В современном мире, подписывая договоры на обслуживание или о взаимодействии, часто встречают такое понятие, как "персональные данные". Что под ними понимают? Какие данные являются персональными и не должны предаваться огласке? Как обеспечивается их защита от посторонних лиц?
Развитие вопроса
Первоначально про персональные данные, а также их безопасность заговорил в 1976 году комитет министров Совета Европы. Тогда им было принято решение разработать соответствующую конвенцию. В 1981 году она под названием «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне» была открыта для подписания. Российская Федерация присоединилась к этой конвенции и ратифицировала её только в начале нулевых годов. После этого был запущен процесс формирования необходимой нормативно-законодательной базы про сферу использования и защиты персональных данных. База для него была принята Государственной думой в 2006 году. Итак, что относится к персональным данным физического лица?
О законодательстве
Прежде чем рассматривать, что относится к персональным данным физического лица, давайте уделим внимание правовому основанию этого аспекта взаимодействий. В качестве базового закона используется № 152-ФЗ, принятый в 2006 году. В нём регламентированы все вопросы, что касаются получения, использования, передачи, а также других действий, которые могут проводиться с персональными данными. Там же рассмотрена и их защита. Что подразумевают под персональными данными? Под этим понимают любую информацию, относящуюся к определенному физическому лицу, а также помогает прямо или косвенно установить его личность. Наиболее часто встречаемыми являются фамилия, имя, отчество, дата рождения, адрес регистрации (и местожительства, если они различаются), семейное, социальное, имущественное положение и тому подобное. Если интересует полный перечень того, что относится к персональным данным физического лица, то необходимо обращаться непосредственно к закону. Из-за его большого размера (хватит на книгу) в статье будут приведены только наиболее важные и часто встречаемые моменты.
Деление на категории
В зависимости от степени информативности выделяют:
- Первый вид. В эти персональные данные включается информация о здоровье, интимной жизни, философских убеждениях.
- Второй вид. Это информация, по которой можно идентифицировать человека и в дальнейшем получить о нём дополнительные сведения. В качестве примера можно привести Ф.И.О., адрес проживания, сведения о заработной плате.
- Третий вид. Это информация, которая позволяет только определить субъект. Например – имя, фамилия, дата рождения.
- Четвертый вид. Это общедоступные и обезличенные персональные данные. В качестве примера для первого случая можно привести декларации о доходах представителей власти. Обезличенная информация – это та, по которой нельзя идентифицировать определённое лицо.
Вот что относится к персональным данным физического лица.
Необходимость следить за нововведениями
Так уж устроено законодательство, что оно действует тогда, когда человек знает о нём. Это относится исключительно к защите своих прав. Некоторые категории людей должны постоянно следить за своими персональными данными, ведь то, что вчера было вполне нормальным и допустимым, уже сегодня оказывается за гранью закона. В качестве примера можно привести ситуацию с бизнесом. Так, если на предприятии есть хотя бы один работник или клиент, являющийся физическим лицом, то законодательство накладывает серьезные обязательства. Так, необходимо, чтобы при обработке информации была соблюдена конфиденциальность. Персональные данные работника не должны попасть в руки сторонних лиц или организаций. Для того чтобы идентифицировать человека, достаточно знать его Ф.И.О. и любую иную информацию личности, например, адрес проживания, дату рождения, номер телефона. Поэтому чтобы персональные данные работника не попали не в те руки и за этим не последовали штрафы и прочее, к вопросу безопасности следует подойти основательно.
Как быть?
Значит, нужно продумывать, кто может иметь доступ и в каком объёме. Например, номер телефона и дата рождения – это сочетание, которое не признаётся персональными данными. Почему? Да хотя бы потому, что идентифицировать по ним конкретное лицо не представляется возможным. Конечно, если необходимо по определённым соображениям получить доступ, то специальные органы могут проигнорировать закон «О защите персональных данных», получить телефон, в судебном порядке от оператора связи взять данные о перемещении и узнать, где был какой-то человек. Но это маловероятный сценарий, который встречается как исключение. А так, безусловно, телефон относится к персональным данным физического лица, только в случае, если о человеке известно что-то существенное, то же Ф.И.О.
Об операторах данных
Практически в любой организации накапливается, хранится и определённым образом используется личная информация. Поэтому хочется им или нет, но с точки зрения закона они являются операторами персональных данных. Что необходимо делать в таком случае? Ведь нужна защита персональных данных? Как соблюсти требования закона? А нужно:
- Получить согласие со стороны физического лица на обработку персональных данных.
- Обеспечить безопасность при работе с личной информацией.
- Установить ответственность за нарушение законодательства.
При этом необходимо позаботиться о базах персональных данных и людях, которым предоставлен доступ к ним. Давайте рассмотрим внимательнее каждый пункт.
Согласие
Необходимо запомнить, что субъект персональных данных - это физическое лицо. И без его разрешения (или со стороны суда в определённых моментах) они не должны попасть в руки третьих лиц, пускай это даже рядовой кадровый сотрудник предприятия. Любые операции с информацией допускаются только при наличии согласия. Особенно много проблем в связи с этим возникло у кадровых агентств. Ведь им сейчас формально запрещено пользоваться доступными открытыми базами данных, которые можно найти в Мировой сети, поскольку они не получали от потенциального работника согласие на использование их информации. Хотя, формально, получать письменное согласие на обработку не нужно. Но существует вероятность судебного спора, поэтому очень желательно, чтобы этот факт имел физическую форму в виде бумаги.
Безопасность обработки
Законодательством предусмотрено, что любой оператор персональных данных обязан принимать нужные технические и организационные меры, которые позволят защитить информацию от случайного или неправомерного доступа к ним посторонних лиц. Особенное внимание уделяется тому, что они могут быть изменены, уничтожены, блокированы, копированы, распространены или же с ними будут совершены иные неправомерные действия. Об этом говорится в первом пункте девятнадцатой статьи базового закона. Это довольно сложно организовать с финансовой и организационной точки зрения. Так, структура должна обеспечить защиту на основе выявленных угроз, а также зависимо от класса информационной системы, где хранятся данные. Также необходимо разработать регламенты работы и положения по защите обработки. Кроме документационной работы нужно работать над повышением квалификации сотрудников, которые занимаются данными. Не следует забывать и о требованиях к инженерно-технической безопасности помещения, где будет храниться информация. В целом необходимо признать, что эта система является чрезвычайно громоздкой и очень усложненной. Встречаются даже нарекания, что некоторые требования не нужны даже государству.
На что жалуемся?
В качестве первого примера можно вспомнить о требовании письменно уведомлять уполномоченный орган о желании осуществить обработку личной информации. При этом законодательно не установлена ответственность за нарушения. Можно вспомнить ещё и требование, согласно которому каждый субъект предпринимательской деятельности, отвечающий условиям оператора персональных данных, был внесён в соответствующий реестр. А это, как уже было подмечено выше, практически каждая организация. Есть сомнения даже относительно того, что такая громоздкая норма в полном объеме будет работать даже на крупных государственных предприятиях. А ведь субъекты экономической деятельности не только платят налоги и встречаются с административными барьерами, но и обязаны оплатить внедрение этой системы у себя. Что, конечно, не умаляет тот факт, что персональные данные должны быть защищены. Но и перегибов необходимо избегать.
Об ответственности
Правом контроля за исполнением закона обладает Роскомнадзор. Эта же служба и занимается проверками в данной сфере. Что же ждёт нарушителей? Законодательством предусмотрено привлечение к дисциплинарной, административной, гражданской и уголовной ответственности. Фактически же существует только одна практика. Это привлечение к административной ответственности. Так, законом предусмотрено, что должностное лицо, допустившее нарушение, может получить или предупреждение, или штраф до тысячи рублей. С организаций спрос больше – для них предусмотрены суммы от 5 000 до 10 000. Сложность организации хранения данных и одновременно незначительная ответственность вероятно приведут к известной ситуации – суровость законов компенсируется необязательностью исполнения. А это очень плохое положение дел, которое необходимо исправить.
Заключение
Вот и было рассмотрено, какая информация относится к персональным данным, как она защищается и какова ответственность за нарушения. Безусловно, это чрезвычайно важный вопрос. Но, увы, как это часто бывает, реализация неудовлетворительная. Законодательство и требования необходимо существенно дорабатывать. Безусловно, если мы говорим о банке, то здесь необходимо обеспечить высокий уровень безопасности. Но если говорить о предприятии, изготовляющем мебель, то нужно ли и здесь такое? Защищённое здание или его часть, допуск исключительно ответственных сотрудников? Нет, в этом случае с лихвой хватает кадровика, сейфа с личными данными (если он работает в общей комнате с другими людьми), выработанной схемы взаимоотношений и передачи информации, а также определённого уровня доступа. Именно поэтому и необходимо доработать существующее законодательство. Хотя, безусловно, уже хорошо то, что работа ведётся – просто нужно направить энергию в правильно русло. Что ж, будем надеяться, что со временем этот процесс станет более совершенным.