Персональные данные: что это такое

Смотреть Содержание

Рассмотрим подробнее, что такое персональные данные, какие виды существуют и как их правильно обрабатывать.

Персональные данные

Что такое персональные данные

Персональные данные — это любые сведения, касающиеся физического лица, которые прямо или косвенно дают возможность установить его личность. Иными словами, это любая информация, позволяющая идентифицировать конкретного человека (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»). К персданным относят: ФИО, пол, дата и место рождения, адрес проживания, уровень образования, семейное положение и другие.

Важным моментом является привязка информации к определенному лицу. Отдельные электронные адреса или телефонные номера, не связанные с конкретным человеком, не являются персональными данными, так как нельзя понять кому они принадлежат. Однако, если в базе данных организации содержатся ФИО клиента в сочетании с его email и номером телефона, то это относится к персональным данным, так как идентифицируют конкретное лицо.

Аналогично, результаты опросов могут быть как анонимными, так и с персональными данными. Анонимный опрос о трудовой деятельности не предполагает сбор личной информации. В то же время, сбор ФИО, номера телефона и сведений о трудовой деятельности считается обработкой персданных в соответствии с законодательством. Четкого перечня персональных данных не существует — чтобы информация являлась персональной необходимо ее сочетание с другими данными, такими как ФИО или паспортные данные, позволяющее идентифицировать субъекта.

Какие бывают персданные

В Постановлении Правительства от 01.11.2012 № 1119 указаны 4 вида персональных данных: общедоступные (общие), специальные, биометрические, иные.

Общедоступные

К ним относятся базовые личные данные: ФИО, СНИЛС, адрес регистрации и проживания, семейное положение, трудовая деятельность, место жительства, образование, дата рождения, факты биографии, реквизиты счета, электронная почта, номер телефона и другие.

Специальные

Информация о личности человека: национальность, расовая принадлежность, политические, религиозные и философские взгляды, судимости, состояние здоровья, подробности интимной жизни.

Биометрические

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фото и видеоизображения, отпечатки пальцев, вес, рост, группа крови, анализ ДНК, генетическая информация, информация о радужной оболочке глаза.

Надо отметить, все эти данные не всегда являются биометрическими. Согласно разъяснению Федеральной службы от 30.08.2013, данные классифицируются как биометрические исключительно в случаях, когда они собираются, хранятся и применяются для идентификации личности.

В качестве примера, если на контрольно-пропускном пункте установлена камера, способная распознавать лица, снимки персонала будут считаться биометрическими данными, поскольку они используются для установления личности. Но если фотография просто прикреплена к личному делу сотрудника или профилю клиента, такие данные не являются биометрическими. В этом случае они не применяются для идентификации, а лишь дополняют уже известную информацию.

Такой же принцип применим и к другим видам информации, включая медицинские данные. Если они используются исключительно для сбора сведений о пациенте, они классифицируются как общие или специальные, а не биометрические.

Иные

К ним относят все данные не попадающая под определения общедоступных, специальных или биометрических: например, членство в клубе или сведения, касающиеся работы (размер зарплаты, график отпусков, трудовой стаж).

Основное различие между специальными и иными в том, что специальные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали. Иные данные представляют собой дополнительную информацию, которая может со временем изменяться.

Обработка персональных данных

В законе о персональных данных есть два понятия:

👉 Субъект персональных данных — это человек, кому принадлежат персданные. Без его согласия обрабатывать, распространять его личную информацию нельзя.

👉 Оператор персональных данных — это физлицо или компания, которая запрашивает, обрабатывает, хранит персданные субъекта.

При приеме сотрудников на работу компания запрашивает их личные сведения для заключения договора (ст. 65 ТК РФ). Следовательно, почти любая компания будет считаться оператором персданных, которая занимается их обработкой.

Под обработкой персданных понимают любые действия, которые с ними связаны: сбор, запись, хранение, изменение, извлечение, передача, обезличивание, анализ, удаление (ст. 86 ТК РФ). Без письменного согласия человека, обработка, а также передача персональных данных третьим лицам — запрещена. В определенных ситуациях работодателю не требуется получать согласие (п. 2-11 ст. 6 Федеральному закону № 152-ФЗ).

💡 Обработка данных допустима без согласия, если она нужна для выполнения функций, которые по закону возложены на работодателя. Например: согласие не требуется при предоставлении работником общедоступных данных для оформления трудового договора или для информации о медицинских противопоказаниях к работе и для защиты здоровья человека. Но если у сотрудника для работы нужно запросить специальные или биометрические персональные данные, или если для обработки привлекают другую организацию тогда письменное согласие необходимо.

Защита персональных данных

Оператор по обработке персданных должен ответственно относиться к хранению личной информации лиц. Российское законодательство предусматривает разные виды ответственности (дисциплинарную, административную, уголовную) за нарушение правил обращения с персональными данными.

Роскомнадзор следить, чтобы компании правильно использовали личную информацию и не разглашали третьим лицам.

Поэтому для получения права на сбор и обработку персональных данных компания обязана уведомить об этом Роскомнадзор. Исполнительные власти регистрируют ее в реестре операторов по обработке персданных. Эта процедура является необходимой перед началом найма персонала или привлечением подрядчиков к работе.

Перед тем как запрашивать персданные компания должна:

  • Создать внутреннюю политику, регламентирующую работу с персданными: прописать способы получения, хранения, обработки и удаления данных, а также перечень лиц, имеющих к ним доступ.
Положение об обработке персональных данных
Положение об обработке персональных данных
  • Отправить уведомление в Роскомнадзор.
  • Получить согласия субъекта персданных перед началом сбора информации, в отдельных случаях требуется оформление письменного согласия.
Согласие на обработку персональных данных — 2025: понятие, форма, образец
4 марта 2025 г. 12:29
{{ article_page.get_title_in_list }}
  • Применять информационных систем, расположенные в пределах Российской Федерации, для осуществления операций с персональными данными.

Гарантировать безопасность личной информации от несанкционированного доступа и предотвращение их неправомерного распространения.

Ответственность за нарушения при работе с персданным

В соответствии с российским законодательством, за несоблюдение установленных правил работы с личной информацией предусмотрена различная ответственность (ст. 13.11 КоАП). Среди наиболее распространенных нарушений можно отметить:

  • Отсутствие необходимого согласия субъекта на обработку его личной информации.
  • Разглашение персданных без согласия.
  • Утечка личных данных.
  • Нарушение установленных правил и требований, касающихся различных моментов обработки персональных данных, таких как хранение, передача, защита и уничтожение.
  • Не предоставление уведомления об обработке персданных в Роскомнадзор (новый вид штрафов, будет действовать с 30 мая 2025 года).

❗️ С 30 мая 2025 года Роскомнадзор увеличивает штрафы за неправильную обработку персданных. К примеру, за обработку не предусмотренную по закону организации будет грозить штраф до 300 тыс. руб., а если положено письменное согласие, но его не взяли у владельца персданных, тогда максимальный размер штрафа может составлять 700 тыс. руб. Кроме этого увеличатся штрафы за утечку личной информации.