Определение, данное выше, соответствует принципам, изложенным в статье 2 Конвенции о защите физлиц при автоматизированной обработке персональных данных (ПД). Конвенция была принята Советом Европы 28 января 1981 года.
Правовая защита распространяется только на ту информацию, которая позволяет персонифицировать человека. Закон № 152-ФЗ дает комплексное понимание персональных данных и трактует их достаточно широко. Поэтому конкретного перечня информации, относящейся к персональным данным физлица, не существует
Какие данные могут быть персональными
Законодатель не определил исчерпывающий перечень персональных данных. Возникает необходимость выделения отдельных категорий ПД, которые сгруппированы по специфическим особенностям их обработки. Эти группы могут служить ориентиром для понимания и управления информацией, которая содержит какие-либо персонифицирующие признаки.
Общепринятые персональные данные
Под обычными персональными данными понимается информация, относящаяся к физическому лицу и не подпадающая под категорию специальных. Это указано в статье 10 № 152-ФЗ.
К специальным персональным данным относятся биометрические ПД, о которых говорится в статье 11 того же закона. Кроме того, в статье 10.1 № 152-ФЗ есть положение, позволяющее физлицам давать разрешение на распространение определенных сведений о себе. Важно различать эти типы данных.
К категории обычных ПД относят те виды информации, которые обычно указывают о себе респонденты — так называемые «анкетные» данные. Это ФИО, образование, место жительства и др. Как сказано в ч.1 ст.8 № 152-ФЗ, эти сведения предоставляются лицом, являющимся субъектом персональных данных, добровольно. По сути, речь идет о тех сведениях, которые человек сообщает о себе сам.
Общедоступные источники, содержащие сведения о людях — справочники и адресные книги создаются с целью предоставления такой информации. Однако надо знать, что физические лица имеют право требовать удаления своих данных из этих источников. Это может быть сделано как по их собственному запросу, так и по решению суда или уполномоченных государственных органов.
Данное требование изложено в ч. 2 ст. 8 № 152-ФЗ. В ней подчеркивается важность соблюдения прав на неприкосновенность частной жизни и обеспечения того, чтобы персональные данные не использовались не по назначению и не раскрывались без согласия субъекта.
Режим конфиденциальности информации не применяется в ситуациях, когда происходит обезличивание личных данных или совершаются действия, делающие невозможным определение принадлежности ПД конкретному лицу без необходимости получения дополнительной информации (это указано в п. 9 ст. 3 № 152-ФЗ).
Это означает, что при обезличивании персональных данных, например, удалении идентифицирующей информации, или при совершении определенных действий, не позволяющих идентифицировать персональные данные без дополнительной сведений, режим конфиденциальности информации перестает действовать.
Персональные данные, разрешенные субъектом для распространения
Под разрешенными ПД подразумевается персональная информация, на совместное использование или распространение которой было получено разрешение от самого человека. Эти сведения разрешает обрабатывать или распространять сам субъект персональных данных
В соответствии с п. 1.1 ст. 3 № 152-ФЗ физлицами предоставляется неограниченный доступ к определенной информации, относящейся к их персональным данным, при условии предоставления ими отдельного письменного согласия на их обработку.
Конкретные требования к содержанию такого согласия установлены приказом Роскомнадзора № 18, изданным 24 февраля 2021 года и действующим до 1 сентября 2027 года. Обработка таких данных регулируется положениями, изложенными в статье 10.1 № 152-ФЗ. Физические лица имеют право получить доступ к этой информации только после того, как их субъект предоставит свое согласие и тем самым разрешит их обработку. Для обеспечения соответствия требованиям содержание согласия должно соответствовать рекомендациям, установленным Роскомнадзором.
Ранее существовал термин «общедоступные персональные данные» — информация, доступ к которой может получить неограниченный круг лиц, если субъект ПД сам разместил их в общем доступе, на который в соответствии с законом не распространяется конфиденциальность. Однако сам по себе факт добровольного размещения персональных данных на публичных платформах, таких как Интернет или социальные сети, не делает их автоматически общедоступными.
Следовательно, обработка таких данных без согласия их обладателя запрещена, даже если он сам разместил ее в открытых источниках. Данный принцип был закреплен в Постановлении Девятого арбитражного апелляционного суда от 27 июля 2017 года (№ 09АП-31744/17) и Определении Верховного Суда РФ от 29 января 2018 года (№ 305-КГ17-21291).
В результате понятие общедоступных персональных данных с 1 марта 2021 года исключено из № 152-ФЗ путем включения в него пункта 2 статьи 1 Федерального закона от 30 декабря 2020 года № 519-ФЗ.
Таким образом, согласие физического лица, чьи персональные данные обрабатываются, служит единственным правовым основанием для санкционированной обработки такой информации. Кроме того, такое согласие должно содержать исчерпывающий перечень ресурсов, принадлежащих оператору персональных данных, на которых он предполагает предоставлять указанные сведения. В обязанности оператора ПД входит предоставление субъекту возможности указать конкретные категории разрешенных данных для каждого согласия. Тем самым оператор обеспечивает субъекту контроль над безопасностью обрабатываемой персональной информации.
Чтобы гарантировать соблюдение принципа конфиденциальности в отношении персональных данных, были приняты меры, запрещающие операторам данных получать согласие автоматически или в результате пассивного бездействия субъектов. Эти меры введены, чтобы обеспечить активное и осознанное согласие физлица на обработку их ПД.
Введение этих положений направлено на повышение прозрачности и расширение возможностей субъекта по контролю над личными сведениями.
Субъекту персональных данных предоставляется право накладывать ограничения на обработку его ПД, разрешенных для распространения, неограниченному кругу лиц, за исключением предоставления доступа. На оператора возлагается обязанность по информированию этих лиц об установленных условиях и запретах.
Специальные ПД
К специальным категориям персональных данных относятся различные виды конфиденциальной информации, например, сведения о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, судимости и т.п. (см. ч. 1 ст. 10 № 152-ФЗ). Важно отметить, что данный перечень не является исчерпывающим и в будущем может быть расширен за счет включения дополнительных оснований. Придание особого статуса отдельным категориям личных сведений обусловлено возможностью серьезных негативных последствий в случае их неправомерного раскрытия или несанкционированного использования. Такие последствия могут выражаться в дискриминации человека, препятствующей реализации им своих прав в отношении образования, вероисповедания, собраний и других аспектов его личного статуса. Необходимо признать важность защиты этих категорий данных для предотвращения любого ущерба, который может возникнуть в результате их несанкционированного распространения или использования, поскольку они оказывают существенное влияние на благополучие и права человека в целом.
Биометрия
Под биометрическими персональными данными понимается информация, относящаяся к физиологическим и биологическим характеристикам человека. Эти данные используются для установления личности организацией, ответственной за управление персональными данными. Термин «биометрические персональные данные» определен в части 1 статьи 11 № 152-ФЗ. Он включает в себя различные атрибуты, такие как отпечатки пальцев, черты лица, голос и другие уникальные физические характеристики, которые могут быть использованы для подтверждения личности человека.
Оператор, осуществляющий сбор и обработку персональных данных, использует биометрические сведения для подтверждения личности субъекта данных.
Процесс сбора и оценки информации, формирующей биометрический портрет, основан на использовании отличительных биометрических характеристик. К таким характеристикам относятся, в частности, данные отпечатков пальцев, изображения радужной оболочки глаза, изображения человека и другие методы биометрической идентификации. Важно, что с 8 мая 2023 года геномная информация также отнесена к этой категории ПД.
При соотнесении персональных данных с биометрической информацией и их обработке, деятельность оператора в этом направлении должна быть направлена в первую очередь на подтверждение личности конкретного человека при соблюдении соответствующих норм законодательства.
В соответствии с письмом Минфина России от 28.08.2020 г. № ЛБ-С-074-24059 было разъяснено, что к биометрическим персональным данным не относятся:
- Информация, которую получает Оператор в результате сканирования паспорта, для подтверждения выполнения субъектом определенных операций. К ним можно отнести заключение договоров на оказание услуг, например, в банковской или медицинской сфере. Данный процесс не предполагает проведения процедур идентификации.
- Сведения, полученные от ксерокопировании документа, удостоверяющего личность.
- Фото сотрудника его из личного дела.
- Подпись и почерк.
- Рентгеновские или флюорографические снимки, отражающие физиологические и биологические особенности человека, хранящиеся в истории болезни пациента, независимо от ее вида — электронного или на бумажном носителе, так как они не используются медицинским учреждением или оператором для установления личности пациента.
- Видеоматериалы, отснятые в общественных местах или на охраняемых территориях
Ответственность за нарушение законодательства в области персональных данных может иметь серьезные последствия как для отдельных лиц, так и для организаций.