В последнее время проблема защиты личных сведений приобрела особую значимость в связи с ускоренной цифровизацией общества и сопутствующим увеличением угроз хищения и неправомерного использования конфиденциальной информации. В ходе ревизий контролирующие органы пристально изучают документацию, связанную с обработкой ПД сотрудников — проверяют ее наличие, условия хранения, наличие согласий от работников и другие аспекты.

Понятие персональных данных

Под ПД понимаются любые сведения, относимые прямо либо косвенно к конкретному физлицу (субъекту ПД), отождествляющие его либо идентифицирующие. Они охватывают разнообразные категории информации, которая в своей совокупности индивидуализирует человека. Это понятие закреплено в ФЗ-152.

К ПД относятся следующие категории сведений.

  1. Основные:
  • ФИО;
  • дата рождения;
  • место проживания;
  • паспортные данные;
  • контактная информация (телефонный номер, емейл);
  • данные о семейном положении;
  • информация о здоровье (медицинские диагнозы, заболевания).

К общим сведениям также относятся: пол, место проживания, уровень образования, профессия, род занятий.

  1. Спецкатегории ПД. Это особая категория сведений, включающая информацию, касательно расы, национальности, состояния здоровья, политических, религиозных взглядов, интимной жизни. К особым характеристикам относятся также: факты привлечения к уголовной ответственности, детали личной жизни. Использование специальных категорий требует особого правового регулирования и согласия субъекта данных, поскольку обработка такой информации связана с повышенными рисками нарушения прав личности.
  2. Биометрические ПД. Это сведения, характеризующие физиологические особенности физического лица и позволяющие установить личность. К ним относятся фотографии, записи голоса, радужка глаза, ДНК-данные и другие уникальные физические характеристики.

Обработка биометрической информации также регулируется отдельным порядком и должна соответствовать актуальным критериям безопасности.

  1. Прочая информация: сведения о членстве в организациях, служебные сведения (заработок, продолжительность отпуска, стаж труда).

Общие правила обработки персональных данных

Любое использование ПД возможно лишь при соблюдении ряда условий:

  1. Законность: сбор и обработка данных должны осуществляться исключительно законными способами.
  2. Добровольное согласие субъекта: перед обработкой данных субъект должен выразить свое добровольное и информированное согласие, кроме случаев, предусмотренных законом.
  3. Минимизация объема данных: собираемые данные должны быть необходимы и достаточны для целей сбора.
  4. Конфиденциальность: доступ к ПД должен предоставляться ограниченному кругу лиц.
  5. Защита: организация обязана обеспечить безопасность ПД путем технических и организационных мер защиты.
  6. Право субъекта на доступ и исправление данных: субъект имеет право запрашивать информацию о собираемых данных, вносить изменения и требовать удаления устаревших или недостоверных данных.

То есть, понимание состава и особенностей обработки ПД является важным аспектом соблюдения законодательства в сфере защиты частной жизни физических лиц.

Признание сведений персональными данными

Для признания данных персональными важно наличие связи с конкретной личностью. Электронный адрес или телефон сами по себе, вне контекста конкретных людей, ПД не считаются.

Точного списка ПД законодательство РФ не устанавливает — каждая ситуация требует индивидуального подхода, учитывающего совокупность различных факторов идентификации личности.

Судебная практика подтверждает, что общий перечень включает следующие виды информации: полное имя, даты и место рождения, контактные данные, финансовое положение, имущество, квалификацию, доход и прочие подобные показатели. Однако такие элементы, как марка автомобиля или госномер машины, сами по себе не могут считаться ПД, так как относятся исключительно к транспортному средству, а не человеку-владельцу. Обезличенные сведения тоже не попадают под действие данного закона.

Перед обработкой ПД нужно разработать внутренние регламенты, назначить ответственное должностное лицо и направить уведомление в Роскомнадзор. Важно помнить, что обработка возможна только после получения согласия лица, чьи данные собираются. Нарушение правил влечет ответственность вплоть до штрафов размером до 300 тысяч рублей. С 30 мая штрафы будут дифференцироваться в зависимости от объема раскрытых данных.