Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.

Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных». 

С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.

Уведомление об изменении персональных данных: новый срок

С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.

Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Уничтожение персональных данных: новые правила

С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.

С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:

• актом об уничтожении персональных данных;
• выгрузкой из журнала регистрации событий в информационной системе персональных данных.

К сведению

Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.

• Обязательные реквизиты акта об уничтожении персональных данных
• 
• Обязательные реквизиты выгрузки
• 

СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023

СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023

Оценка степени вреда: новый порядок

С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).

Степени вреда всего 3 (три):

1. высокая;
2. средняя;
3. низкая.

Таблица. Какие персданные к какой степени вреда относятся

Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.

СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023

Передача персональных данных за границу

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.

А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.

Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Обратите внимание

https://www.youtube.com/watch?v=8mIF3m6nfv0\u0026pp=ygVR0J_QtdGA0YHQvtC90LDQu9GM0L3Ri9C1INCU0LDQvdC90YvQtSDQrdGC0L4g0KfRgtC-INCY0LzQtdC90L3QviDQkiAyMDIzINCT0L7QtNGD

Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.

Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/

Ркн ужесточает проверки

Также см. «К кому придут с проверкой в 2023 году».

За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).

Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).

Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.

Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.

2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.

РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.

Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).

Образцы документов, которые нельзя игнорировать в 2023 году

Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:

Название документа	Ссылка на скачивание
Положение о работе с персональными данными работников	СКАЧАТЬ
Положение о порядке уничтожения персональных данных	СКАЧАТЬ
Приказ о создании комиссии по уничтожению документов с персональными данными	СКАЧАТЬ
Общая форма согласия на передачу и обработку персональных данных	СКАЧАТЬ
Согласие на обработку персональных данных на сайте	СКАЧАТЬ
Обязательство о неразглашении персональных данных	СКАЧАТЬ

Видео по теме

Что относится к персональным данным?

Консультация эксперта

Закон о персональных данных ужесточили. Штрафы увеличились. Обрабатывать персональные данные без согласия субъекта нельзя. Новостные ленты пестрят страшными заголовками. Но что на самом деле относится к персональным данным, помимо фамилии, имени и отчества? Ответ на этот вопрос вы найдёте в статье нашего эксперта Анастасии Чекмаревой.

***

Определение персональных данных 

Начнём с основы. Определение можно найти в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

https://www.youtube.com/watch?v=8mIF3m6nfv0\u0026pp=YAHIAQE%3D

В редакции 2011 года закон содержал перечень:

• Фамилия, имя, отчество
• Дата и место рождения
• Адрес
• Семейное положение
• Социальное положение
• Имущественное положение
• Образование
• Профессия
• Доходы
• Другая информация о гражданине

В действующей редакции список не конкретизирован, в него входит вся информация, по которой можно определить субъекта прямо или косвенно.  

Важно понимать, что не вся информация, которая относится к физическому лицу, будет считаться персональными данными, а только та, которая помогает идентифицировать субъекта. Например, адрес проживания сам по себе к таким данным не относится, но в связке с другой информацией, которая позволяет определить субъекта, его уже можно будет по определению к ним отнести.

Категории персональных данных 

Среди всей информации, по которой можно определить субъекта, в законе выделено несколько особых категорий.

Специальные: раса, национальность и религия; политические и философские взгляд, здоровье, подробности личной жизни, судимости и др.

Биометрические: физиологические и биологические особенности человека. К ним относятся: отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии. 

По таким категориям важна привязка к личности. Например, мужчина, рост 180 см, вес 75 кг – это неперсональные данные. Гражданина по такой информации   идентифицировать невозможно. Но если добавить фамилию, имя, отчество – это биометрические персональные данные.

Ещё один пример, когда для прохода в офис сотрудники используют отпечаток пальца или радужную оболочку глаза. Для обработки такой информации необходимо согласие субъекта.

Вся остальная информация, по которой можно определить субъекта, также может быть отнесена к персональным данным. Отличие выделенных категорий в том, что к их обработке установлены особые требования.

Например, согласие должно быть всегда в письменной форме или в форме электронного документа, подписанного электронной подписью.

По сведениям, которые в эти категории не попадают, такая форма согласия не всегда обязательна.

В 2021 году была выделена ещё одна категория: персональные данные, разрешённые для распространения. Это информация, которую сам субъект разрешил распространять. Обратите внимание, это не та информация, которую граждане публикуют, например, в социальных сетях. На распространение должно быть получено отдельное согласие от субъекта.

Рассмотрим на примерах, какая информация является персональными данными, а что к ним отнести нельзя с точки зрения закона и судебной практики. 

Паспортные данные

Информацию в паспорте можно поделить на две категории.

Сведения о владельце паспорта: фамилия, имя, отчество, дата и место рождения, адрес регистрации и др. Тут ответ однозначный. Информация прямо относится к гражданину и может его идентифицировать, соответственно, это персональные данные.

• Данные паспорта как бланка: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения.
• По вопросу, являются ли серия и номер паспорта персональными данными, существуют две позиции судов
• Из вышесказанного следует, что серию и номер паспорта отдельно суды не всегда признают персональными данными, но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.
• Остальная информация в паспорте: наименование органа, выдавшего паспорт, код подразделения, дата выдачи — к персональным данным не относится, так как определить по ней субъекта невозможно.  

ИНН

На вопрос, является ли ИНН персональными данными, нет однозначного ответа.

С одной стороны, Минфин России неоднократно давал разъяснения, что ИНН к ним не относится, а используется исключительно для того, чтобы упорядочить учёт налогоплательщиков внутри системы налоговых органов.

По мнению ведомства, ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в Едином государственном реестре налогоплательщиков (6 знаков) и контрольное число (2 знака).

Персональные данные в 2023 году: на что обратить внимание физлицам

Иллюстрация: Andrew Moca/unsplash

Федеральный закон от 14.07.2022 № 266-ФЗ изменил правила работы с персональными данными.

Основные его положения заработали с 1 сентября 2022 года.

Что этот закон меняет

Новых требований много, мы остановимся на самых важных.

Во-первых, теперь правила работы с персональными данными должны соблюдать иностранные операторы ПД.

Операторы персональных данных – это государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки этих данных.

Далее: согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, а также предметным и однозначным.

Биометрические персональные данные – это особая категория персональных данных. Человек должен сообщить такие данные о себе только в случаях, которые перечислены в ч. 2 ст. 11 Закона 266-ФЗ. Во всех остальных ситуациях предоставление биометрических данных не может быть обязательным.

Дальше: оператор ПД по-новому взаимодействует с человеком, чьи персональные данные обрабатывает. Например, теперь действует запрет отказывать в обслуживании человеку, который не хочет сообщать свои биометрические данные.

Что должен делать оператор ПД

По новому закону в числе обязанностей оператора персональных данных:

• заранее сообщать человеку, чьи ПД он получил не от него самого, среди прочей информации перечень персональных данных, которые оператор будет обрабатывать (ч. 3 ст. 18 Закона),
• предоставлять человеку информацию о способах выполнения оператором обязанностей, которые предусмотрены Законом (ч. 7 ст. 14 Закона);
• прекратить обработку ПД человека, который потребовал этого, в срок не позднее 10 рабочих дней с даты получения обращения (ч. 5.1 ст. 21 Закона).

Этот срок можно продлить, но не больше чем на 5 рабочих дней, заранее уведомив человеку.

Но прекращать обработку ПД надо не всегда. Исключения такие:

• оператор обрабатывает ПД не по согласию человека, а по другим основаниям (например, когда обработка нужна для исполнения судебного акта),
• оператор законно обрабатывает биометрические ПД,
• оператор законно обрабатывает специальные категории ПД (которые касаются расовой, национальной принадлежности гражданина, политических взглядов, состояния здоровья и т.п.)

Что с доступом человека к своим ПД: новые сроки

Челочек, чьи персональные данные обрабатывает оператор, имеет право на доступ к ним. В частности, он может рассчитывать на получение следующих сведений:

• подтверждение факта обработки его данных оператором;
• правовые основания и цели обработки;
• подробная информация об операторе;
• сами обрабатываемые ПД;
• источник их получения, сроки обработки.

Получить всю эту информацию может сам человек или его представитель. Для этого надо обратиться к оператору с обращением или запросом (ст. 14 Закона).

С 1 сентября 2022 года действуют новые нормы о сроках доступа человека к своим ПД. Оператору дается всего 10 рабочих дней, чтобы успеть предоставить запрошенную информацию. Этот срок можно увеличить, но не больше чем на 5 рабочих дней, по решению самого оператора. Тогда человека надо уведомить об этом и указать причины, по которым срок ответа продлевается.

Важно! Требуемые сведения оператор направляет человеку или его представителю в той же форме, в какой тот направил обращение или запрос. Правда, заявитель может указать в них другие предпочтительные варианты получения информации.

А что случилось? 

Над тем, как выйти России из демографической ямы, …

Персональные данные в 2023 году: какие изменения вступают в силу с 1 марта – новости Группы «ДЕЛОВОЙ ПРОФИЛЬ»

Согласно положениям закона № 266-ФЗ от 14.07.2022 года, с 1 марта 2023 года в сфере защиты и обработки персональных данных ожидается ряд нововведений.

«В 2022 году регулятор провел серьезную работу по совершенствованию регулирования сферы персональных данных. Существенному пересмотру нормативной базы поспособствовали факты многократных утечек данных, участившиеся хакерские атаки и перестройка отечественного рынка в целом», — отмечает Ольга Косинова, Руководитель практики Кадрового консалтинга Группы «ДЕЛОВОЙ ПРОФИЛЬ».

Кроме того, сбором, хранением и обработкой персональных данных занимались многие иностранные компании, принявшие решение уйти из России, реструктуризировать или продать бизнес и т.д. Подобные прецеденты также стимулировали повышенное внимание к трансформации работы с данными пользователей.

Новое в законодательстве

Трансграничная передача данных

Согласно ч. 2 ст. 6 Закона № 266-ФЗ операторов ожидают изменения, связанные с передачей персональных данных в другие страны. Главное нововведение заключается в том, что при каждой трансграничной передаче персональных данных нужно будет информировать Роскомнадзор.

Операторы, которые уже передают персональные данные за границу, должны уведомить федеральный орган до 1 марта 2023 года (п. 5 ст. 6 Закона № 266-ФЗ). Это можно сделать на официальном Портале персональных данных.

Таким образом, помимо уведомления о начале обработки персональных данных, придется отправлять отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных, которое следует отправить до начала трансграничной передачи персональных данных (п. 3 ст. 12 Закона).

Уполномоченный орган, тем не менее, оставляет за собой право ограничить или запретить право трансграничной передачи, если посчитает, что законодательная база по защите прав субъектов персональных данных принимающего государства не отвечает требованиям безопасности.

Уничтожение персональных данных

Роскомнадзор также утвердил требования к подтверждению уничтожения личной информации, которые будут действовать с 1 марта 2023 по 1 марта 2029 года.

Комплект документов, который потребуют у оператора, зависит от степени автоматизации обработки персональных данных.

Поскольку ранее требований к фиксации факта уничтожения ПД закон не устанавливал, операторы самостоятельно определяли порядок фиксации факта их уничтожения. К 1 марта 2023 года следует привести установленный порядок в соответствие с требованиями, закрепленными приказом Роскомнадзора от 28.10.2022 № 179.

Оценка вреда

Персональные данные и их виды: для тех, кому нужно быстро разобраться | Блог VK Cloud

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать.

Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства.

При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Что является персональными данными по закону — Коммерсантъ

Что такое персональные данные, какие существуют виды данных и что говорит о них закон — в материале “Ъ”.

Что такое персональные данные

Согласно федеральному закону от 27 июля 2006 года 152-ФЗ «О персональных данных», это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных).

Конкретного перечня данных в законе нет, что оставляет некоторый простор для толкования.

Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Эксперт, бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий:

— Существующее понятие, содержащееся в законе «О персональных данных», является калькой с определения, взятого из Европейской конвенции по защите персональных данных, ратифицированной Россией в 2005 году. Более точно определить состав персональных данных и привести их перечень сегодня невозможно.

Ни один из федеральных органов исполнительной власти сегодня не обладает полномочиями по уточнению этого термина.

Поэтому каждая организация в зависимости от целей своего функционирования самостоятельно определяет тот перечень данных, которые она собирает у своих работников и клиентов, действующих и бывших, и которые и будут считаться персональными в данной организации.

Виды персональных данных

• В федеральном законе №152 обозначены виды персональных данных:
• — Общие. К ним законодательство относит базовые личные данные: ФИО, место регистрации, информация об образовании, о месте работы, номер телефона, e-mail;
• — Специальные. Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях;
• — Биометрические. Физиологические или биологические особенности человека, которые используют для установления его личности: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и другие;

— Иные.

К ним относят все данные, которые нельзя отнести к другим видам: принадлежность к определенной социальной группе, корпоративные данные и так далее.

Сведения о заработной плате работника также являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации.

Стоит отметить, что не все фотографии и видеозаписи конкретного лица являются его биометрическими персональными данными, а только те, которые позволяют установить личность и используются для установления личности.

Согласно Роскомнадзору, биометрическими персональными данными не является, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки.

Персональные данные в интернете

Размещение персональных данных на открытых онлайн-ресурсах не делает их автоматически общедоступными. По словам эксперта, если сайт идентифицирует пользователя, то вся связанная с ним активность на сайте будет рассматриваться как персональные данные.

Эксперт, бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий:

— Так как нет четкого перечня того, какие данные являются персональными, нет и четкого ответа на вопрос про данные на сайтах.

Формально, если мы ввели в какой-либо форме наши ФИО и контактную информацию, то все, что мы вводили еще, будет считаться данными персональными, так как они относятся к конкретному физическому лицу. Файлы cookie, которые собираются почти всеми сайтами в интернете, также относятся к персональным данным.

И e-mail, который используется в качестве логина на сайтах. И даже если где-то используется ник, детали которого раскрываются в личном кабинете, то это тоже может рассматриваться как персональные данные.

Обработка персональных данных

Обработка персональных данных должна осуществляться с согласия субъекта. Данное ранее согласие можно отозвать без каких-либо дополнительных условий. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено. Перечень исключений, при которых согласие на обработку данных не требуется, определен в законе:

1. — обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;
2. — обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;
3. — необходима для исполнения полномочий госорганов;
4. — необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;
5. — необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;
6. — для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;
7. — для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;
8. — осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;
9. — данные являются общедоступными (например, справочники, адресные книги);
10. — данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Выполнять операции с частными данными по разрешению субъекта может работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т. д. После достижения результата, ради которого осуществлялся сбор данных, оператор теряет легальную возможность их использования и несет ответственность при их намеренном разглашении.

Нарушения в отношении персональных данных

• Российское законодательство предусматривает разные виды ответственности (дисциплинарную, административную, уголовную) за нарушение правил обращения с персональными данными. В качестве наиболее частых можно выделить следующие правонарушения:
• — неполучение у гражданина согласия на обработку его персональных данных;
• — неполучение согласия на передачу его персональных данных для обработки третьим лицам;
• — неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;
• — неполучение согласия на обработку биометрических персональных данных;

— нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.

Андрей Егупец; группа «Прямая речь»