Основное про персональные данные

Что нужно знать, чтобы не нарушить закон

И СМИ, и блогеры часто афишируют чужие персональные данные, когда рассказывают истории людей или про проблемы, с которыми они сталкиваются. В эти карточках проговорим основные понятия и рассмотрим нюансы и риски для журналистов и блогеров.

 
 

    Персональные данные — это совокупность информации о конкретном человеке. К персональным данным относятся:

    • фамилия,
    • имя,
    • отчество,
    • дата рождения,
    • место рождения,
    • место жительства,
    • номер телефона,
    • адрес электронной почты,
    • фотография,
    • возраст и пр.

    1

    Определение термина

    В какой момент данные становятся персональными?

    Персональные данные позволяют идентифицировать и определить человека как конкретную личность. То есть если данные дают понять, что это точно вы (и не может быть никто другой) — тогда это персональные данные. Если нет — тогда нет.

    Например, имя, фамилия и адрес — это персональные данные (человек определяем). А имя, фамилия и город проживания — нет, в городе может быть много людей с такими же именем и фамилией.

    Персональные данные — это как бы анкетные данные вашей биографии, выделяющие вас среди остальных людей.

    Персональными данными также являются расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья. Биометрические персональные данные являются отдельной категорией персональных данных.

    2

    На что ссылаемся

    Какой закон охраняет персональные данные?

    Это Федеральный закон «О персональных данных», № 152-ФЗ. Основные понятия из этого важного закона мы разберем в этих карточках.

    3

    Обработка персональных данных

    Что такое обработка персональных данных и кто может обрабатывать данные?

    В законе есть два важных определения — субъект персональных данных и оператор персональных данных.

    Субъект персональных данных — это владелец персональных данных, определяемое лицо.

    Оператор — человек или организация, которые обрабатывают его данные. За исключением некоторых случаев, оператор должен спрашивать согласия субъекта персональных данных на обработку его данных.

    Обработка персональных данных — это действия с персональными данными. Когда вы их собираете, сохраняете, заносите в базы данных, храните, удаляете, блокируете, передаете, распространяете, используете каким-то образом.

    Закон не регулирует обработку персональных данных в личных целях, действия по организации архивов, обработку персональных данных, содержащих гостайну и относящихся к деятельности судов.

    4

    Согласие на обработку данных

    Всегда ли надо брать согласие на обработку данных?

    Если вы обрабатываете персональные данные, то нужно брать согласие субъекта — человека, чьи персональные данные вы будете использовать.

    Сразу скажем про исключения — согласие можно не спрашивать, если:

    данные используются для исполнения договора;

    согласие взять невозможно, а обработка данных необходима для защиты жизни, здоровья или иных жизненно важных интересов. Например, когда человек в коме, и ему нужна срочная помощь;

    обработка персональных данных необходима для профессиональной деятельности журналиста. Например, он рассказывает, что директором завода является некий Василий Петрович Иванов, который к тому же является почетным жителем города. В этом случае важно не публиковать избыточную информацию, которая не важна для цели публикации, например, адрес или телефон героя;

    персональные данные публикуются в общественных или других публичных интересах. Подробнее можно прочитать в наших карточках «Что такое «государственные, общественные и публичные интересы», которые разрешают публиковать то, что обычно нельзя?»;

    персональные данные должны быть опубликованы или обязательно раскрыты в соответствии с федеральным законом. Например, в налоговых декларациях чиновников.

    5

    Как брать согласие на обработку данных

    Нужно ли всегда брать согласие на обработку данных в письменной форме?

    Согласие можно брать в любой форме, «позволяющей подтвердить факт его получения». Но в некоторых случаях письменная форма согласия является обязательной, к тому же, есть определенные требования.

    Письменная форма обязательна:
     

    • при обработке специальных категорий персональных данных — расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
    • при обработке биометрических данных (это, например, отпечатки папиллярных узоров пальцев, рисунок радужной оболочки глаз, термограмма лица, слепок голоса, ДНК). При этом фотография сама по себе не является биометрическими данными;
    • при трансграничной передаче персональных данных (если нет международного договора) — подробнее в карточках «Регистрация на сайте по законодательству о персональных данных».

    Требования к письменной форме подробно прописаны в законе «О персональных данных».

    6

    Персональные данные в Интернете

    Это правда, что для распространения данных в интернете теперь нужно отдельное согласие?

    До 1 марта 2021 можно было использовать (и распространять) персональные данные человека без его согласия, если он сам выкладывал данные в открытый доступ. Соответствующий пункт закона перестал действовать, и с 1 марта 2021 года нужно брать отдельное согласие на распространение персональных данных. Даже если они уже есть в открытом доступе на другом сайте (например, в соцсети).

    Если вы публикуете персональные данные на своем сайте — добавьте отдельным пунктом «Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения». У сотрудников, если организация размещает их персональные данные на сайте, тоже нужно брать дополнительное согласие на распространение персональных данных.

    C 1 сентября 2021 года Роскомнадзор вводит обязательные требования к такому согласию (приказ от 24.02.2021). В нем должны содержаться:
     

    • ФИО субъекта персональных данных и контактная информация (номер телефона, адрес электронной почты или почтовый адрес);
    • ФИО, адрес места жительства и места пребывания для граждан — операторов персональных данных; наименование, адрес, указанный в ЕГРЮЛ, ИНН, основной государственный регистрационный номер (если известен) для юридических лиц; ФИО, ИНН, основной государственный регистрационный номер (если известен) для индивидуальных предпринимателей;
    • адреса вебсайтов и страниц, на которых будут распространяться данные;
    • цель обработки персональных данных;
    • категории и перечень персональных данных, на обработку которых дается cогласие;
    • категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
    • условия, при которых полученные данные могут передаваться оператором;
    • срок действия согласия.

    Но опять же, напомним, что согласие не обязательно должно быть в письменной форме, за исключением некоторых случаев (см. п. 4)! Пока не очень понятно, как необязательность письменной формы согласия и соблюдение требований к форме согласуются друг с другом — ждем разъяснений Роскомнадзора.

    Если согласие не получено, то законность распространения данных должен будет доказывать каждый, кто их распространил. А молчание или бездействие субъекта персональных данных никак не может трактоваться как согласие, поясняет закон.

    Закон также поясняет, что по требованию субъекта персональных данных распространение и передача персональных данных должны быть прекращены.

    По закону, есть еще одна возможность дать согласие — через «информационную систему» Роскомнадзора. Для этого там нужно зарегистрироваться, и после проверки данных вам создадут личный кабинет, где вы сможете управлять своими согласиями. Как это будет происходить, когда система заработает (по плану с 1 июля 2021 года), пока не очень понятно.

    Из этих правил есть исключение — согласие на распространение данных не требуется, если есть государственный, общественный или публичный интерес.

    7

    Хранение персональных данных в России

    А что это за требование — хранить персональные данные в России?

    Да, есть такое требование — персональные данные российских граждан нужно хранить в России.

    На эту тему у нас есть карточки «Почему персональные данные надо хранить в России?».

    8

    Как нужно хранить персональные данные

    Какие требования к хранению персональных данных, если я их обрабатываю?

    Если вы являетесь оператором персональных данных (см. п. 3), то вам нужно соблюдать определенные требования к их хранению. О них можно прочитать в наших карточках «Что нужно знать про правила хранения персональных данных?».

    9

    Какие правила действуют с 1 сентября 2022

    Что меняется в законе о персональных данных с 1 сентября 2022 года? Говорят, что работодатели должны подавать уведомление о начале обработки персональных данных, но я вроде его уже подавал раньше?

    Да, требование уведомлять Роскомнадзор о начале обработки персональных данных (или о внесении изменений в порядок обработки персональных данных) действует очень давно. В 2017 году Роскомнадзор выпустил приказ «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

    Но тогда требования были не такими жесткими, и, например, от подачи уведомления освобождались организации, которые обрабатывали только персональные данные сотрудников, или если использовали только фамилии, имена и отчества. Теперь таких исключений стало меньше. С 1 сентября уведомление подавать не обязательно, только если данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные без средств автоматизации.

    То есть все работодатели должны подать уведомление в Роскомнадзор для включения в реестр операторов персональных данных. Тут можно проверить, находится ли ваша организация в реестре. А как подать уведомление, смотрите тут.

    Новая форма уведомления еще не утверждена Роскомнадзором, а 1 сентября не является крайним сроком подачи уведомлений.

    Над материалом работали:
    Наталья Гарина
    Иллюстрации:

    Подводя итоги:

    1
    Определите, собираете ли вы персональные данные
    2
    Выберите нужную схему хранения данных
    3
    Разработайте шаблон взятия согласия