Какие есть категории персональных данных
Компании, ИП и физические лица, которые собирают и обрабатывают персональные сведения других людей, должны разрабатывать и внедрять меры по защите информации. Чтобы знать, как и что защищать, нужно разбираться в том, какие требования предъявляет законодательство к охране того или иного типа личных данных. В статье поговорим о том, какие категории персональных сведений существуют и в чем их особенности.
|
Содержание
Категории обрабатываемых персональных: классификация в законодательстве Общедоступная персональная информация Какие персональные данные относятся к биометрии |
|
Памятка «Позиции о том, какие сведения относят к персональным данным»
Перечень основных документов и действий для аудита персданных
Чек-лист для проверки согласия на обработку персданных в связи с новыми штрафами |
Категории обрабатываемых персональных данных: классификация в законодательстве
В народе персональные данные условно принято делить на простые или общие и специальные. В законодательстве классификация несколько отличается. В зависимости от информации, которая в них есть, их разделяют на 4 группы:
- общие или общедоступные;
- данные биометрии;
- специальные сведения;
- другие или иные.
Работу с персональными данными регулирует закон № 152-ФЗ от 27.07.06 г «О персональных данных», но в нем не приводится четкая классификация личных сведений, только присутствуют уточняющие пояснения относительно биометрических данных и специальной информации.
Позже вступило в силу Постановление Правительства РФ № 1119 от 01.11.12 г., в котором конкретизируются типы персональных данных и приводятся требования к защите каждого из них.
Перед разработкой мер по защите личной информации стоит пояснить такое определение как «категории субъектов персональных данных», его придется использовать, например, в Положении о работе с персданными.
Читайте подробнее о том, какие ЛНА по персональным данным должны быть у работодателя.
|
Важно! Субъектом персональных данных всегда выступает физическое лицо. Компании, государственные или муниципальные органы и предприятия не могут таковыми считаться. |
Субъект – это гражданин, которому принадлежит персональная информация, позволяющая его идентифицировать. Всех субъектов ПД условно принято делить на категории:
- реальные и потенциальные клиенты и их представители;
- выгодоприобретатели и поручители;
- работники нынешние и бывшие, и соискатели;
- супруги и родственники человека;
- представители организаций, ИП, самозанятые и частнопрактикующие граждане;
- пользователи сайтов и приложений.
В зависимости от сферы деятельности компании и особенностей бизнеса этот список можно дополнять другими субъектами персональных сведений.
Если говорить в целом про информационную систему организации, которая обрабатывает личную информацию людей, законодательство подразделяет субъектов на две категории: те, кто не работает в штате или внештатно на компанию и те, с кем заключен договор (ПП РФ № 1119).
Но вернемся к тому, какие персональные данные относятся к вышеуказанным категориям, и рассмотрим их особенности.
Общедоступная персональная информация
Понятие «общедоступные» предполагает то, что сведения находятся в открытых источниках и получить их могут все желающие. Такие личные данные можно найти, например, в справочниках телефонных номеров. Информация помещается в открытые источники с согласия субъекта таких сведений.
Среди персональных данных общедоступной группы выделяют следующие:
- ФИО человека;
- дата, населенный пункт, где человек родился, и возраст;
- место, где он живет;
- специальность, профессия, образование;
- наличие семьи;
- номер телефона, e-mail, профили в соцсетях.
К общей категории причисляют и паспортные данные человека, хотя они не содержатся в открытом доступе.
Серия и номер паспорта отдельно, как правило, не используются, они идут в комплекте с ФИО и помогают идентифицировать хозяина паспорта, поэтому по закону считаются персональной информацией. А название и код подразделения органа, его выдавшего к персональным данным не относят.
Номер СНИЛС так же как и номер паспорта можно определить в группу общих личных сведений, если он укомплектован другими данными и помогает установить личность субъекта. Отдельно его не считают персональной информацией, потому что получить сведения о гражданине только по номеру СНИЛС самостоятельно затруднительно, придется обращаться в полицию.
С номером ИНН такая же ситуация. Минфин пояснил, что в номере содержатся всего лишь код налогового органа, номер записи из реестра налогоплательщиков и контрольная цифра, поэтому сам по себе ИНН не считается личной информацией.
Но если номер идет вместе с другими личными сведениями, например с паспортными, то его причисляют к персональным данным. В этом случае требуется согласие на его обработку.
Читайте подробнее каким должно быть согласие на обработку персональных данных.
Аналогично обстоят дела с номером телефона и электронной почтой, если они дополняются другими сведениями и помогают определить личность владельца, то они считаются персональными данными, если нет, то это обычная информация.
По поводу e-mail-адресов есть небольшая оговорка. По мнению Роскомнадзора, если почта содержит фамилию и инициалы владельца, то ее можно считать персональными данными, даже если она не укомплектована дополнительными сведениями, например, ivanov_ps@yandex.ru. А если это какой-то набор символов или ничего не значащее слово, то к личной информации она не относится.
Есть еще один спорный момент, касающийся VIN-номера автомобиля, поскольку существует некоторая расплывчатость в законодательстве. Одни юристы ссылаются на определение «VIN», из него следует, что номер несет информацию только о самом авто, а не о его хозяине, поэтому он не относится к персональным данным.
Другие утверждают, что при сборе сведений по VIN номеру можно найти данные ПТС и определить владельца и всю информацию о нем. Этот процесс могут осуществить не только госорганы, но и обычные пользователи через интернет. Получается, по VIN автомобиля можно идентифицировать человека, а значит, номер – личные сведения.
Согласно статье 3 закона от 27.07.06 №152-ФЗ «О персональных данных» ими «считается любая информация, которая прямо или косвенно относится к определенному физическому лицу (субъекту персданных)».
Классифицируют ли VIN как личные данные в каком-то конкретном случае или нет, предсказать сложно. Все будет зависеть от проверяющих или судей, если дело примет такой оборот. Поэтому, если компания где-то использует эти номера автомобилей, лучше подстраховаться и взять с владельцев машин дополнительное разрешение на обработку такой информации.
|
|
Важно! Субъект категории персональных данных «общедоступные» вправе в любой момент потребовать, чтобы информацию о нем удалили из общественных источников. Также это может сделать и суд (ст. 8 Закона 152-ФЗ «О персональных данных»). |
Какие персональные данные относятся к биометрии
К биометрическим личным сведениям относят информацию, которую получают на основе биологических и поведенческих характеристик человека, помогающим его идентифицировать. Сюда относятся, например, отпечатки пальцев, образец голоса, фотографию лица и тела или специальный скан роговицы глаза.
Если в компании установлена система видеонаблюдения за сотрудниками, потребовалось снять какое-то видео или сделать фото, то с каждого нужно взять согласие на обработку такой информации. Исключением будет фото- и видеосъемка в зале суда или других местах по решению госорганов в целях безопасности.
Одно из основных условий, по которым персональные данные относят к биометрическим, это возможность выявления по ним личности гражданина. Поэтому обычную фотографию или скан паспорта без установки личности нельзя отнести к биометрическим сведениям.
Также не считается биометрией видео с уличных камер наблюдения, даже если в них встроены элементы искусственного интеллекта для распознавания лиц, эта система не позволяет установить личность человека, поэтому никакое согласие не требуется.
Работать с такой информацией можно до того момента, пока не выполнится цель ее обработки или не пройдет срок, который субъект указал в согласии на обработку персданных.
Категория персональных данных «специальные»
В эту группу можно поместить информацию, которая не способствует определению личности человека, но является неотъемлемой частью его жизни и недоступна широкому кругу лиц.
Сюда относят сведения:
- о здоровье (диагнозы, заболевания, медзаключения, результаты анализов, виды медицинского вмешательства и прочую медицинскую информацию);
- расе, гендерном типе, сексуальной ориентации;
- политических, философских и религиозных взглядах.
Собирать и обрабатывать эту категорию персональных данных закон запрещает, кроме нескольких случаев-исключений. Например, если гражданин сам оставил эту информацию в открытых источниках или дал письменное согласие на обработку.
Также в случаях, когда такие сведения нужны для правосудия, при защите жизни и здоровья самого человека или других людей, или для медицинского вмешательства. Полный перечень приводится в ст. 10 Закона 152-ФЗ.
Если Роскомнадзор узнает, что компания собирает и обрабатывает такую информацию без согласия человека, ее оштрафуют сразу по двум категориям: за сбор и за обработку (ст. 13.11 КоАП РФ).
Другие или иные персональные данные
В законе нет точного определения, что именно отнести к этой категории персональных данных, лишь упоминается, что информация не должна относиться к первым трем. Обычно сюда попадают сведения о принадлежности гражданина к какой-то социальной группе, например, «зоозащитники», «фанаты Спартака» или «клуб любителей рыбалки».
В рамках компании сюда относят данные бухгалтерии о зарплате, стаже, отпусках сотрудника и другую подобную информацию. Также категория персональных данных «общедоступные» тоже считается иными, пока их не разместили в открытых источниках.
В работе с персональными данными важно знать требования, которые предъявляет закон и иметь необходимый перечень документов, чтобы избежать претензий проверяющих органов и огромных штрафов, которые имеют тенденцию расти каждый год.
После нашего курса «Персональные данные работников», вы сможете организовать правильную обработку и защиту личных сведений ваших сотрудников согласно закону, с учетом всех последних изменений, и исключить риски ответственности за некорректное обращение с персональными данными.
