О том, что же такое персональные данные (ПД), какими они бывают и как их использовать вы узнаете из данной статьи.

Правовая защита персональных данных

В действующей Конституции РФ заложены нормы, требующие обеспечения безопасности конфиденциальных сведений о частной жизни граждан. Защита персональных данных в нашей стране осуществляется за счет соблюдения положений следующих нормативных актов.

1. Федеральный закон 152-ФЗ.

2. Указа Президента РФ № 188 от 6 марта 1997 года.

3. Постановления Правительства РФ № 512 от 6 июля 2008 года, № 687 от 15 сентября 2008 года, №1119 от 1 ноября 2012 года.

4. Методических материалов ФСТЭК, ФСБ, Роскомнадзора.

В этих нормативных актах дано определение ПД, их разновидностям, а также указаны уровни защищенности персональных данных. Федеральным законом установлены правила использования личных сведений, а также ответственность за несоблюдение предусмотренных норм. Главным его требованием является необходимость получения согласия на обработку персональных данных. Оно должно быть в письменной форме.

Ответственность за нарушение закона №152-ФЗ

В связи с тем, что с помощью ПД можно планировать преступления против человека, выслеживать его и вторгаться в частную жизнь, охраняемую Конституцией, на законодательном уровне предусмотрено наказание за разглашение третьим лицам сведений, носящих конфиденциальный характер. Размер и вид ответственности описаны в ст.13, п.11. КоАП РФ. Согласно представленным в данном документе положениям за незаконное использование персональных данных, лицо может быть наказано следующим образом:

1. Для рядовых граждан ― от 1 до 3 тысяч рублей;

2. Для должностных лиц ― от 5 до 10 тысяч рублей;

3. Для юридических лиц― от 30 до 50 тысяч рублей.

В отдельных случаях можно ограничиться предупреждением. Этот вопрос остается на усмотрение суда.

Если не было получено согласия на использование ПД, порядок штрафов меняется:

1. Для рядовых граждан ― от 3 до 5 тысяч рублей;

2. Для должностных лиц ― от 10 до 20 тысяч рублей;

3. Для юридических лиц ― от 15 до 75 тысяч рублей.

Предусмотрено наказание и за невыполнение оператором персональных данных (ОПД) своих обязательство по обеспечению защиты конфиденциальных сведений:

1. Для рядовых граждан ― от 700 рублей до 5 тысяч;

2. Для должностных лиц ― от 3 до 6 тысяч рублей;

3. Для юридических лиц ― от 15 до 30 тысяч рублей.

Согласно действующим законодательным нормам, оператором ПД выступает то лицо, которое получает сведения личного характера для осуществления своих прямых обязанностей и функционирования в рамках существующей деятельности. Так, ОПД становится медучреждение, когда берет согласие пациента на обработку персональных данных, туристическое агентство, получающее сведения частного порядка для оформления визы, учебное заведение, хранящее информацию о своих воспитанниках, предприятие, собирающее данные о своих сотрудниках.

В чем отличие персональных данных от конфиденциальных

Определение ПД есть в европейской Конвенции о правах человека и в российском законодательстве. В широком смысле это информация любого характера, относящаяся к конкретному гражданину или помогающая его определить на основе данных. Наиболее распространенными примерами ПД выступают следующие сведения:

1. Фамилия, имя и отчество;

2. Адрес прописки или же фактического проживания;

3. Дата и место рождения;

4. Имущественное и социальное положение;

5. Уровень доходов;

6. Образование и место работы.

В большинстве случаев конфиденциальные данные и персональные данные воспринимаются как тождественные понятия. На практике информация конфиденциального характера имеет более широкое значение. К ней может относиться и коммерческая тайна юридического, должностного лица, и сведения иного рода, затрагивающие органы муниципальной, государственной власти. В свою очередь, персональные данные относятся к гражданам. Они не могут быть предметом получения прибыли прямой или косвенной, субъектом торгов. Нельзя отчуждать свои персональные данные или делать их объектом гражданского оборота. При этом с волеизъявления самого физического лица они могут переходить в категорию общедоступных. Именно эти особенности и отличают ПД от любой другой конфиденциальной информации.

Виды персональных данных

Действующий Указ Президента РФ № 188 от 6 марта 1997 года дает четкий перечень информации, относящейся к разряду конфиденциальной. В федеральном законе № 152-ФЗ представлена классификация данных из категории персональных:

1. Обезличенные;

2. Общие;

3. Специальные;

4. Биометрические.

В первом случае порядок обработки персональных данных подразумевает общую доступность к ним. Такие используются в справочных книгах, адресных справочниках. К категории обезличенных ПД относятся и сведения об уровне доходов чиновников, которые распространяются СМИ.

К категории общих ПД относят базовые сведения о человеке (адрес, фамилия, имя и так далее). По отдельности с их помощью нельзя определить конкретного гражданина, но в совокупности уже будут представлять для этого все возможности, а значит станут считаться персональными данными. Такие сведения, как правило, заносятся в паспорт, военный билет, трудовую книжку, аттестат, диплом и иные виды личных документов. В этой связи примечательно, что Роскомнадзор на вопрос о том, является ли телефон персональными данными, отвечает категорическим отказом, но в совокупности с фамилией и именем абонента он уже будет считаться ПД, разглашение которых без согласия запрещено. Этим, к сожалению, часто пользуются сотовые операторы, продающие базы телефонных номеров для рекламных рассылок.

Специальные данные можно встретить в медицинских карточках, личных делах различных ведомств. К таким относятся сведения о состоянии здоровья, расе или национальности, вероисповедании, наличии судимостей и прочих специфических параметрах.

Биометрические персональные данные включают в себя сведения, определяющие субъекта по физиологическому принципу. Это группа крови, отпечатки пальцев, анализ ДНК, а также рост, вес и многое другое.

Правила использования персональных данных

Необходимость применения сведений конфиденциального характера встречается повсеместно. Они нужны для оказания государственных услуг, осуществления коммерческой деятельности. Основное правило действующего закона в рассматриваемой области гласит, что хранение и использование персональных данных невозможно без письменного волеизъявления субъекта. Однако, в нормативных актах предусмотрен ряд исключений. Так, обработка персональных данных без согласия возможна в следующих ситуациях:

1. Для достижения целей, допустимых договором или законом международного действия;

2. При участии физического лица в судопроизводстве и необходимости исполнения судебных решений;

3. Для выполнения государственными и муниципальными органами своих непосредственных функций и обязанностей;

4. При невозможности получения согласия на обработку ПД, необходимых для защиты здоровья и жизни субъекта;

5. Для соблюдения законных интересов третьих лиц и ОПД;

6. При ведении научной или творческой деятельности;

7. Для достижения третьими лицами или ОПД целей, значимых для общества;

8. Для проведения исследований и сбора статистических данных (при условии обезличивания ПД);

9. При обязательном раскрытии конфиденциальной информации в случаях, предусмотренных законом (например, при осуществлении действий нотариального характера);

10. При переводе ПД в категорию общедоступных самим субъектом.

Таким образом, если использование и хранение персональных данных не нарушает прав, интересов и свобод гражданина, его согласия для обработки сведений работодателем (ст. 86 ТК РФ), журналистами, исследователями, а также при регистрации на порталах госуслуг и для получения социально значимой помощи не потребуется.

В то же время избежать необходимости получения разрешения на обработку ПД можно посредством уточнения правил их хранения и использования в тексте договора, заключенного с гражданином. Для этого оператор персональных данных должен указать в соглашении следующую информацию:

1. Список допустимых действий с информацией персонального характера;

2. Цели обработки;

3. Предъявляемые требования к защите ПД и свои обязанности в рамках нее;

При этом проводить обработку конфиденциальной информации может как оператор, так и третье лицо. Если в рамках соглашения с гражданином персональные данные были переданы сторонней организации в целях, указанных в договоре, то такому исполнителю не требуется отдельное разрешение от владельца ПД.

На основании действующего законодательства срок согласия на обработку персональных данных прописывается в самом документе или в общем договоре с физическим лицом. Здесь же указывается и способ отзыва разрешения.

Не менее важен вопрос и об уничтожении персональных данных. Согласно предписаниям Роскомнадзора ОПД самостоятельно утверждает порядок документальной фиксации факта ликвидации конфиденциальной информации. Осуществлять данную процедуру должно уполномоченное лицо или комиссия, члены которой утверждаются на основании соответствующего приказа оператора. Факт уничтожения может быть зарегистрирован в специальном журнале или с помощью акта о прекращении обработки персональных данных.Типовые формы данных документов утверждаются также самим ОПД.

При получении ПД и согласия на их использование не через бумажный носитель, а посредством веб-ресурсов, важно также соблюдать вышеназванные правила. На сайтах, требующих прохождения регистрации, размещается отдельный документ, описывающий политику обработки ПД. Пользователь должен ознакомиться с ним и согласиться с положениями путем нажатия соответствующей кнопки, проставления галочки в предусмотренной для этого графе. В противном случае использование персональных данных, полученных в ходе онлайн-регистрации, будет считаться нарушением 152-ФЗ.

При любом способе сбора трансграничная передача ПД возможна только с согласия субъекта (предоставляется исключительно в письменной форме) или ,при необходимости, соблюдения условий международных соглашений, обеспечения защиты жизни и здоровья владельца, общего конституционного строя нашей страны.

Средства обеспечения безопасности персональных данных

Методические рекомендации Роскомнадзора, ФСТЭК и ФСБ определяют, что операторам ПД следует применять не только технические, но и организационные меры по защите личных сведений физических лиц. Так, информационная защита персональных данных должна начинаться с разграничения прав доступа лиц, работающих в штате оператора, и с введения должностных инструкций по обработке и хранению сведений.

В рамках указанных рекомендаций, все ПД могут передаваться на бумажных или цифровых носителях, а также по выделенным каналам связи. При этом оператор должен организовать достаточную защиту для каждого из способов. Для этого могут создаваться специальные базы и архивы, которые должны быть охраняемыми. Дополнительно безопасность персональных данных можно обеспечить путем криптографического шифрования и кодирования информации. Однако, для этого требуется отдельное разрешение ФСБ. В политике конфиденциальности должны быть указаны регистрационные номера и название разработчиков шифровальных средств, а также уровень защиты, степень возможной опасности утечки информации и ее кражи.

К типовым средствам обеспечения безопасности ПД, которые, так или иначе, есть у каждого оператора, относят шкафы и сейфы с запирающимся замком, в которых хранятся информационные носители, а также качественное антивирусное ПО для защиты применяемых в работе каналов связи.

Подробннее здесь: https://dogovor24.ru/document/polozhenie-o-zashchite-personalnykh-dannykh-polzovateley