29.05.2019
Прошло уже больше 10 лет, как действует закон «О персональных данных». И как бы это абсурдно не звучало, но до сих пор нет четких границ того, что можно отнести к персональным данным. Конечно, в первую очередь, нужно обратиться к 152-ФЗ, в котором есть определение:
«персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»
Понятия в нормативных документах указаны для того, чтобы конкретизировать действие документа, но в нашем случае, такое определение оставляет больше вопросов, чем ответов. Например, под данными, относящимися к определяемому физическому лицу, можно отнести почти все, что угодно: скорость печати на клавиатуре, данные об активности в интернете, номер школы, которую закончили, размер одежды, модель телефона, цвет рабочего стола и т.д. Ведь все эти данные позволят косвенно определить то, к кому они относятся.
То есть если Вы про что-то можете сказать, что это «Ваше», то информация об этом считается персональными данными. С одной стороны, такая трактовка упрощает понимание термина, но в то же время достаточно усложняет выполнение требований законодательства.
Ведь определение начинает включать себя очень обширный массив данных, с которой организация ежедневно работает.
Давайте теперь обратимся к мнению Роскомнадзора, так как он является уполномоченным органом, защищающим права субъектов персональных данных, и оказывает контроль за соответствием обработки персональных данных требованиям законодательства Российской Федерации. Во время своего отчетного семинара по результатам первого полугодия 2018 года сотрудники регулятора озвучили планы о разработке матрицы персональных данных и их публикации на своем портале до конца прошлого года. К сожалению, пока подобной информации нет.
Регулятор периодически организовывает мероприятия и отвечает на вопросы, интересующие операторов персональных данных. Но нужно понимать, что конкретный сотрудник высказывает лишь свое собственное мнение, которое не всегда совпадает с мнение инспектора, который будет проводить проверку в Вашей организации. Также Роскомнадзор периодически выпускает комментарии к 152-ФЗ, где освещает свое видение на ряд вопросов. В 2015 г. был выпущен научно-практический комментарий под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой.
В данном труде достаточно подробно расписан подход регулятора ко всем статьям закона «О персональных данных». В частности, про сам термин персональных данных говориться, что он является слишком емким, но более подходящего определения они дать не могут.
Свое видение работники Роскомнадзора выразили следующим образом:
«В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо»
В данном комментарии приводится ряд примеров персональных данных. Например, паспортные данные, ИНН и СНИЛС. Проблема в том, что на одном из своих семинаров в прошлом году было отмечено, что серия и номер паспорта не являются персональными данными (ПДн), а являются идентификаторами документа. Недавно Минфин заявил, что ИНН так же просто номер записи в реестре, а не ПДн, с чем не соглашается регулятор. Мнение Роскомнадзора очень важно знать и учитывать, но как видим, ему свойственно меняться, и оно не всегда едино у всех инспекторов регулятора.
Также стоит обратиться к судебной практике, чтобы увидеть, в каких конкретных случаях данные были признаны персональными.
1. Фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
Определение Верховного Суда РФ от 24.06.15 №18-АПГ 15-7, которое не отменило решение суда первой инстанции и в результате была прекращена деятельность СМИ, которое опубликовало ПДн без получения на то согласия.
2. Паспортные данные.
Постановление Верховного Суда РФ от 15.06.15 №25-АД15-3, которое отменило решение об избыточности обработки ПДн клиента магазином, который запросил паспортные данные для оформления возврата товара.
3. Место работы, должность и политические взгляды.
Определение суда апелляционной инстанции от 28.03.2019 №33-13627/2019, которое подтвердило верность решение суда первой инстанции и определило, что ПДн субъекта на были размещены на сайте истца с нарушением 152-ФЗ.
Также интересно рассмотреть дела, в результате которых было определено, что к ПДн не относится та или иная информация. Например, суд апелляционной инстанции от 02.04.2019 №33-14515/2019 определил, что управляющая компания не нарушала 152-ФЗ, вывешивая на стендах список задолжников. Так как в этих списках были указаны только номер квартиры и размер задолженности. Этой информации по мнению суда недостаточно, чтобы определить принадлежность персональных данных конкретному субъекту.
Данное дело еще важно тем, что суд не принял во внимание материалы с сайта Роскомнадзора, которые были представлены истцом. Объясняется это тем, что суду принадлежит право оценки доказательств по своему внутреннему убеждению, основанному на всестороннем, полном, объективном и непосредственном исследовании имеющихся в деле доказательств.
Помимо изучения мнений и нормативных документов стоит задуматься о том, как на практике выглядит процесс обработки персональных данных. Организация всегда собирает эти данные для идентификации конкретного человека. Если Вы ведете базу клиентов с историей покупок, то данные этой базы являются персональными, так как Вы храните данные о конкретном человеке и в дальнейшем можете адресовать ему свои маркетинговые активности. Такой же подход действует с обработкой данных контрагентов и сотрудников, они собираются с целью получения более подробной информации о человеке и использованию этих данных в своей работе. То есть, сотрудник для решения своих рабочих задач часто запрашивает данные разных лиц (ФИО, номер телефона, адрес, должность, данные о доходах, расходах, платежные данные и т.д.) они все являются персональными, так как нужны не абстрактные данные, а данные конкретного человека. Иначе они будут бесполезны и никак не повлияют на взаимодействие с конкретным лицом.
В итоге, мы имеем ситуацию, когда нет единых и конкретных границ того, что относится к персональным данным. Учитывая букву закона, мнение регулятора и судебную практику можно выстроить процесс, в рамках которого будет проводится обработка данных таким образом, чтобы минимизировать риски организации. То есть организации нужны механизмы, позволяющие оперативно реагировать на изменения в трактовках норм закона, а также профессионально работать с органами Исполнительной и Судебной власти.
Теги: персональные данные, закон, как выполнить требования