Начнем с того, что в законе упоминается «физическое лицо», данный термин знаком каждому. Предлагаем принять за аксиому, что физическое лицо — это человек, от рождения до смерти и даже немного после (да, персональные данные умерших людей не перестают быть таковыми (ч. 7 ст. 9 закона о ПДн)).
Из данной части мы можем подчерпнуть, что персональные данные — это только данные о людях. В части регулирования данных об организациях Закон о ПДн не применим (если они не содержат сведений о людях, конечно).
Вторая часть определения — информация. Посмотрим как закон определяет этот термин. Согласно п. 1 ст. 2 закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация — сведения (сообщения, данные) независимо от формы их представления.
Помимо знания о логической ошибке в норме (персональные данные — это данные), мы можем понять, что персональные данные могут быть выражены в абсолютно любой форме, например, написаны на бумаге, стене, заборе, сказаны в слух или же записаны в виде нулей и единиц в памяти компьютера.
Осталась последняя часть определения: «Относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Из данной части определения следует, что к персональным данным относится не вся информация, а лишь та, с помощью которой можно идентифицировать конкретное физическое лицо.
На практике это выглядит так: «наименование улицы, номер дома, номер квартиры и сумма задолженности не является персональными данными субъекта (собственника, нанимателя квартиры) без указания дополнительной информации о фамилии, имени, отчестве, позволяющей однозначно определить ее принадлежность конкретному физическому лицу (субъекту персональных данных)» (определение Первого кассационного суда общей юрисдикции от 18.11.2020 по делу № 88-26394/2020).
В то же время, например, Роскомнадзор относит к числу персональных данных, среди прочего, следующие сведения: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другую информацию, относящуюся к субъекту персональных данных, хотя очевидно, что, например, зная только ФИО лица или год рождения вряд ли получится идентифицировать кого-либо (мало ли полных тесок или людей, родившихся в один день).
Суды также иногда относят к персональным данным серию и номер паспорта, ИНН, хотя очевидно, что это просто набор цифр и, имея только эти данные, установить конкретного человека без участия ФНС или МВД не удастся (постановление Девятнадцатого арбитражного апелляционного суда от 10.03.2017 № 19АП-126/2017 по делу № А48-4470/2016).
Итак, ПДн — это любая информация, выраженная на любом носителе, с помощью которой можно каким-либо образом установить конкретного человека.
Однако учитывая несовершенство законодательных формулировок и отсутствия единообразия в правоприменительной практике, в случае наличия сомнений относятся ли конкретные данные к ПДн, лучше расценивать такие данные как ПДн.
Обновление документов по персональным данным
Разработка, восстановление документов и диагностика бизнес-процессов по персональным данным
Существует великое множество классификаций ПДн, однако почти все из них нужны лишь для теории. С точки зрения практики, лучше разделять персональные данные на:
общие или обычные ПДн,
биометрические ПДн,
специальные ПДн,
а также ПДн, разрешенные субъектом персональных данных для распространения.
1. Обычные персональные данные — это те, которые мы упомянули в самом начале письма. В частности, к ним относятся такие данные, как ФИО, адрес, телефон, место работы, паспортные данные. Иными словами, в данную категорию по остаточному принципу относятся все данные, которые не попадают в иные категории.
2. Под биометрическими ПДн понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11 закона о ПДн).
Что видно из вышеуказанной формулировки?
Что биометрические ПДн — это данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, к данной категории относится отпечаток пальца, фотография, ДНК, информация о росте, весе, цвете волос и т.д.
Однако в норме еще важно то, что для целей закона такие данные будут биометрическими только в том случае, если они будут использоваться оператором для целей идентификации конкретного человека.
Например, если вы установите камеру видеонаблюдения на входе в офис для целей обеспечения безопасности и не осуществляете идентификацию своих посетителей при помощи этой камеры, то изображения людей на записи с этой камеры не будут являться биометрическими персональными данными (Кассационное определение Второго кассационного суда общей юрисдикции от 31.07.2020 № 88а-17020/2020).
Однако, если вы размещаете фотографии своих сотрудников на пропусках и при входе в офис охранник сверяет лицо работника с фотографией на пропуске, или вы используете систему Face ID на входе, то в таком случае вы обрабатываете биометрические ПДн, со всеми вытекающими обязанностями (по крайней мере вы должны взять письменное согласие) (письмо Минцифры от 17.07.2020 № ОП-П24-070-1943).
Здесь и далее мы часто будем писать «оператор». Таким термином оперирует законодательство и Роскомнадзор.
В законе под оператором указано следующее: оператор — … юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн (ч. 2 ст. 3 закона о ПДн).
Если проще, то, как правило, под оператором понимается лицо, которое собирает ПДн с физических лиц. Он может это делать сам или через помощников (третьих лиц). Физические лица, которым принадлежат ПДн называются субъектами.
3. Закон не устанавливает понятие специальной категории персональных данных, а лишь дает их перечисление. В частности, к таким данным относится: расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, а также данные о судимости (ч. 1 ст. 10 закона о ПДн).
Особенностью таких данных является то, что их обработка возможна только при наличии письменного согласия. Данные о наличии судимости вообще можно обрабатывать лишь в исключительных, установленных законом случаях. Например, при найме педагогического работника (ст. 311 ТК).
4. ПДн, разрешенные субъектом персональных данных для распространения. Чтобы определить эти данные, нужно посмотреть что такое распространение ПДн: действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 3 ст. 3 закона о ПДн).
Соответственно, ПДн, разрешенные субъектам персональных данных для распространения — это данные, в отношении которых человек разрешил оператору сделать их общедоступными, например, разместить ФИО, должность, телефон у себя на сайте.
На практике это означает, что для размещения персональных данных в общедоступных источниках необходимо взять специальное согласие, форма и содержание которого отдельно регламентированы законом.
Команда профессионалов СберРешений поможет по всем вопросам обновления документов по персональным данным. Также вы можете получить письменные консультации и рекомендации по сайту компании.
Обновление документов по персональным данным
Разработка, восстановление документов и диагностика бизнес-процессов по персональным данным
Реклама: АО «Интеркомп», ИНН: 7709688816, erid: LjN8K154p
Начать дискуссию