Урок 1. Что такое персональные данные?

Добрый день, коллеги! Сегодняшним постом я бы хотела начать серию заметок по практической защите персональных данных. Темы будут максимально обобщенные. Я думаю, что пора уже переходить от частностей и деталей к принципам и идеям.

 Итак, начнем.

Темой сегодняшнего урока будет определение персональных данных. С самого начала ведения этого блога, а именно с 2011 года, я регулярно получаю вопросы о том, является ли некий набор данных персональными данными. Вопросы эти выглядят простыми только на первый взгляд.

Так что же относится к персональным данным?

В федеральном законе «О персональных данных» № 152-ФЗ от 27.07.2006 определение дано следующее:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Из старой редакции закона информации можно было почерпнуть чуть больше:

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

 Так, что и на сегодняшний день можно сделать допущение, что: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия и доходы можно отнести к персональным данным.

 Что еще можно добыть из 152-ФЗ?

 Специальные категории персональных данных - это данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.

 Ранее существовало разъяснение Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», которое проливало свет на вопросы отнесения к биометрии. С 19 ноября 2021 года это разъяснение отменено (Письмо Роскомнадзора от 19.11.2021 N 09-78548 "О неактуальности разъяснений Роскомнадзора").

 Остальные персональные данные согласно Постановлению Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» относятся к иным. Также не забывайте, что общедоступные персональные данные исчезли в связи с появлением персональных данных, разрешенных субъектом персональных данных для распространения (ссылка). А вот общедоступные источники персональных данных остались (не путаем одно с другим).

 Также искать ответ на вопрос: «что такое персональные данные?» можно в других федеральных законах и подзаконных актах. 

 Например в Указе Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» определено, что под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с настоящим Положением. 

Интересную информацию можно почерпнуть из судебных решений. Во многих решениях по статье 13.11 КоАП решается вопрос о признании определенного набора данных персональными данными. Встречаются ситуации забавные, когда субъект сам не знает, что относится к его персональных данным:

 В городскую прокуратуру обратился X с заявлением об оскорблении его Y. В своих пояснениях X помимо заявления о его оскорблении указал факт распространения работниками бухгалтерии сведении о его личной жизни при этом не конкретизировал каких именно, а указал, что у него имеются лишь предположения. Определением городского прокурора по обращению X отказано в возбуждении дела об административном правонарушении о распространении работниками бухгалтерии сведений о частной жизни заявителя за отсутствием события административного правонарушения, предусмотренного ст.13.11 КоАП РФ. Как следует из текста обжалуемого определения, прокурорской проверкой установлено, что сам заявитель не указывает какие именно сведения были распространены.... (12-87/2021, https://bsr.sudrf.ru/bigs/portal.html).

Но есть и действительно полезные выводы:

Довод заявителя о том, что адрес электронной почты не является персональными данными, суд не может принять во внимание, в связи с тем, что согласно Постановлению Правительства РФ от 13.09.2019 № 1197 «О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных» правительством принято: дополнить состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, утвержденный постановлением Правительства Российской Федерации от от 30 июня 2018 г. № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации», пунктом «д» следующего содержания: контактные данные физического лица: номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты)" (12-1070/2021, https://bsr.sudrf.ru/bigs/portal.html).

 Ну и еще один ответ на вопрос, что же такое персональные данные можно найти в интервью главы Роскомнадзора от 2015 года.

 Так как же понять, являются ли конкретные сведения персональными данными? Поделюсь своими мыслями, в качестве примера рассмотрим некую Лебедеву К.Е.

1.     Если можно определить личность человека, то это точно персональные данные (например, Лебедева Ксения Евгеньевна, 1987 г.р., кандидат технических наук, г. Красноярск).

2.     Если можно косвенно отнести информацию к конкретному человеку, то это персональные данные (например, Лебедева Ксения Евгеньевна, навык слепой десятипальцевой печати, знание технического английского языка);

3.     Диагнозы - это спец категория (например, Лебедева Ксения Евгеньевна, близорукость);

4.     Данные об успешном прохождении медосмотра - не персональные данные (Лебедева Ксения Евгеньевна, Пр № 1 от 01.01.2022, ограничений не выявлено).

5.     Безличные характеристики - не персональные данные (В нашем НИИ работает 13 кандидатов наук и 1 доктор наук).

6.     Данные животных - не персональные данные (Пушок, Шарик).

7.     Если нельзя установить субъекта, имея дополнительную информацию - это обезличенные персональные данные (кандидат технических наук, г. Красноярск).

И.Э. Грабарь. Февральская лазурь. 1904. Источник

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova