запросов и судов, я могу сделать вывод, IP-адрес не является персональными данными».
О фотографиях
Закон «О персональных данных», как уже говорилось, не содержит конкретного перечня ПДн, но выделяет несколько категорий: общие, по которым человека можно определить сразу, специальные, раскрывающие его лишь частично, и биометрические. Последние включают в себя не только отпечатки пальцев, но и, например, фотографии, по которым можно удостоверить личность человека. Анна Войцехович приводит пример из личного опыта: на фотографии с места происшествия в кадр попал случайный человек, и полиция, сочтя это биометрической информацией, изъяла снимки, выдав только протокол, без приложения.
Если фотография биометрическая, нужно обязательно взять разрешение на ее публикацию. И сделать это письменно. Если изображение используется в СМИ или рекламе (даже если по ней нельзя опознать человека) — согласие также обязательно. Даже если субъект позировал фотографу сам и получил за это деньги, это не означает автоматического согласия — все должно быть оговорено заранее.
Можно ли исключиться из списка оператора персональных данных?
Совсем исключить себя из списка операторов персональных данных интернет-магазину не удастся, но в ряде случаев можно не подавать уведомление в РКН. Уведомление можно не подавать в следующих случаях.
Если все субъекты ПДн — сотрудники самой компании.
Если персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться. Такой прием используется коммерсантами часто, но по факту с нарушениями. Очень важно запомнить, что заключение договора (или хотя бы начало его оформления) должно произойти раньше обработки персональных данных клиента. В реальности же покупатель сначала регистрируется на сайте, потом выбирает покупку, и уже потом, возможно, что-то покупает. РКН при проверке обязательно обратит на это внимание.
Третий вариант — если человек сам опубликовал свои данные в общем доступе. Этот прием, вопреки утверждению многих юристов, вполне работоспособный, хотя и трудоемкий — подтверждение приходится делать по каждому субъекту. Сам Роскомнадзор смотрит на этот способ более лояльно, чем на предыдущий — в противном случае они бы просто не успевали обрабатывать все поступающие заявки.
О санкциях
С 1 июля 2017 года штрафы за нарушения работы с персональными данными увеличились. С этого момента КоАП (санкции за нарушения 152-ФЗ содержатся в основном в ст. 13.11) включает в себя семь правонарушений, шесть из которых могут затронуть интернет-коммерсантов.
За необоснованный сбор данных (например, номер паспорта, ИНН там, где они не нужны) — штраф до 50 тысяч рублей.
За сбор персональных данных без согласия владельца (нет письменного подтверждения) — до 75 тысяч рублей.
За не опубликованную Политику конфиденциальности компании-оператора (или ее отсутствие) — до 30 тысяч рублей.
За непредоставление субъекту персональных данных информации о них (молчание в ответ на запрос) — до 40 тысяч рублей.
За невыполнение в срок требования субъекта ПДн или контролера (например, уничтожить или уточнить данные) — до 45 тысяч рублей.
За утечку персональных данных или несанкционированный допуск к ним (кроме тех случаев, когда работает уже уголовная статья) — до 50 тысяч рублей.
В случае особо тяжелых нарушений может быть задействован уже Уголовный кодекс, в частности, ст. 131 («Нарушение неприкосновенности частной жизни») или ст. 272 («Неправомерный доступ к компьютерной информации»). Здесь наказание может дойти и до лишения свободы на срок до четырех лет.
Анна Войцехович отмечает также, что решение о том, дать нарушителю время исправиться, оштрафовать сразу или, например, арестовать сервер, Роскомнадзор принимает на месте. Решение зависит в том числе от отрасли, в которой работает компания, к некоторым (например, к медицинским учреждениям) контролеры относятся строже, чем к остальным. Плюс нужно учесть, что приведенные выше штрафы выписываются за каждый установленный факт нарушения и в итоге суммируются. И, что самое печальное, если за одну проверку найдется более одного нарушения, Роскомнадзор имеет полное право закрыть сайт и изъять сервер — то есть парализовать работу всей компании как минимум на два месяца. «Зеркала» открывать бесполезно — РКН давно умеет их находить и закрывать, механизм уже отработан. Так будет хуже только самим нарушителям.
Алгоритм действий
Сооснователь и главный эксперт компании «Б-152» Максим Лагутин по просьбе «КС» дал несколько рекомендаций о том, как не попасть под нарушение федерального закона.
Во-первых, нужно письменно ответить на вопрос, какую информацию о пользователях вы собираете, каким образом она используется и кому передается. Все это должно быть внесено в текущие документы.
Во-вторых, нужно предупреждать всех обо всем: на сайте должно висеть уведомление о сборе не только cookies, но и пользовательских данных. Убедитесь, что политика в отношении обработки данных опубликована и доступна на сайте.
На сайте должно висеть уведомление о сборе не только cookies, но и пользовательских данных
В-третьих, важно собирать согласия на обработку персональных данных: нужно высылать ссылку для подтверждения на почту, СМС-код на мобильный телефон или сохранять IP-адрес пользователя. Проверьте, что каждый случай сбора персональных данных на сайте содержит ссылку на соответствующее этой цели согласие. Это может быть просто текст или поле для галочки «Нажимая на кнопку «Отправить сообщение», я даю свое согласие на обработку персональных данных». При этом текст «я даю свое согласие» должен быть ссылкой на текст самого согласия, который должен быть прочитан перед тем, как пользователь сможет дать согласие.
В свою очередь Анна Войцехович рекомендует для начала разделить публичную оферту на три документа.
- Пользовательское соглашение — договор присоединения, который принимается пользователем без оговорок в полном объеме. Документ позволяет заранее урегулировать возможные конфликты, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию. В ПС прописываются общие условия использования сайта, ответственность владельца сервиса, как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров.
- Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин.
- Политика конфиденциальности, которая описывает порядок обработки персональных данных. Она должна включать в себя перечень информации, которую собирает и обрабатывает сайт, цель сбора информации, требования к защите ПДн и случаи, когда они могут быть переданы третьим лицам. Обязательное условие — пользователь должен иметь возможность редактировать свои данные. Если проверяющий не найдет нужной формы — это уже нарушение. ПК утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Если условия ПК меняются, нужно не только уведомить пользователя об изменении, но и обязательно сохранять на сайте старые редакции Политики, на основании которых собирались персональные данные. Не сохранили — это уже нарушение.
Все три документа должны быть утверждены владельцем сайта и размещены в офисе компании или ином месте пребывания владельца сайта в бумажном виде. Плюс их нужно опубликовать на самом сайте и в мобильном приложении.
Положение о защите персональных данных должно тесно пересекаться с Политикой конфиденциальности, но не дублировать друг друга. Если Роскомнадзор во время проверки найдет в них противоречия (например, в одном документе какое-то условие оговорено, а в другом нет), документы будут признаны «не работающими».
«Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия, которое необходимо поставить на все формы сбора персональных данных на сайте и тем самым выполнить закон. На самом деле на сайте персональные данные через разные формы собираются в разных целях — в одних случаях для осуществления рассылок, в других — для контакта с человеком, в третьих — для скачивания промоматериалов или заказа прайс-листа, — отмечает Максим Лагутин. — Цели разные, и согласия должны быть разные, в противном случае также возможно попасть на штраф на сумму до 50 тысяч рублей».
Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия
Отписка от рассылок и уведомлений должна работать четко и без сбоев, кнопки отписки должны находиться на видных местах. Если проверяющий не сможет их найти или хотя бы один человек пожалуется на то, что не смог отписаться (и таким образом магазин хранит его данные незаконно), — это уже нарушение.
Нужно выделить и указать на сайте отдельный e-mail адрес, по которому физическое лицо может обратиться с требованием об изменении, удалении его персональных данных и задать любые вопросы по ним. Желательно, чтобы это был не общий почтовый ящик типа info@companyname.com, а выделенный специально для этого адрес.
Лучше всего как можно чаще информировать посетителей и клиентов о том, что их данные собираются и хранятся — в том числе и для маркетинговых исследований. Лишний раз сказать намного лучше, чем не сказать.
Если РКН готов начать проверку (а не просто мониторинг сайта), то, получив уведомление, нужно провести самоаудит: собрать нужные документы, оповестить сотрудников и постараться донести до проверяющих, что вы законопослушные операторы и добросовестно всех обо всем оповещаете.
Наконец, последний пункт, который тоже относится к закону о персональных данных — серверы с ними должны находиться на территории России.
ПРЯМАЯ РЕЧЬ
Антон Карасев, начальник отдела интернет-маркетинга группы компаний «ИТ-ГРАД»:
— Компаниям, относящимся к интернет-магазинам или иным формам бизнеса, необходимо выполнять установленные требования регулятора и в первую очередь помнить о собственной ответственности. Чтобы избежать нарушений, необходимо проработать вопрос правильности составления политики обработки персональных данных и предусмотреть возможность взятия обязательного согласия на обработку ПДн. Если на сайте интернет-магазина присутствуют какие-либо формы сбора данных, под каждой из них необходимо разместить предложение о том, что субъект дает согласие на обработку персональных данных, и обязательно предусмотреть возможность принятия этого условия. Не стоит забывать и о прописанных условиях обработки ПДн, которые должны сопровождаться гиперссылкой на документ со страницы веб-сайта.
Дмитрий Коробицын, генеральный директор компании «Поставщик счастья»: — Мы серьезно относимся к подобным юридическим аспектам. Наши компания работает с интернет-магазинами, которых напрямую касается вопрос о персональных данных. Рекомендую каждой компании обратить внимание на опубликованные на своем сайте документы и, если нужно, оперативно внести в него правки. Чтобы избежать штрафа по причине нарушения требований ФЗ «О персональных данных”, нужно разместить на сайте два документа. Первый — «Согласие субъекта на обработку персональных данных”. Это понятный документ, в котором фиксируется, что пользователь соглашается на обработку своих персональных данных. После указания своих данных (ФИО, почта и телефон) он ставит галочку о том, что он не против обработки данных, которые оставил на сайте. Там же, как правило, ему предлагается ознакомиться с полным текстом документа. Второй документ — менее понятный, но необходимый — «Политика организации в отношении и обработки персональных данных”. Нет четкого объяснения, каким должен быть этот документ, что такое политика. В связи с этим юристы ИТ-компаний решили, что политикой может стать компиляция из ФЗ «О персональных данных» и некоторая информация из документа «Согласие на обработку персональных данных”. Редакция «КС» открыта для ваших новостей. Присылайте свои сообщения в любое время на почту news@ksonline.ru или через наши группы в Facebook и ВКонтакте Подписывайтесь на канал «Континент Сибирь» в Telegram, чтобы первыми узнавать о ключевых событиях в деловых и властных кругах региона. Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter
Положение о персональных данных
I. Общие положения
II. Основные понятия и состав персональных данных работников
III. Сбор, обработка и защита персональных данных
IV. Передача и хранение персональных данных
V. Доступ к персональным данным работников и обучающихся
VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Приложения № 1
Все страницы
Страница 3 из 8
II. Основные понятия и состав персональных данных работников
2.1. Для целей настоящего Положения используются следующие основные понятия:
– персональные данные работника или обучающегося — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— оператор – юридическое лицо ЧОУ ВО ЮИМ, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников или обучающихся Института;
– конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников или обучающихся, требование не допускать их распространения без согласия работника или обучающегося или иного законного основания;
– распространение персональных данных — действия, направленные на передачу персональных данных работников или обучающихся определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников или обучающихся в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников или обучающихся каким-либо иным способом;
– использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Института в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников или обучающихся либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
– блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников или обучающихся, в том числе их передачи;
– уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или обучающихся или в результате которых уничтожаются материальные носители персональных данных работников или обучающихся;
– обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику или обучающемуся;
– общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или обучающегося или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
– информация — сведения (сообщения, данные) независимо от формы их представления;
– документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. В состав персональных данных работников или обучающихся Института входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.
2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Института при его приеме, переводе и увольнении.
2.3.1. Информация, представляемая работником при поступлении на работу в Институт, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
– паспорт или иной документ, удостоверяющий личность;
– трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
– страховое свидетельство государственного пенсионного страхования;
– документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
– документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
– свидетельство о присвоении ИНН (при его наличии у работника).
2.3.2. При оформлении работника в Институт работником отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника», а для научно-педагогического работника еще и унифицированная форма Т-4 «Учетная карточка научного, научно-педагогического работника», в которых отражаются следующие анкетные и биографические данные работника:
– сведения о воинском учете;
– данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
– сведения о переводах на другую работу;
– сведения об аттестации;
– сведения о повышении квалификации;
– сведения о профессиональной переподготовке;
– сведения о наградах (поощрениях), почетных званиях;
– сведения об отпусках;
– сведения о социальных гарантиях;
– сведения о месте жительства и контактных телефонах;
— ученая степень;
— ученое звание;
— научно-педагогический стаж.
2.3.3. При зачислении на учебу абитуриент представляет в приемную комиссию института следующие документы, содержащие персональные данные о себе:
— паспорт или иной документ, удостоверяющий личность, гражданство;
— документ об образовании (не ниже среднего (полного) общего образования;
— свидетельства о результатах единого государственного экзамена;
— фотографии;
— в отдельных случаях с учетом специфики поступления в институт действующим законодательством РФ может предусматриваться необходимость предъявления дополнительных документов (например, поступления в институт иностранных граждан, инвалидов, детей-сирот, военнослужащих и т.д., а так же документы о результатах региональных олимпиад и прочее).
2.3.4. В отделе кадров Института создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
2.3.4.1. Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Института, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
2.3.4.2. Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Института); документы по планированию, учету, анализу и отчетности в части работы с персоналом Института.
Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье наши коллеги из компании «ИТ-ГРАД» уделили внимание тонкостям определений, подготовили развернутый пост-ответ, который поможет нашим читателям во многом разобраться.
Сама концепция персональных данных и необходимости их защиты довольно стара – правовой основной для российского законодательства в этой сфере послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. – современное развитие интернет- и сетевых технологий вывело вопрос о защите ПНд на новый уровень.
Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.
Законодательство РФ понимает под персональными данными (ПДн)
любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных.
Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица. Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил:
Указанный минимальный перечень действующим законодательством не установлен. Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных.
На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что
при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте.
То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.
Как быть, если отсутствует однозначность определений
В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:
Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.
Для лучшего понимания ситуации рассмотрим пример:
Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.
Зачем Роскомнадзор вводит понятие «идентификатора”
И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:
- номер и серия паспорта;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика (ИНН);
- биометрические данные;
- банковский счет, номер банковской карты.
Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:
- фамилия, имя, отчество, дата рождения, место прописки;
- фамилия, имя, отчество, дата рождения, должность;
- фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.
При этом позиция судов такова, что фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные.
Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru).
Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.
Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска.
Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.Метрика , эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.
Решение проблемы
Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.
Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:
- операционная система;
- часовой пояс и время браузера в 24-часовом формате;
- язык браузера.
- глубина цвета и разрешение экрана;
- поддерживает ли браузер и/или включен JavaScript;
- версия JavaScript, поддерживаемая браузером;
- тип соединения, используемый для передачи данных;
- размер окна браузера.
Новый европейский регламент GDPR
Правила, устанавливаемые относительно персональных данных на уровне закона, не только российская тенденция. Так, 25 мая 2018 года вступил в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон. И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что
к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта
и так далее.
В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.
Остались вопросы?
Ознакомьтесь с вебинаром:
Следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.
«Персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация», ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ.
Обработка персональных данных – действия (операции) с персональными данными, включающие в себя: сбор, систематизацию, накопление, хранение, изменение, использование, распространение, обезличивание, блокирование, уничтожение.
Любая организация, независимо от ее размера и формы собственности, совершающая любые из вышеперечисленных действий с персональными данными, принадлежащими физическим лицам (клиенты, сотрудники, посетители), является оператором ПДн и занимается обработкой ПДн.
Каждый оператор ПДн обязан защищать их в соответствии с законом №152-ФЗ от 27.07.2006г., предварительно подав уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации.
В случае невыполнения требований закона, виновные несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
Регулирующие органы:
- Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
- ФСТЭК России – Федеральная служба по техническому и экспортному контролю
- ФСБ России – Федеральная Служба Безопасности
В ходе работ по защите персональных данных, мы предлагаем:
- аудит информационной системы. Является обязательной процедурой для операторов ПДн и предусматривает периодическое тестирование ИСПДн на предмет защищенности;
- приведение информационной системы Заказчика в соответствие с требованиями законодательства;
- разработку отраслевых стандартов.
«Информация, составляющая коммерческую тайну (секрет производства), — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны», ФЗ N 98 от 29.07.2004г.
Введение технических мер по защите коммерческой и служебной тайны является обязательным условием для нормального функционирования компании.
Специалисты ООО «НПП «СВК» проведут аудит и построят информационную систему «под ключ», отвечающую всем требованиям руководящих документов. Для построения защищенной системы используются средства защиты, сертифицированные ФСТЭК России.
В современных компаниях большинство информации, в том числе составляющей коммерческую или служебную тайну, хранится в компьютерных системах. Для сохранения конфиденциальности и ее защиты от утечек, необходимо проводить комплекс мер по обеспечению безопасности и сохранности этой информации внутри компании.
Статья 3.Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» Основные понятия, используемые в настоящем Федеральном законе
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Статья 85: Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Так же смотрите
Перечень
сведений конфиденциального характера
(утв. Указом Президента РФ от 6 марта 1997 г. N 188)
С изменениями и дополнениями от:
23 сентября 2005 г., 13 июля 2015 г.
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Согласно Федеральному закону от 15 ноября 1997 г. N 143-ФЗ сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными
2. Сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с федеральными законами от 20 апреля 1995 г. N 45-ФЗ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» и от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства», другими нормативными правовыми актами Российской Федерации принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к сведениям, составляющим государственную тайну.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
7. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ «Об исполнительном производстве».