Что такое общедоступные персональные данные
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Обработка персональных данных: как не нарушить закон
Какие принципы и условия обработки персональных данных нужно соблюсти, чтобы не пришлось платить штрафы? И как законно включить сведения в общедоступные источники персональных данных?
Законодательство о персональных данных развивается динамично. И вектор его развития направлен на ужесточение ответственности операторов за неправомерную обработку таких данных. Например, 27 марта 2021 г. появились три новых состава административных правонарушений в области защиты и обработки персональных данных – ч. 1.1, 2.1, 5.1 ст. 13.11 КоАП РФ. При этом штрафы выросли вдвое (Федеральный закон от 24 февраля 2021 г. № 19-ФЗ).
Какие сведения считаются персональными данными? И как их законно включать в общедоступные источники?
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое лаконичное определение дано в п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Иными словами, к персональным данным относятся любые сведения, которые позволяют идентифицировать человека. В законодательстве нет примеров того, какая информация может относиться к персональным данным. Потому решение этого вопроса – прерогатива правоприменителя.
Рассмотрим пример. Редакция «АГ» получила письмо: «На нашем сайте представлен справочник юрлиц. Хотим указать в нем номера телефонов больницы, специализацию врачей и часы приема. Должны ли мы получить согласие на обработку персональных данных?»
Номера телефонов организации не относятся к персональным данным. Например, в Письме Минкомсвязи России от 7 июля 2017 г. № П11-15054-ОГ разъяснено, что абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.
Если же на сайте указать одновременно фамилию, имя, отчество и специализацию врача, служебный телефон и часы приема, то такие сведения в совокупности будут относиться к конкретному физическому лицу и позволят его идентифицировать, поэтому могут быть признаны персональными данными. В случае размещения подобных сведений на сайте рекомендуется получить согласие субъекта на обработку его персональных данных во избежание привлечения к административной ответственности.
Отметим, что в законодательстве используется термин «общедоступные источники персональных данных». Такими источниками могут быть, например, справочники и адресные книги, которые создаются в целях информационного обеспечения (ч. 1 ст. 8 Закона № 152-ФЗ). Общедоступные источники персональных данных могут включать такие сведения, как фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, и иную информацию, сообщаемую субъектом персональных данных. Включение этих сведений в общедоступные источники допустимо только с письменного согласия субъекта персональных данных.
Как обрабатывать персональные данные, чтобы не оштрафовали?
Обработкой персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).
Принципы обработки персональных данных
Обработка персональных данных не может осуществляться произвольно. Статья 5 Закона № 152-ФЗ предусматривает принципы такой обработки. Рассмотрим каждый из них подробнее.
1. Законная и справедливая основа: при обработке персональных данных необходимо соблюдать требования законодательства.
2. Достижение конкретных, заранее определенных и законных целей обработки персональных данных; недопустимость обработки данных, несовместимой с целями их сбора. Иными словами, до начала обработки персональных данных должны быть определены ее цели, которым и обязан следовать оператор при обработке данных физических лиц.
3. Недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях.
4. Соответствие персональных данных, в том числе их содержания и объема, заявленным целям обработки. То есть недопустима избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
5. Обеспечение точности, достаточности и при необходимости актуальности персональных данных по отношению к целям их обработки. На оператора возлагается обязанность принимать меры по удалению или уточнению неполных и неточных персональных данных либо обеспечивать принятие таких мер.
6. Установление срока хранения персональных данных в законе или договоре. В случае отсутствия такового хранение персональных данных в форме, которая позволяет определить субъекта данных, возможно не дольше, чем этого требуют цели обработки персональных данных. При достижении целей обработки или утрате необходимости в достижении этих целей данные подлежат уничтожению или обезличиванию.
Условия обработки персональных данных
Помимо принципов обработки персональных данных законодатель предусматривает условия их обработки (ст. 6 Закона № 152-ФЗ). По общему правилу такая обработка правомерна, если она:
- осуществляется с согласия субъекта персональных данных;
- необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- осуществляется в связи с участием лица в судопроизводстве;
- необходима для исполнения акта в соответствии с законодательством РФ об исполнительном производстве;
- необходима для исполнения полномочий при предоставлении государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг или региональном портале государственных и муниципальных услуг;
- необходима для исполнения договора, стороной которого или выгодоприобретателем (поручителем) по которому является субъект персональных данных, а также для заключения договора по его инициативе или договора, по которому он будет являться выгодоприобретателем (поручителем);
- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных (если получение его согласия невозможно);
- необходима для осуществления прав и законных интересов оператора или третьих лиц или для достижения общественно значимых целей при условии, что при этом не нарушаются права субъекта персональных данных;
- необходима для осуществления профессиональной деятельности журналиста и законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных. Исключение составляет их обработка в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации – в этом случае необходимо получить согласие субъекта персональных данных (ст. 15 Закона № 152-ФЗ);
- осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, указанных в Федеральном законе от 24 апреля 2020 г. № 123-ФЗ и Федеральном законе от 31 июля 2020 г. № 258-ФЗ (законодательство в сфере технологий искусственного интеллекта и цифровых инноваций), в порядке и на условиях, которые предусмотрены упомянутыми законами (применимо только к случаям обработки персональных данных, полученных в результате их обезличивания);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Согласие на обработку персональных данных
Из положений ст. 6 Закона № 152-ФЗ следует, что значительная часть условий, при которых обработка персональных данных будет являться правомерной, связана со специфичным применением (например, судопроизводство или исполнение судебного акта) и не охватывает бизнес-сферу, а равно экономические отношения. Чтобы защититься от привлечения к административной ответственности за неправомерную обработку персональных данных, оператору необходимо получить согласие физического лица на такую обработку. Подробнее о требованиях к содержанию этого согласия читайте в статье «Согласие клиентов на обработку персональных данных: как составить, чтобы не оштрафовали?».
Что такое общедоступные персональные данные и что к ним относится
Разбираемся, что относится к общедоступным персональным данным и как они защищаются законом.
Ежедневно пользователи предоставляют свои персональные данные (далее — ПДн) множеству организаций и сайтов. Из-за этого возникает закономерный вопрос: «Как сделать так, чтобы эти данные не стали доступны третьим лицам?». Прежде чем ответить на этот вопрос, стоит понять, что же такое общедоступные персональные данные.
Определение общедоступных ПДн: что понимается под термином
Несмотря на повсеместное использование термина «общедоступные персональные данные», 152-ФЗ (закон о персональных данных) не дает точного определения этого понятия. Закон использует термины «ПДн», «разрешенные субъектом ПДн для распространения», а также «общедоступные источники персональных данных». Из последнего можно предположить, что «общедоступные ПДн» — это информация о субъекте ПДн, включенная в общедоступные, открытые источники, такие как справочники, адресные книги. В них могут включаться следующие персональные данные:
- ФИО субъекта,
- год и место рождения,
- адрес,
- абонентский номер
- сведения о профессии.
Персональные данные: что это и какими они бывают
Простой пример данных, которые относятся и не относятся к персональным:
| Не относится к ПДн | Относится к ПДн |
|---|---|
| Иван | ФИО: Иванов Иван Иванович email: ivanov.i.i@selectell.ru |
| Сотрудник ООО «Сеть дата-центров “Селектел”» | Иванов Иван Иванович работает в ООО «Сеть дата-центров “Селектел”» |
Почему так? Все просто (и одновременно нет). Вспомним, что персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу. То есть персональными являются данные, которые можно отнести к определенному (условно, известному заранее) или определяемому (условно, поддающемуся выделению за счет этих данных) человеку.
Помимо общедоступных, разрешенных для распространения, также можно выделить еще несколько категорий ПДн:
Специальные ПДн. К данной категории относится наиболее чувствительная информация — например, политические или религиозные взгляды человека, его судимости или история болезни.
Обработка таких данных по умолчанию не допускается, но есть ряд исключений. Например, к ним относятся случаи, когда пользователь предоставил согласие в письменной форме (письменное разрешение), а также случаи обработки в целях оказания медицинской помощи или страхования.
Биометрические ПДн. К данной категории относятся сведения, характеризующие биологические или физиологические особенности, позволяющие установить личность человека и используемые для этого — его отпечатки пальцев, фотография или анализ ДНК человека. Важное значение имеет именно факт использования данных для установления личности, так как благодаря нему схожие сведения могут относиться или не относиться к биометрии. Например, фото лица человека в системе биометрической аутентификации и фотография в личном деле.
Иные ПДн. Хотя эта категория не отражена в 152-ФЗ в явном виде, она используется в ПП РФ 1119, одном из подзаконных актов. К данной категории относятся данные, не попадающие под определения специальных категорий ПДн, биометрии и общедоступных.
Изменения в 152-ФЗ с 1 марта 2021 года
После принятия закона основные нововведения заключаются в следующем:
- Для обработки ПДн, разрешенных для распространения, субъект должен давать отдельное согласие. Он сам сможет регулировать передачу, запрет и условия обработки таких ПДн — например, дать разрешение на отображение своего ФИО и места обучения или работы, но запретить обработку его фотографий.
- Новые изменения в законе усложняют сбор информации из профилей социальных сетей пользователя, несмотря на их открытость или приватность. Оператор должен обеспечить наличие законных оснований обработки таких ПДн, если пользователь не предоставил согласия.
- Пользователь может запросить у компании принудительное удаление своих ПДн. Если компания отказывается сделать это, пользователь имеет право обратиться в суд.
Персональные данные, разрешенные для распространения
Под уже упоминавшимися ранее ПДн, разрешенными для распространения, понимаются данные, доступ к которым (неограниченного круга лиц) предоставил сам субъект. Особенности обработки таких данных приведены в статье 10.1 152-ФЗ. Можно выделить несколько ключевых пунктов, связанных с обработкой таких данных:
- Обработка таких ПДн возможна с отдельного согласия. Согласие предоставляется самим субъектом с учетом утвержденных Роскомнадзором требований или с использованием информационной системы Роскомнадзора.
- Обязанность предоставить законные основания обработки таких данных в случае, если субъект не давал согласия, лежит на каждом лице, осуществившем их обработку или последующее распространение.
- Бездействие пользователя не является согласием на обработку ПДн.
- Субъект ПДн вправе устанавливать в тексте согласия запреты (на передачу, обработку и условия обработки) в отношении неограниченного круга лиц. Оператор, получивший согласие с таким текстом обязан опубликовать информацию об условия обработки и о наличии запретов..
- Передача таких ПДн должна быть прекращена незамедлительно по требованию субъекта. Требование должно содержать его ФИО, контактную информацию, а также список ПДн, обработка которых должна быть завершена. Действие согласия на обработку таких ПДн прекращается.
- Пользователь вправе обратиться с просьбой о прекращении передачи таких персональных данных к любому оператору ПДн из тех, кому он давал согласие ранее. Оператор обязан в трехдневный срок завершить обработку ПДн.
Когда данные включаются в открытые источники?
В общедоступные источники данные включаются строго с согласия субъекта ПДн — физического лица. Например, при наличии у вуза справочника с информацией о преподавателях кафедры, там могут быть опубликованы их фотографии, ФИО, почты, мобильные телефоны и иные личные сведения. Без отдельного согласия на публикацию ПДн от конкретного преподавателя эту информацию нельзя было бы разместить.
Требования к согласиям на обработку ПДн, разрешенных для распространения
Как было упомянуто выше, поправки в 152-ФЗ, вступившие в силу 1 марта 2021 года, ввели необходимость получения отдельного согласия для обработки ПДн, разрешенных для распространения. При этом регулятор в явном виде подчеркнул, что отсутствие ответа (молчание, бездействие) не может являться фактом согласия.
Сделано это было для того, чтобы ограничить утечку ПДн в руки третьих лиц. Для помощи компаниям, занимающимся обработкой таких персональных данных, Роскомнадзор помимо, приказа №18, подготовил рекомендации и шаблон согласия. В общем случае в такое согласие должно быть включено:
- ФИО (отчество — при наличии) субъекта ПДн,
- контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта ПДн),
- сведения об операторе,
- адрес ресурса оператора, на котором будут размещаться такие ПДн,
- цели обработки,
- категории и перечени ПДн на обработку которых дается согласие, а также на обработку которых устанавливаются запреты (еще и перечень таких запретов),
- особые условия обработки оператором ПДн,
- срок действия согласия.
Храните персональные данные пользователелей по закону
В объектном хранилище, соответствующем 152-ФЗ.
Права субъектов общедоступных персональных данных
Согласно 152-ФЗ, у субъекта персональных данных есть права, закрепленные в следующих статьях:
- Статья 14. Право субъекта персональных данных на доступ к его персональным данным. Регламентирует порядок получения субъектом информации о том, как обрабатываются его ПДн.
- Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. Закрепляет права субъектов ПДн, позволяющие осуществлять их защиту от несанкционированному использования персональных данных в коммерческих целях.
- Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Ограничение влияния исключительно автоматизированной обработки ПДн на субъекта.
- Статья 17. Право на обжалование действий или бездействия оператора. В этой статье установлена возможность субъекта обратиться к регулятору — Роскомнадзору — с жалобой на оператора ПДн.
Ответственность операторов за нарушение закона о персональных данных
Нарушение требований 152-ФЗ может грозить дисциплинарной, гражданско-правовой, административной и уголовной ответственностью. Например, в статье 13.11 КоАП РФ описаны последствия в виде наложения штрафов на оператора (или на отдельных лиц) за нарушение закона о ПДн. Статья включает 9 различных пунктов с максимальным штрафом до 18 млн рублей.
Заключение
Изменения в законе о персональных данных, вступившие в силу 1 марта 2021, немного изменили подход к обработке опубликованных в интернете данных. Бездумно использовать данные, найденные на просторах интернета, нельзя. Оператору необходимо удостовериться о наличии согласие в явном виде.
Категории персональных данных
Все без исключения операции, связанные с обработкой персональных данных в ИСПДн, предполагают следование требованиям ФЗ-152 и другим нормативно-правовым актам, касающимся использования ПДн. В частности, любой организации придется принимать определенные меры технической и организационной безопасности, предварительно определив уровень защищенности ИСПДн (до 2013 года было разделение на классы), что предусматривает Постановление Правительства РФ № 1119. Чтобы понять, насколько эффективно система нейтрализует факторы, приводящие к несанкционированному доступу и применению личных сведений субъектов ПДн, нужно определить, какие категории персональных данных вы обрабатываете. Этот параметр наравне с типом УБ и другими показателями повлияет на причисление ИС к 1, 2, 3 или 4 уровню.
Установленные законом категории обрабатываемых персональных данных
Разделение ПДн необходимо для того, чтобы устанавливать отдельные правила обработки и защиты для информации разного характера, а также наказания организаций, которые их нарушают. Действующее российское законодательство предусматривает 4 категории обрабатываемых ПДн:
- общедоступные;
- биометрические;
- специальные;
- иные.
Несмотря на внесение различных изменений, четко прописаны только три первые группы, а вот в отношении последней нет конкретики. Перед операторами стоит задача понять, с какими сведениями они работают, и только потом устанавливать степень защищенности ИС.
Категория общедоступных ПДн
Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение. В соответствии с классификацией ФЗ-152 в данную категорию персональных данных входят:
- имя, фамилия и отчество субъекта;
- место, где человек родился или проживает;
- возраст;
- профессия, образование;
- месяц, год и число рождения;
- электронная почта;
- телефонный номер и т.д.
Нужно учитывать, что если гражданин не согласен с тем, что информация о нем общедоступна, то он имеет право потребовать её удалить из источника путем подачи заявления. Также это может быть сделано при выдаче соответствующего решения государственного органа либо суда.
Биометрические ПДн
Практически на любом предприятии есть система охраны и видеонаблюдения, а также ограничения доступа на территорию либо в отдельные помещения. В качестве идентификатора лиц, которые имеют право находиться в определенных зонах или выполнять определенные действия, выступают, как правило, фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические особенности входят в категорию биометрических ПДн, а их использование в обязательном порядке требует получения письменного согласия владельцев. Документ не требуется только, если речь идет об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.
Работая с такими сведениями, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т.д. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении.
Что является специальной категорией персональных данных?
В данную группу входят:
- сведения, касающиеся состояния здоровья;
- гендерная и расовая принадлежность;
- сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;
- философские воззрения;
- религиозные убеждения;
- политические взгляды и т.д.
Для обработки специальных категорий персональных данных требуется выполнение одного из условий:
- получение письменного согласия установленного законом образца;
- использование сведений, опубликованных в общедоступных источниках самим гражданином;
- вступление в силу международных договоренностей;
- выполнение действий в рамках судебного производства или по решению суда;
- возникновение риска для жизни и здоровья субъекта либо окружающих людей;
- обработка информации в рамках деятельности общественной либо религиозной организации.
Категория иных персональных данных
Четкого определения, какие сведения могут быть отнесены в эту группу, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к предыдущим категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.
Категории субъектов персональных данных
В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:
- лица, которые не являются штатными или внештатными сотрудниками организации;
- лица, связанные с компанией трудовыми взаимоотношениями.
В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.