категории субъектов персональных данных

Важные материалы в статье на тему: "категории субъектов персональных данных" с источниками и комментариями. Если в процессе прочтения возникли вопросы, вы всегда можете задать их дежурному специалисту.

П редприятия, начинающие заниматься обработкой персональной информации, касающейся их сотрудников или клиентов, должны соблюдать все установленные законом требования, регламентирующие такую деятельность. Чтобы все операции, выполняемые с применением персональных данных, находились в правовом поле, необходимо выделить их в отдельные категории.

Категории, определенные законом

В России действует закон № 152 «О персональных данных», утвержденный 27.07.06 г. В статье 10 данного нормативного акта говорится о категориях специального типа, а в ст. 11 сказано о применении биометрической информации о человеке. Нормами данного закона накладываются ограничения особого характера на возможности обработки этой информации. Предприятию-оператору персональных данных нужно придерживаться предписанных законом требований, касающихся ограничений их обработки. В противном случае оно будет наказано путем наложения административного взыскания с требованием выплаты довольно крупного штрафа. Об этом гласит статья 13.11, а также статья 5.27 Кодекса об административных правонарушениях.

В случае с проведением различных операций с использованием персональных данных важно различать их по категориям в соответствии с характером информации, которую они содержат. С учетом этого нужно выполнить определенные требования, изложенные в законе.

На законодательном уровне установлены категории, являющиеся:

  • общедоступными;
  • специальными;
  • биометрическими;
  • другими данными.

Категории персональных данных закон не описывает и не выделяет. Некоторые уточненные формулировки имеются исключительно в отношении специальных категорий и биометрической информации. C 01.11.12 г., вступило в действие Постановление Правительства № 1119, в котором содержатся нормы по защите информации во время использования персональных данных в информационных системах.

Разработчики этого Постановления в пункте 5 указали, что есть несколько категорий, которые разделяют персональные данные на общедоступные, специальные, биометрические данные. Также отнесены в отдельную категорию «иные категории» ПД. Информация об этом содержится в абзаце 4 пункта 5 Постановления.

Исходя из сведений, содержащихся в тексте этого абзаца, можно сделать вывод, что «иными» являются категории ПД, входящие в группу данных о гражданине, отнести которые к трем другим категориям нельзя.
Роскомнадзор 27.07.17 г. издал специальные Рекомендации, в пункте 3.4 которых есть напоминание о требовании закона № 152, по которому во время получения ПД их категории должны соответствовать целям, установленным для обработки этих сведений.

Определенные категории персональной информации выделялись в приказе № 55/86/20, изданном ФСБ, ФСТЭК, Минсвязи совместно. Но в 2014 году с 11 марта этот нормативный документ был выведен из перечня действующих.

Читайте так же:  регистрация вида на жительство

Сегодня продолжают функционировать Приказы, изданные ФСТЭК № 21 от 18.02.13 и ФСБ № 378 от 19.07.14, в которых нельзя найти более точные определения по разделению ПД по категориям.

Особенности категорий

В ФЗ № 152 и в других нормативах можно найти определения, указывающие, какие из данных можно отнести к общедоступным. Это информация, присутствующая в открытых местах, доступных для ознакомления всеми желающими – неограниченным количеством лиц. К примеру, такие сведения содержатся в телефонных справочниках или других документах, в которые информация заносится по согласию субъекта этих персональных данных.

К такой персональной информации можно отнести:

  • Ф. И. О. субъекта;
  • сведения о дате и месте рождения;
  • домашний адрес;
  • номера телефонов, электронной почты;
  • профессию субъекта ПД и др.

Носитель этих данных имеет право требовать, чтобы их удалили из источников, доступных для ознакомления всеми желающими. Исключить эту информацию можно также в соответствии с решением судебных органов или органов государственного управления.

Если компанией запланировано вести обработку биометрических данных или использовать сведения, которые относятся к специальной категории, нужно получить письменное одобрение этих действий от их носителей. Дать согласие на работу с другими ПД субъект, которому они принадлежат, может в любой подходящей для этого форме, позволяющей удостовериться, что такое одобрение было получено. Применять эти данные можно только в соответствии с целью, для которой они были истребованы.

Биометрической считают информацию, которая характеризует человека и позволяет установить его личность. Получить согласие на обработку этих сведений нужно в случаях, если предприятие ведет видеонаблюдение или нужно производить фотографирование.

Не нужно просить разрешения у носителя персональных данных, если проведение видео- и фотофиксации осуществляется в пределах, определенных органами правосудия или по требованию закона о соблюдении безопасности, о государственной службе и др. Об этом говорится в ст. 11 закона № 152.

Специальная персональная информация описывается в ст. 10 этого закона. Особые данные, в соответствии с его нормами, являются группой информации, которая не позволяет по общим характеристикам узнать их субъекта. Подробно об этом указано в ст. 10 ч. 1 закона.

Специальными можно считать сведения, которые характеризуют человека по расовым и национальным признакам, политическим взглядам, религиозным, философским убеждениям. Также к этим данным относят те из них, которые характеризуют физическое лицо в плане гендерной принадлежности и сексуальной ориентации.

В ч. 2 п. 10 закона содержится требование, когда обрабатывать такие сведения допускается. Подобные действия могут выполняться, если субъект в письменном виде дал свое согласие на обработку спецданных или самостоятельно сделал их публикацию в источниках информации общедоступного типа.

Читайте так же:  регулируемый перекресток это

Возможна обработка специальных данных в случае выполнения требований законов России, международных договоренностей, органов правосудия.

Также возможна обработка такого рода ПД, если необходимость появилась при защите здоровья, жизни субъекта этих данных или прочих людей, для профилактики или лечения.

Данные проходят обработку в религиозных и общественных организациях, которые могут их использовать в пределах ведения своей деятельности. Как только цель, для которой понадобились специальные данные, была достигнута, их использование нужно немедленно прекратить. Это требование изложено в ст. 10 ч. 4 закона № 152.

Все без исключения операции, связанные с обработкой персональных данных в ИСПДн, предполагают следование требованиям ФЗ-152 и другим нормативно-правовым актам, касающимся использования ПДн. В частности, любой организации придется принимать определенные меры технической и организационной безопасности, предварительно определив уровень защищенности ИСПДн (до 2013 года было разделение на классы), что предусматривает Постановление Правительства РФ № 1119. Чтобы понять, насколько эффективно система нейтрализует факторы, приводящие к несанкционированному доступу и применению личных сведений субъектов ПДн, нужно определить, какие категории персональных данных вы обрабатываете. Этот параметр наравне с типом УБ и другими показателями повлияет на причисление ИС к 1, 2, 3 или 4 уровню.

Установленные законом категории обрабатываемых персональных данных

Разделение ПДн необходимо для того, чтобы устанавливать отдельные правила обработки и защиты для информации разного характера, а также наказания организаций, которые их нарушают. Действующее российское законодательство предусматривает 4 категории обрабатываемых ПДн:

  • общедоступные;
  • биометрические;
  • специальные;
  • иные.

Несмотря на внесение различных изменений, четко прописаны только три первые группы, а вот в отношении последней нет конкретики. Перед операторами стоит задача понять, с какими сведениями они работают, и только потом устанавливать степень защищенности ИС.

Категория общедоступных ПДн

Видео (кликните для воспроизведения).

Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение. В соответствии с классификацией ФЗ-152 в данную категорию персональных данных входят:

  • имя, фамилия и отчество субъекта;
  • место, где человек родился или проживает;
  • возраст;
  • профессия, образование;
  • месяц, год и число рождения;
  • электронная почта;
  • телефонный номер и т.д.

Нужно учитывать, что если гражданин не согласен с тем, что информация о нем общедоступна, то он имеет право потребовать её удалить из источника путем подачи заявления. Также это может быть сделано при выдаче соответствующего решения государственного органа либо суда.

Читайте так же:  что выдает нотариус при вступлении в наследство

Биометрические ПДн

Практически на любом предприятии есть система охраны и видеонаблюдения, а также ограничения доступа на территорию либо в отдельные помещения. В качестве идентификатора лиц, которые имеют право находиться в определенных зонах или выполнять определенные действия, выступают, как правило, фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические особенности входят в категорию биометрических ПДн, а их использование в обязательном порядке требует получения письменного согласия владельцев. Документ не требуется только, если речь идет об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.

Работая с такими сведениями, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т.д. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении.

Что является специальной категорией персональных данных?

В данную группу входят:

  • гендерная и расовая принадлежность;
  • сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;
  • философские воззрения;
  • религиозные убеждения;
  • политические взгляды и т.д.

Если общедоступные ПДн позволяют в совокупности определить субъекта, то специальные персональные данные такой возможности не дают. Для их обработки требуется выполнение одного из условий:

  • получение письменного согласия установленного законом образца;
  • использование сведений, опубликованных в общедоступных источниках самим гражданином;
  • вступление в силу международных договоренностей;
  • выполнение действий в рамках судебного производства или по решению суда;
  • возникновение риска для жизни и здоровья субъекта либо окружающих людей;
  • обработка информации в рамках деятельности общественной либо религиозной организации.

Категория иных персональных данных

Четкого определения, какие сведения могут быть отнесены в эту группу, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к предыдущим категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.

Категории субъектов персональных данных

В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:

  • лица, которые не являются штатными или внештатными сотрудниками организации;
  • лица, связанные с компанией трудовыми взаимоотношениями.

В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.

Читайте так же:  штраф за езду по тротуару

Как суды и Роскомнадзор (РКН) определяют что является персональными данными, а что нет?

В ст. 3 ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных" закреплено понятие “Персональные данные” (ПД), это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В сущности, понятие не содержит в себе какой-либо помощи тому, кто пытается понять, что такое ПД.

С одной стороны, это дает определенную свободу Операторам ПД, но с другой стороны, это развязывает руки РКН и судьям при рассмотрении дел, связанных обработкой ПД. Ни один сотрудник РКН еще не дал однозначного ответа на вопрос, что является ПД, а что нет.

Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?

Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.

Файлы cookies — были признаны ПД в деле, многим известной, социальной сети Linkedin: Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016. Однако, помимо файлов cookies, в социальной сети Linkedin осуществлялся сбор таких ПД, как фамилия, имя, адрес электронной почты и иное.

Возникает вопрос — являются ли файлы cookies ПД сами по себе, или в совокупности с другими данными, такими как ФИО, адрес электронной почты и иные ?

ID пользователя — было признано ПД Постановлением 13 ААС от 01.07.2016 по делу № А56-6698/2016. По обстоятельствам дела Оператор ПД ПАО "Ростелеком" поручил третьему лицу обработку следующих данных: Хэш-ID Пользователя; время просмотра web-страницы; URL; HTTP referer; User Agent; HTTP Cookie.

Как и в предыдущем кейсе — ID пользователя обрабатывалось в совокупности с другими данными. Будет ли ID пользователей ПД при их обработки автономно от иных имеющихся данных?

Данные ЯМ и ГА — были названы ПД при рассмотрении жалоб неизвестных лиц на сайт https://2019.vote/, сайт А.А. Навального “Умное голосование”: Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018. Вопрос политизированности решения и необходимости заблокировать сайт в данной статье не рассматривается.

ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных

IP адрес. Стоит рассматривать отдельно статический и динамический IP адреса: Статический IP — является ПД; Динамический IP — не является ПД.

Читайте так же:  наследниками по закону третьей очереди являются

Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.

Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email адрес ПД или нет.

Существует точка зрения, что если email содержит в себе ФИО (например: [email protected]), то он является ПД. Ну и тут возникает вопрос, чем тогда такой email адрес отличается от просто ФИО, которые не являются ПД (см. пункт ниже)?

ФИО (или отдельно Ф, И, О) и номер телефона — пожалуй, наиболее часто обрабатываемые данные.

В какой момент ФИО и номер телефона становятся персональными данными — не известно. По информации РКН (ответы на наиболее часто задаваемые вопросы https://77.rkn.gov.ru/p3852/p13239/p13309/) — ни ФИО, ни номер телефона при рассмотрении обособленно от каких-либо других данные, не являются ПД. Но, как только Оператор обрабатывает данные в совокупности, например ФИО+телефон или ФИО+email — считается, что Оператор уже обрабатывает ПД.

К сожалению, законоприменительная практика по вопросам ПД разнится от случая к случаю и по многим вопросам существуют различные решения суда и РКН. Нет однозначного ответа, какая комбинация данных, по мнению законодательного и административного органов, является ПД, а какая нет.

Видео (кликните для воспроизведения).

Оператор может просто не успеть заметить, как его база не ПД превратилась в базу ПД, поэтому соблюдать ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных" лучше всего с самого начала обработки данных пользователей. Тем более, что штраф за обработку ПД граждан РФ не на территории РФ уже был существенно увеличен в прошлом году (ч. 8 — 9 ст. 13.11. КоАП), и не известны дальнейшие реформы законодательства в сфере данных в России.

категории субъектов персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here