Основное про персональные данные
И СМИ, и блогеры часто афишируют чужие персональные данные, когда рассказывают истории людей или про проблемы, с которыми они сталкиваются. В эти карточках проговорим основные понятия и рассмотрим нюансы и риски для журналистов и блогеров.
Персональные данные — это совокупность информации о конкретном человеке. К персональным данным относятся:
- фамилия,
- имя,
- отчество,
- дата рождения,
- место рождения,
- место жительства,
- номер телефона,
- адрес электронной почты,
- фотография,
- возраст и пр.
1
Определение термина
В какой момент данные становятся персональными?
Персональные данные позволяют идентифицировать и определить человека как конкретную личность. То есть если данные дают понять, что это точно вы (и не может быть никто другой) — тогда это персональные данные. Если нет — тогда нет.
Например, имя, фамилия и адрес — это персональные данные (человек определяем). А имя, фамилия и город проживания — нет, в городе может быть много людей с такими же именем и фамилией.
Персональные данные — это как бы анкетные данные вашей биографии, выделяющие вас среди остальных людей.
Персональными данными также являются расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья. Биометрические персональные данные являются отдельной категорией персональных данных.
2
На что ссылаемся
Какой закон охраняет персональные данные?
Это Федеральный закон «О персональных данных», № 152-ФЗ. Основные понятия из этого важного закона мы разберем в этих карточках.
3
Обработка персональных данных
Что такое обработка персональных данных и кто может обрабатывать данные?
В законе есть два важных определения — субъект персональных данных и оператор персональных данных.
Субъект персональных данных — это владелец персональных данных, определяемое лицо.
Оператор — человек или организация, которые обрабатывают его данные. За исключением некоторых случаев, оператор должен спрашивать согласия субъекта персональных данных на обработку его данных.
Обработка персональных данных — это действия с персональными данными. Когда вы их собираете, сохраняете, заносите в базы данных, храните, удаляете, блокируете, передаете, распространяете, используете каким-то образом.
Закон не регулирует обработку персональных данных в личных целях, действия по организации архивов, обработку персональных данных, содержащих гостайну и относящихся к деятельности судов.
4
Согласие на обработку данных
Всегда ли надо брать согласие на обработку данных?
Если вы обрабатываете персональные данные, то нужно брать согласие субъекта — человека, чьи персональные данные вы будете использовать.
Сразу скажем про исключения — согласие можно не спрашивать, если:
данные используются для исполнения договора;
согласие взять невозможно, а обработка данных необходима для защиты жизни, здоровья или иных жизненно важных интересов. Например, когда человек в коме, и ему нужна срочная помощь;
обработка персональных данных необходима для профессиональной деятельности журналиста. Например, он рассказывает, что директором завода является некий Василий Петрович Иванов, который к тому же является почетным жителем города. В этом случае важно не публиковать избыточную информацию, которая не важна для цели публикации, например, адрес или телефон героя;
персональные данные публикуются в общественных или других публичных интересах. Подробнее можно прочитать в наших карточках «Что такое «государственные, общественные и публичные интересы», которые разрешают публиковать то, что обычно нельзя?»;
персональные данные должны быть опубликованы или обязательно раскрыты в соответствии с федеральным законом. Например, в налоговых декларациях чиновников.
5
Как брать согласие на обработку данных
Нужно ли всегда брать согласие на обработку данных в письменной форме?
Согласие можно брать в любой форме, «позволяющей подтвердить факт его получения». Но в некоторых случаях письменная форма согласия является обязательной, к тому же, есть определенные требования.
Письменная форма обязательна:
- при обработке специальных категорий персональных данных — расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
- при обработке биометрических данных (это, например, отпечатки папиллярных узоров пальцев, рисунок радужной оболочки глаз, термограмма лица, слепок голоса, ДНК). При этом фотография сама по себе не является биометрическими данными;
- при трансграничной передаче персональных данных (если нет международного договора) — подробнее в карточках «Регистрация на сайте по законодательству о персональных данных».
Требования к письменной форме подробно прописаны в законе «О персональных данных».
6
Персональные данные в Интернете
Это правда, что для распространения данных в интернете теперь нужно отдельное согласие?
До 1 марта 2021 можно было использовать (и распространять) персональные данные человека без его согласия, если он сам выкладывал данные в открытый доступ. Соответствующий пункт закона перестал действовать, и с 1 марта 2021 года нужно брать отдельное согласие на распространение персональных данных. Даже если они уже есть в открытом доступе на другом сайте (например, в соцсети).
Если вы публикуете персональные данные на своем сайте — добавьте отдельным пунктом «Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения». У сотрудников, если организация размещает их персональные данные на сайте, тоже нужно брать дополнительное согласие на распространение персональных данных.
C 1 сентября 2021 года Роскомнадзор вводит обязательные требования к такому согласию (приказ от 24.02.2021). В нем должны содержаться:
- ФИО субъекта персональных данных и контактная информация (номер телефона, адрес электронной почты или почтовый адрес);
- ФИО, адрес места жительства и места пребывания для граждан — операторов персональных данных; наименование, адрес, указанный в ЕГРЮЛ, ИНН, основной государственный регистрационный номер (если известен) для юридических лиц; ФИО, ИНН, основной государственный регистрационный номер (если известен) для индивидуальных предпринимателей;
- адреса вебсайтов и страниц, на которых будут распространяться данные;
- цель обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается cогласие;
- категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
- условия, при которых полученные данные могут передаваться оператором;
- срок действия согласия.
Но опять же, напомним, что согласие не обязательно должно быть в письменной форме, за исключением некоторых случаев (см. п. 4)!
Если согласие не получено, то законность распространения данных должен будет доказывать каждый, кто их распространил. А молчание или бездействие субъекта персональных данных никак не может трактоваться как согласие, поясняет закон.
Закон также поясняет, что по требованию субъекта персональных данных распространение и передача персональных данных должны быть прекращены.
По закону, есть еще одна возможность дать согласие — через «информационную систему» Роскомнадзора. Для этого там нужно зарегистрироваться, и после проверки данных вам создадут личный кабинет, где вы сможете управлять своими согласиями.
Из этих правил есть исключение — согласие на распространение данных не требуется, если есть государственный, общественный или публичный интерес.
7
Хранение персональных данных в России
А что это за требование — хранить персональные данные в России?
Да, есть такое требование — персональные данные российских граждан нужно хранить в России.
На эту тему у нас есть карточки «Почему персональные данные надо хранить в России?».
8
Как нужно хранить персональные данные
Какие требования к хранению персональных данных, если я их обрабатываю?
Если вы являетесь оператором персональных данных (см. п. 3), то вам нужно соблюдать определенные требования к их хранению. О них можно прочитать в наших карточках «Что нужно знать про правила хранения персональных данных?».
9
Какие правила действуют с 1 сентября 2022
Что меняется в законе о персональных данных с 1 сентября 2022 года? Говорят, что работодатели должны подавать уведомление о начале обработки персональных данных, но я вроде его уже подавал раньше?
Да, требование уведомлять Роскомнадзор о начале обработки персональных данных (или о внесении изменений в порядок обработки персональных данных) действует очень давно. В 2017 году Роскомнадзор выпустил приказ «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
Но тогда требования были не такими жесткими, и, например, от подачи уведомления освобождались организации, которые обрабатывали только персональные данные сотрудников, или если использовали только фамилии, имена и отчества. Теперь таких исключений стало меньше. С 1 сентября уведомление подавать не обязательно, только если данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные без средств автоматизации.
То есть все работодатели должны подать уведомление в Роскомнадзор для включения в реестр операторов персональных данных. Тут можно проверить, находится ли ваша организация в реестре. А как подать уведомление, смотрите тут.
Новая форма уведомления еще не утверждена Роскомнадзором, а 1 сентября не является крайним сроком подачи уведомлений.