Почти ежедневно мы сталкиваемся с мини-анкетами, в которых следует указать свои контакты и другую личную информацию. Форма заявки в интернет-магазине, регистрация на сайте или в социальной сети, бланк рекламной акции в магазине – вот типичные примеры внесения индивидуальных сведений. После заполнения необходимо поставить галочку в маленьком окошке, тем самым давая согласие на обработку персональных данных. Но что это значит? Любая ли наша характеристика к ним относится? И что представляет из себя их обработка? Регулирует ли закон эту сферу? Далее мы узнаем ответы на все эти вопросы.

Что такое персональные данные

Персональные данные представляют собой частичную или комплексную личную информацию о человеке, разглашение которой может повлечь за собой причинение ему вреда или материального ущерба. Основной смысл конфиденциальности индивидуальных сведений заключается в том, чтобы они использовались и хранились только на территории Российской Федерации, либо другой страны, в которой они получены.

Вопрос безопасности хранения, обработки и защиты персональных данных относится только к физическим лицам. Юридические лица, а именно организации, предприятия, индивидуальные предприниматели не относятся к частной единице. Напротив, обычно информация о фирме (ИНН, БИК, ОГРН, расчётный счёт, контакты) размещается на всеобщее обозрение на её официальном сайте и в «шапке» бланков с целью представления компании и демонстрации легального бизнеса.

По большому счёту, к персональным данным относится всё, что связано с человеком, его жизнью и деятельностью. Но на практике разобраться с перечнем личных сведений не так просто. Несмотря на то, что официально закон о защите персональных данных существует в России уже 12 лет, точный их перечень, относящийся к личной информации, до сих пор не установлен.

Цитата: «Статья 3. Основные понятия, используемые в настоящем Федеральном законе

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).»

Существуют основные пункты, которые обычно принимаются за конфиденциальные сведения. Но есть и те, которые причисляются к таковым только в определенных ситуациях, в совокупности прочих данных или при определенных обстоятельствах.

К стандартной и общепринятой личной информации обычно относятся:

• фамилия, имя и отчество;
• дата и место рождения;
• адрес регистрации (по прописке);
• адрес фактического проживания;
• паспортные данные (серия, номер, код подразделения и т.п.);
• адрес электронной почты;
• номер телефона (мобильный и домашний);
• семейное положение;
• наличие или отсутствие детей;
• собственность (жильё, автомобиль, земельный участок и т.д.);
• геолокация, местонахождение;
• место работы (наименование компании);
• точная сумма заработной платы;
• данные о здоровье, результаты анализов.

Существует отдельная категория сведений, которые мы иногда вписываем в анкету:

• логин, созданный при регистрации на форумах, в блогах, соцсетях, приложениях и т.п.
• ник (псевдоним), используемый на различных интернет-ресурсах;
• цели посещения или регистрации на сайтах (покупка в онлайн-магазине, ознакомление с контентом, участие в конкурсе и т.п.).

Самой неопределенной категорией персональных данных является та информация, которая субъективно оценивается в зависимости от ситуации, условий соглашения или мнения физического лица, которому она принадлежит. Например, история болезни не является конфиденциальной среди докторов, но нежелательна к оглашению перед чужими людьми. Здесь сам больной может выбирать, кому рассказать о своём здоровье.

Вышеизложенные списки являются неполными, а в отдельных случаях и относительными. В жизни возникает множество самых разных ситуаций, не вписывающихся в строгие рамки официоза. Поэтому содержание личной информации может регулироваться, меняться и дополняться.

Где и как используются

Внесение своих личных данных нужно не только при регистрации в виртуальном пространстве, но и при трудоустройстве. Отделом кадров оформляется личное дело сотрудника, в которое вписывается всё необходимое о человеке и его рабочем стаже, а также вкладываются копии дипломов, сертификатов и грамот. Это относится к индивидуальной информации о работнике, которую запрещено разглашать третьим лицам. Под работодателем в этом случае понимаются не только управленцы, но и сотрудники отдельных подразделений (бухгалтерии, отдела кадров и т.п.). Прочим работникам, не имеющим отношения к администрации фирмы, а также сторонним людям, личные сведения не разглашаются.

Когда вы оформляете документы при устройстве в организацию, помимо трудового договора, сотрудник отдела кадров должен предоставить вам свежий бланк 2019 года с названием «согласие на обработку персональных данных». От вас требуется заполнить пустые графы, внимательно прочитать остальное содержимое, а затем подписать документ. Он должен выглядеть следующим образом:

Если точного перечня индивидуальных сведений не установлено, то с объективной точки зрения под ними можно понимать что угодно, например, информацию, находящуюся в телефоне, а именно: список контактов, фотографии, видео, пароли и многое другое. При этом в смартфоне могут храниться не только наши файлы, но и данные о друзьях и знакомых. Таким образом, хранение и распространение чужих снимков иногда является нарушением закона. Это происходит, когда человек с фотографии или владелец телефонного номера запретил пересылать данные о нём третьим лицам.

Многих активных пользователей в социальных сетях интересует, как работает закон о сохранении персональных данных. Можно ли отстоять свои права при воровстве и распространении личных снимков, загруженных в аккаунт? Получится ли призвать к ответу тех, кто использует в корыстных целях номер телефона, указанный на странице? На самом деле, каждый человек должен понимать, что при регистрации он соглашается на обработку всей информации, находящейся в профиле. Подразумевается, что, загружая фотографии, пользователь заранее готов к тому, что его снимки могут быть скопированы, отредактированы в фотошопе и использованы со злым умыслом. Поэтому если подобная неприятность случилась с вами, то знайте, что написание заявления в полицию вряд ли поможет. Хотя известны случаи, когда собственникам личной информации удавалось отстоять свои интересы в суде, но это, скорее, исключение из правил.

Большинству из нас не хочется читать длинный и нудный текст соглашения о хранении и обработке персональных данных, поэтому мы быстро ставим галочку, чтобы продолжить регистрацию. Нам кажется, что везде написано одно и то же. С одной стороны, действительно, содержание документа на разных сайтах очень схоже по структуре и смыслу. С другой – стоит учитывать тот факт, что каждый интернет-ресурс имеет свою специфику, которая зачастую отражена в отдельных пунктах соглашения. Чтобы впоследствии избежать недоразумений или неприятностей, следует внимательно изучить то, на что вы соглашаетесь.

Обработка персональных данных

Следует разобраться и в том, что собственно представляет из себя обработка личных сведений. Что происходит с информацией о нас после заполнения анкеты или отправки формы? Где и в каком виде она используется? Какие способы защиты конфиденциальных данных существуют? Обо всём по порядку.

Персональные данные обрабатывает оператор, в качестве которого могут выступать владельцы сайтов и блогов, администраторы групп и сообществ в социальных сетях, работодатели, консультанты в магазине и даже наши знакомые. То есть все те, кто имеют доступ к личным сведениям о человеке для осуществления определенных действий: обработки, хранения и передачи.

Стоит отметить, что передавать конфиденциальную информацию разрешено только от одного оператора другому. Например, при оформлении материнского капитала необходимо предоставить личные данные о заявителе (матери) в МФЦ. Сотрудники этого государственного учреждения являются операторами, ведь они принимают данные. Также они имеют право и даже обязаны передать полученные документы в Пенсионный Фонд, поскольку именно он выдаёт сертификат на получение денежных средств женщине. Сотрудники ПФР также являются операторами, потому что они принимают данные и обрабатывают их согласно установленному порядку.

Обработкой персональных данных называются любые действия, производимые с личной информацией: сбор, изучение, аналитика, систематизация, накопление, обновление, уточнение, использование, передача, блокирование, удаление, извлечение, хранение, защита. Даже такой широкий перечень возможностей, которые можно осуществлять с конфиденциальными сведениями, не должен приводить к нарушению закона. Недопустимо, чтобы в связи с обработкой произошла утечка сведений третьим лицам, не являющимся операторами. В противном случае это может нанести моральный или материальный ущерб их владельцу. 

Согласие на обработку персональных данных

Этот вопрос регулируется ст.9 федерального закона от 27.07.2006 N152-ФЗ «О персональных данных», в котором прописаны следующие правила:

• Субъект предоставляет личные сведения по собственному желанию, будучи в ясном уме. Такое решение должно быть сознательным. Согласие на обработку даётся самим субъектом или его представителем.
• Согласие оформляется только в письменной форме с подписью субъекта. Допускается как рукописный, так и печатный документ. В соглашении должны содержаться следующие сведения: ФИО, адрес, паспортные данные, дата подписания согласия, наименование организации, запрашивающей соглашение. Если субъект является недееспособным, то вместо него согласие подписывает представитель, от которого потребуется указать аналогичные данные и реквизиты доверенности владельца личной информации. Кроме того, необходимо указать:

— оператора (наименование организации или ФИО) и его адрес;

— ФИО и адрес помощника оператора, которому впоследствии будет поручена обработка персональных данных;

— цель обработки персональных данных;

— перечень действий, которые планируется проводить с персональными данными;

— срок действия согласия на обработку персональных данных;

— способ и сроки отзыва согласия на обработку;

— подпись субъекта персональных данных или его представителя.

• Если субъект желает отозвать согласие, то оператор имеет право продолжить обработку персональных данных без его согласия только в случаях, указанных в п.2-11 ч.1 ст.6, ч.2 ст.10, ч.2 ст.11 федерального закона. Эти исключения связаны с защитой государственных интересов и обеспечением безопасности граждан (например, противодействием терроризму).
• В случае смерти субъекта согласие на обработку его персональных данных дают наследники.

Случаются ситуации, которые требуют отзывать согласие на обработку личных сведений. Например, вы брали кредит и полностью рассчитались по долгам. Но банк ведёт себя неправомерно и продолжает докучать вам и вашим родственникам, требуя выплаты несуществующей задолженности или присылая рекламные сообщения.

Отозвав согласие, человек тем самым запрещает использовать его личную информацию и требует удаления сведений из базы данных организации. Для этого следует написать заявление по указанному образцу в двух экземплярах, которые следует передать представителю компании. На обоих документах оператор должен поставить фирменную печать и подпись, подтвердив получение заявления. Один экземпляр остается в организации, второй – у владельца личных сведений.

К заявлению необходимо приложить копию договора на оказание услуг (например, выдачу кредита) и паспорт с его копией. Рассмотрение заявления должно занимать 3 рабочих дня, после чего оператор обязан удовлетворить требование заявителя.

Цитата: «Ст. 21. п. 5: В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку… и уничтожить персональные данные… в срок, не превышающий тридцати дней с даты поступления указанного отзыва…»

Нормативная база

В Российской Федерации проявляется уважение к частной жизни граждан, а также к любой личной информации. Для того чтобы у людей была возможность отстаивать свои границы на правовой основе, в 2006 году был создан Федеральный Закон «О персональных данных» (N152-ФЗ). Под его действие попадают операторы – юридические лица (организации, предприятия, компании, ИП), производящие обработку персональных сведений, а также техника и специальное оборудование, помогающие операторам их хранить и использовать (компьютеры, базы данных, картотеки).

К субъектам, которые не контролируются законом, относятся:

• физические лица, использующие персональные данные друзей, родственников и знакомых для своих целей при условии их согласия;
• архивы, как место хранения информации, поскольку этот субъект относится к закону об архивном деле;
• данные, которые имеют статус государственной тайны;
• информация, находящаяся в суде в связи с наличием открытого или закрытого делопроизводства.

С 1 июля 2018 года вступили в силу изменения в законодательстве, расширяющие перечень оснований, по которым операторов можно привлечь к административной или уголовной ответственности. Штрафы за подобные нарушения также существенно увеличились.

Для кадровиков, бухгалтеров и других административных должностей появилось следующие правила:

1. Нельзя оставлять на столе документы, содержащие личные данные штатного сотрудника. Штраф за такую провинность составляет 50 000 рублей для организации и 10 000 рублей для виноватого работника.
2. Также нельзя вывешивать персональные данные на стендах. За это придётся заплатить 75 000 и 20 000 рублей соответственно.
3. Своевременно не внесли изменения в личное дело – штраф 45 000 и 10 000 рублей.
4. Передали контакты сотрудника посторонним – штраф 50 000 компании и 10 000 лично должностному лицу.
5. Поправки в законе требуют, чтобы теперь на каждом предприятии назначался специальный человек, отвечающий за сбор, обработку и хранение персональных данных.

Что же касается владельцев сайтов, то изменения коснулись и их. Последние события, связанные с санкциями США и европейских стран, потребовали от России ужесточения правил, связанных с защитой личных данных обычных людей. Закон допускает обработку их конфиденциальной информации только на территории нашей страны и запрещает передачу данных за её пределы.

Если собственники интернет-ресурсов преступят закон, то им грозит штраф в размере 75 000 рублей. Такое нововведение вызвало бурю негодования среди IT-бизнесменов, ведь точные понятия персональных данных не установлены. В официальном документе не прописаны и разрешённые или запрещённые способы их обработки. Полный перечень случаев, когда, за что и какая предусмотрена ответственность, представлен в статье 13.11 КоАП РФ.

Проверкой соблюдения закона «О персональных данных» занимается Роскомнадзор. Этот государственный орган может выявить нарушения двумя способами: от интернет-пользователей, ставших жертвами утечки данных, а также самостоятельно, проводя проверку подозрительных доменов.