Правовое регулирование обработки персональных данных традиционно вызывает много вопросов у предпринимателей. Ведь этот институт законодательства появился в России совсем недавно, а определение персональных данных, закрепленное в действующем законодательстве, настолько широко, что оператором персональных данных может оказаться любой предприниматель, который даже не подозревал об этом.
Чтобы помочь нашим читателям разобраться в этой непростой теме, мы подготовили две статьи о персональных данных. Сегодня познакомимся с основными понятиями, нормативными актами, категориями персональных данных и уровнями защищенности. В следующей статье рассмотрим практические аспекты организации работы с персональными данными – остановимся на тех управленческих действиях, которые нужно совершить, чтобы стартап не был привлечен к ответственности за нарушения в области обработки персональных данных.
Что относится к персональным данным?
Под персональными данными законодатель понимает любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу.
Перечня типов персональных данных в законе нет, что усложняет ситуацию на практике: оператору приходится самому оценивать, можно ли по собранной им информации идентифицировать человека. Даже такое сочетание, как фамилия, имя, отчество и номер телефона или e-mail, уже дает возможность идентифицировать человека, а значит, оператором персональных данных является каждый владелец сайта, у которого есть форма обратной связи или подписка на рассылку, не говоря уж об интернет-магазине.
Этот вывод подтверждается судебной практикой: на сайте ГАС «Правосудие» можно обнаружить тысячи судебных решений по делам об административных правонарушениях, связанных с нарушениями законодательства о персональных данных. Например, решением мирового судьи судебного участка № 2 Володарского района по делу №5-350/2017 глава администрации привлечен к ответственности за то, что на сайте была размещена вкладка «Интернет-приемная», в которой содержались формы для сбора персональных данных: «Имя», «E-mail» и «Сообщение», а политики в отношении работы с персональными данными на сайте размещено не было.
Категории персональных данных
Закон подразделяет персональные данные на три категории: биометрические персональные данные, персональные данные специальных категорий и иные. На персональные данные первых двух категорий распространяется особый правовой режим – их обработка допускается только с письменного согласия субъекта персональных данных и в иных случаях, установленных статьями 10 и 11 Федерального закона от 27.07.2006 № 152-ФЗ, в то время как иные персональные данные можно обрабатывать без письменного согласия их субъекта, заручившись только согласием, полученным «в любой, позволяющей подтвердить факт его получения, форме».
Биометрические персональные данные
Биометрическими данными являются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Это дактилоскопические снимки, сетчатка глаза, а также фотография и видеозапись.
Однако не любая фотография признается биометрическими персональными данными, а только та, которая используется для идентификации личности. В частности, обработка биометрических персональных данных имеет место, когда изображение используется в системе контроля доступа в помещение или на территорию – например, выдается пропуск с фотографией. Когда фотография не используется для идентификации личности – например, если пользователь загружает свое фото на сайт в личный кабинет, – обработка биометрических персональных данных не осуществляется, следовательно, письменное согласие субъекта персональных данных получать не требуется. Такие выводы можно сделать из Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 года по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.
Персональные данные специальных категорий
Персональные данные специальных категорий – это еще одна группа персональных данных с особым правовым режимом. К ним относятся данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. По общему правилу их обработка не допускается. Чтобы обрабатывать эти данные, нужно получить согласие субъекта в письменной форме. Без письменного согласия персональные данные специальных категорий можно использовать лицу, профессионально занимающемуся медицинской деятельностью, обязанному, в соответствии с законодательством, сохранять врачебную тайну. Они также могут обрабатываться в соответствии с трудовым законодательством. В любом случае при решении об обработке специальных категорий персональных данных нужно тщательно взвесить, является ли их сбор оправданным, а после достижения целей, для которых собирались такие персональные данные, нужно незамедлительно прекратить их использование.
К категории иных относятся все персональные данные, не попадающие в число специальных и биометрических персональных данных. Для них действует общий правовой режим.
Правовое регулирование обработки персональных данных
Основу для российского законодательства о персональных данных составляют международные обязательства нашей страны, принятые в рамках Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной в 2005 году и вступившей в силу для России с 1 сентября 2013 года. Этот международный документ принят в 1981 году как реакция на зарождающуюся автоматизированную обработку персональных данных для обеспечения неприкосновенности частной жизни и борьбы с таким преступлением, как кража личности.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ввел новое для российской правовой системы понятие персональных данных и установил правила их обработки, права субъекта персональных данных и обязанности оператора. В отношения по обработке персональных данных оказались вовлечены все работодатели и большинство организаций, работающих с населением.
Ответственность за нарушение законодательства о персональных данных установлена не только Кодексом РФ об административных правонарушениях, но и Уголовным кодексом РФ. Уголовные составы образуют такие деяния, как отказ гражданину в предоставлении информации и нарушение неприкосновенности частной жизни.
Административная ответственность для физических, должностных и юридических лиц наступает за различные нарушения Федерального закона от 27.07.2006 № 152-ФЗ: от обработки персональных данных без письменного согласия субъекта в случаях, когда оно требуется, до отсутствия опубликованного документа, определяющего политику оператора в отношении обработки персональных данных. Штрафы для юридических лиц по различным составам варьируются от 15 000 до 75 000 рублей.
Уровни защищенности персональных данных
Перечень требований, которым должна соответствовать организация работы с персональными данными в компании, зависит от того, какой уровень защищенности должен быть обеспечен для обрабатываемой категории персональных данных. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает четыре уровня защищенности. Требуемый уровень определяется на основании того, какие категории персональных данных обрабатываются, в каком объеме и какие угрозы актуальны для информационной системы.
Самый низкий – четвертый – уровень защищенности требуется обеспечить во всех случаях, когда обрабатываются персональные данные сотрудников оператора или лиц, не являющихся сотрудниками оператора, если их число не превышает 100 000. Для информационной системы актуальны угрозы третьего уровня (в основном человеческий фактор – возможность разглашения персональных данных сотрудником, ответственным за их обработку и т. п.). Если есть угрозы, связанные с используемым программным обеспечением, или обрабатывается больший объем персональных данных, или обрабатываются биометрические данные или данные специальных категорий, то устанавливается более высокий уровень защищенности.
Ознакомившись с правовым регулированием обработки персональных данных, предприниматель может прийти в замешательство от того, что, сам того не подозревая, оказался оператором персональных данных. Если для вас это актуально, читайте следующую статью в нашем блоге, где мы подробно остановимся на шагах, которые нужно предпринять стартапу, чтобы выстроить работу с персональными данными в соответствии с действующим законодательством. Отдельно остановимся на том, в какой форме нужно получить согласие субъекта на обработку персональных данных и как подтвердить, что это согласие было получено.