Персональные данные
Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). В зависимости от юрисдикции и контекста, к персональным данным относят сведения, позволяющие идентифицировать человека: фамилию, имя, отчество, дату и место рождения, адрес, паспортные данные, сведения об образовании, профессии, доходах, состоянии здоровья, биометрические характеристики, а также данные о его действиях в цифровой среде (IP-адреса, файлы cookie, история поиска). Правовой режим персональных данных направлен на защиту прав и свобод человека при их обработке, включая право на неприкосновенность частной жизни, личную и семейную тайну.
Правовое регулирование
Международное право
Основополагающим документом в сфере защиты персональных данных на международном уровне является Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), принятая в 1981 году. Она устанавливает базовые принципы обработки данных: законность, справедливость, целевое использование, точность, ограничение срока хранения и безопасность. В 2018 году был принят Протокол о внесении изменений в Конвенцию (CETS № 223), модернизирующий её положения в соответствии с современными вызовами.
Наиболее влиятельным региональным актом является Общий регламент по защите данных (GDPR) Европейского союза, вступивший в силу 25 мая 2018 года. GDPR вводит строгие требования к обработке персональных данных, включая необходимость получения явного согласия субъекта, обязанность уведомлять о нарушениях, право на забвение, а также значительные штрафы за нарушения (до 20 миллионов евро или 4% от годового глобального оборота компании).
Законодательство Российской Федерации
В России основным законом, регулирующим отношения в области персональных данных, является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Он определяет принципы и условия обработки персональных данных, права субъектов, обязанности операторов, а также порядок государственного контроля и надзора.
Ключевые положения 152-ФЗ:
- Принципы обработки: законность, справедливость, ограничение обработки конкретными, заранее определёнными и законными целями, недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях.
- Согласие субъекта: обработка персональных данных допускается только с согласия субъекта, за исключением случаев, прямо предусмотренных законом (например, для исполнения договора, в целях правосудия, для защиты жизни и здоровья). Согласие должно быть конкретным, информированным и сознательным.
- Трансграничная передача: до начала трансграничной передачи персональных данных оператор обязан убедиться, что принимающее государство обеспечивает адекватную защиту прав субъектов. Перечень стран, обеспечивающих адекватную защиту, определён Роскомнадзором.
- Локализация данных: операторы, осуществляющие сбор персональных данных граждан РФ, обязаны обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации (требование введено с 1 сентября 2015 года).
Контроль за соблюдением законодательства о персональных данных в России осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Классификация персональных данных
В российском законодательстве выделяют несколько категорий персональных данных, для которых установлены различные режимы обработки:
- Общедоступные персональные данные: данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта или в соответствии с законом (например, данные в справочниках, телефонных книгах, адресных базах). Для них не требуется специального разрешения на обработку.
- Специальные категории персональных данных: данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка, как правило, запрещена, за исключением случаев, прямо предусмотренных законом (например, в целях трудовых отношений, при наличии согласия субъекта в письменной форме, для защиты жизни и здоровья).
- Биометрические персональные данные: сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (отпечатки пальцев, радужная оболочка глаза, изображение лица, голос, геномная информация). Обработка биометрических данных допускается только с согласия субъекта в письменной форме, за исключением случаев, установленных законом (например, при осуществлении правосудия, в целях транспортной безопасности).
- Иные категории: данные, не отнесённые к специальным или биометрическим (например, фамилия, имя, отчество, адрес, дата рождения, сведения об образовании, профессии, доходах).
Обработка персональных данных
Обработка персональных данных включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Субъекты и операторы
- Субъект персональных данных — физическое лицо, к которому относятся персональные данные.
- Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Права субъекта
Субъект персональных данных имеет право:
- Получать информацию, касающуюся обработки его персональных данных (о целях, способах, сроках, об операторе).
- Требовать уточнения, блокирования или уничтожения своих персональных данных в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не необходимыми для заявленной цели обработки.
- Отозвать согласие на обработку персональных данных в любой момент.
- Обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
- На возмещение убытков и компенсацию морального вреда.
Обязанности оператора
Оператор обязан:
- Обеспечивать защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
- Назначить ответственного за организацию обработки персональных данных.
- Принимать необходимые правовые, организационные и технические меры для защиты персональных данных.
- Уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных (за исключением ряда случаев, например, обработки данных исключительно для личных и семейных нужд).
- В случае утечки персональных данных уведомить Роскомнадзор в течение 24 часов и субъектов персональных данных в течение 72 часов.
Угрозы и защита персональных данных
Основные угрозы безопасности персональных данных связаны с:
- Несанкционированным доступом: взлом информационных систем, кража баз данных, фишинг, социальная инженерия.
- Утечками данных: как случайными (например, из-за ошибок персонала), так и преднамеренными (со стороны сотрудников или третьих лиц).
- Неправомерным использованием: использование данных в целях, не соответствующих заявленным (например, для спам-рассылок, таргетированной рекламы, мошенничества).
- Передачей третьим лицам без согласия: продажа или передача данных партнёрам, не указанным в политике обработки.
Методы защиты персональных данных включают:
- Организационные меры: разработка и внедрение политики обработки персональных данных, назначение ответственного лица, проведение обучения сотрудников, контроль доступа.
- Технические меры: шифрование данных, использование межсетевых экранов, антивирусного программного обеспечения, систем обнаружения вторжений, резервное копирование, аутентификация и авторизация пользователей.
- Правовые меры: заключение договоров с контрагентами, содержащих условия о конфиденциальности, получение согласий на обработку, соблюдение требований законодательства.
Критика и современные вызовы
Система регулирования персональных данных подвергается критике по нескольким направлениям:
- Чрезмерная бюрократизация: требования к получению согласий и уведомлению регулятора могут создавать излишнюю административную нагрузку на бизнес, особенно на малые и средние предприятия.
- Недостаточная эффективность защиты: несмотря на строгие законы, утечки данных продолжают происходить, а механизмы компенсации ущерба для субъектов часто остаются сложными и малодоступными.
- Конфликт с интересами безопасности и развития технологий: требования по локализации данных могут препятствовать трансграничному обмену информацией и развитию глобальных цифровых сервисов. В то же время, правоохранительные органы нередко требуют доступа к зашифрованным данным, что вступает в противоречие с правом на приватность.
- Развитие больших данных и искусственного интеллекта: традиционные подходы к согласию и контролю становятся всё менее применимыми в условиях, когда данные собираются и анализируются в огромных объёмах, а их ценность заключается не столько в отдельных записях, сколько в агрегированных массивах.
Источники
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
- Общий регламент по защите данных (GDPR) Европейского союза.
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
- Приказ Роскомнадзора от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Методические рекомендации Роскомнадзора по обработке персональных данных.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →