к какой категории персональных данных относятся паспортные данные
Категории персональных данных
Все без исключения операции, связанные с обработкой персональных данных в ИСПДн, предполагают следование требованиям ФЗ-152 и другим нормативно-правовым актам, касающимся использования ПДн. В частности, любой организации придется принимать определенные меры технической и организационной безопасности, предварительно определив уровень защищенности ИСПДн (до 2013 года было разделение на классы), что предусматривает Постановление Правительства РФ № 1119. Чтобы понять, насколько эффективно система нейтрализует факторы, приводящие к несанкционированному доступу и применению личных сведений субъектов ПДн, нужно определить, какие категории персональных данных вы обрабатываете. Этот параметр наравне с типом УБ и другими показателями повлияет на причисление ИС к 1, 2, 3 или 4 уровню.
Установленные законом категории обрабатываемых персональных данных
Разделение ПДн необходимо для того, чтобы устанавливать отдельные правила обработки и защиты для информации разного характера, а также наказания организаций, которые их нарушают. Действующее российское законодательство предусматривает 4 категории обрабатываемых ПДн:
Несмотря на внесение различных изменений, четко прописаны только три первые группы, а вот в отношении последней нет конкретики. Перед операторами стоит задача понять, с какими сведениями они работают, и только потом устанавливать степень защищенности ИС.
Категория общедоступных ПДн
Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение. В соответствии с классификацией ФЗ-152 в данную категорию персональных данных входят:
Нужно учитывать, что если гражданин не согласен с тем, что информация о нем общедоступна, то он имеет право потребовать её удалить из источника путем подачи заявления. Также это может быть сделано при выдаче соответствующего решения государственного органа либо суда.
Биометрические ПДн
Практически на любом предприятии есть система охраны и видеонаблюдения, а также ограничения доступа на территорию либо в отдельные помещения. В качестве идентификатора лиц, которые имеют право находиться в определенных зонах или выполнять определенные действия, выступают, как правило, фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические особенности входят в категорию биометрических ПДн, а их использование в обязательном порядке требует получения письменного согласия владельцев. Документ не требуется только, если речь идет об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.
Работая с такими сведениями, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т.д. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении.
Что является специальной категорией персональных данных?
В данную группу входят:
Если общедоступные ПДн позволяют в совокупности определить субъекта, то специальные персональные данные такой возможности не дают. Для их обработки требуется выполнение одного из условий:
Категория иных персональных данных
Четкого определения, какие сведения могут быть отнесены в эту группу, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к предыдущим категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.
Категории субъектов персональных данных
В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:
В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.
Являются ли паспортные данные персональными данными?
Согласно п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть лишь сведения, которые с достоверностью позволяют идентифицировать лицо.
Следовательно, основным критерием при определении персонализации необходимо, чтобы информация была однозначно соотносима с определенным человеком.
Судебная практика относит к числу персональных данных следующую информацию о гражданине:
— фамилия, имя, отчество;
— дата и место рождения;
— адрес места регистрации и места проживания;
— семейное, социальное, имущественное положение;
— образование, профессия, доходы, другая информация (Постановление Арбитражного суда Северо-Кавказского округа от 29.05.2020 N Ф08-1324/2020 по делу N А53-11417/2019; Постановление Арбитражного суда Северо-Кавказского округа от 03.04.2019 N Ф08-1028/2019 по делу N А53-26369/2018 (Определением Верховного Суда РФ от 06.06.2019 N 308-ЭС19-9542 отказано в передаче дела N А53-26369/2018 в Судебную коллегию по экономическим спорам Верховного Суда РФ для пересмотра в порядке кассационного производства данного Постановления); Постановление Арбитражного суда Западно-Сибирского округа от 03.10.2018 N Ф04-4286/2018 по делу N А27-5719/2017; Определение Московского городского суда от 17.09.2012 N 4г/6-7692; Определение Московского городского суда от 29.02.2012 по делу N 33-6709).
К данному перечню может быть отнесена иная информация, неразрывно связанная с личностью ее обладателя (Постановление Тринадцатого арбитражного апелляционного суда от 21.06.2010 по делу N А56-4788/2010).
Действующее законодательство РФ не содержит легального определения «паспортные данные», однако идентифицирующие лицо признаки указываются отдельно, например ФИО гражданина (п. 4 Положения о паспорте гражданина Российской Федерации, утв. Постановлением Правительства РФ от 08.07.1997 N 828; ст. 84 НК РФ; пп. «л» ч. 1 ст. 5 Федерального закона от 08.08.2001 N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»).
В соответствии с п. 3 Описания бланка паспорта гражданина Российской Федерации, утв. Постановлением Правительства РФ от 08.07.1997 N 828 (далее — Описание бланка паспорта гражданина РФ), нумерация бланка паспорта состоит из 3 групп цифр. Первые 2 группы, состоящие из 4 цифр, обозначают серию бланка паспорта, третья группа, состоящая из 6 цифр, обозначает номер бланка паспорта.
Таким образом, с учетом норм действующего законодательства и судебной практики можно сделать вывод, что под паспортными данными понимаются данные паспорта как бланка (серия, номер, дата выдачи, наименование выдавшего органа, код подразделения) и данные о владельце паспорта (фамилия, имя, отчество, дата и место рождения, адрес регистрации, семейное положение, сведения о детях).
Такие паспортные данные, как серия и номер, являются неотъемлемыми реквизитами самого паспорта как документа, делающие его уникальным бланком среди прочих. И их можно отнести к персональным данным.
В Постановлении Президиума ВАС РФ от 16.06.2009 N 750/09 по делу N А43-3182/2008-5-74 отмечено, что суд располагал полученными от соответствующего органа сведениями, подтверждающими принадлежность паспорта определенной серии и определенного номера конкретному гражданину, т.е. у суда имелась возможность идентифицировать лицо.
Суды часто делают выводы о том, что серия и номер паспорта, дата его выдачи, наименование органа, его выдавшего, код подразделения (данные паспорта) относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность, в связи с чем не относятся к персональным данным (Постановление Седьмого арбитражного апелляционного суда от 05.04.2018 N 07АП-1437/2018 по делу N А45-31682/2017, Постановление Седьмого арбитражного апелляционного суда от 19.03.2018 N 07АП-1435/2018 по делу N А45-31683/2017, Постановление Девятого арбитражного апелляционного суда от 02.11.2010 N 09АП-23673/2010-ГК по делу N А40-30314/09-45-201, Постановление Тринадцатого арбитражного апелляционного суда от 21.06.2010 по делу N А56-4788/2010, Определение Московского городского суда от 17.09.2012 N 4г/6-7692; Определение Московского городского суда от 29.02.2012 по делу N 33-6709). Например, в Определении Верховного Суда РФ от 08.09.2020 N 308-ЭС20-11154 по делу N А63-13382/2019 указано, что к информации, позволяющей идентифицировать лицо, относится совокупность следующих данных: фамилия, имя, отчество, номер и серия паспорта и т.д.
Имеется также судебная практика, где серия и номер паспорта рассматриваются в качестве персональных данных (Определение Верховного Суда РФ от 08.09.2020 N 308-ЭС20-11154 по делу N А63-13382/2019, Апелляционное определение Верховного суда Республики Адыгея от 26.01.2018 по делу N 33-42/2018).
Аналогичный смысл заложен в ст. 84 НК РФ и Определении Московского городского суда от 13.05.2019 N 4г-4164/19.
Арбитражный суд Самарской области
Остались вопросы к адвокату?
Задайте их прямо сейчас здесь, или позвоните нам по телефонам в Москве +7 (499) 288-34-32 или в Самаре +7 (846) 212-99-71 (круглосуточно), или приходите к нам в офис на консультацию (по предварительной записи)!
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Виды персональных данных
Процветание бизнеса тесно связано с тем, насколько серьезно организация подходит к обеспечению информационной безопасности. Особое значение имеет определение и нейтрализация угроз безопасности, касающихся несанкционированного доступа к личной информации клиентов и партнеров. Персональные данные — это виды сведений, которые дают возможность косвенно либо напрямую идентифицировать гражданина и в отдельных случаях получить о нем дополнительную информацию.
Осуществляя любой вид обработки ПДн, предприниматель, компания либо муниципальный/государственный орган обязаны придерживаться прописанных в ФЗ-152 требований, в частности, продумать систему защиты от НСД и последующего несанкционированного использования. В зависимости от того, какие виды ПДн вы обрабатываете, нужны будут определенные СЗИ, поэтому важно разобраться с актуальной классификацией. Обращаем внимание, что под персональными данными понимаются данные, касающиеся конкретного человека. То есть абстрактный адрес электронной почты либо мобильный номер к таковым не относятся, поскольку не представляется возможным определить, чьи они. Четко проследить разницу можно на примере опросов — если вы просите сообщить имя и фамилию либо семейное положение, то речь идет о ПДн, соответственно нужно просить согласие на обработку, а в случае анонимного анкетирования такой необходимости не возникает.
Категории и виды ПДн
В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:
Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:
Какие можно выделить типы персональных данных?
Кроме описанных видов ПД, классифицировать личные сведения граждан можно на основании положений ТК, Конституции Российской Федерации и других ФЗ. Например, при организации трудовых процессов происходит обработка двух типов документов:
Есть еще несколько способов разделения персональных данных по разным критериям:
Зачем проводить классификацию ПДн?
Проанализировать виды персональной информации и понять, какие именно сведения вы используете в своей деятельности, очень важно. От этого зависит список законодательных требований к защите ИС, и, соответственно, затраты на внедрение средств профилактики и реагирования на УБ. Кроме того, это позволит избежать нарушений и штрафных санкций со стороны контролирующих органов, а также завоевать репутацию надежной компании, что положительно скажется на уровне дохода.
Статья 10. Специальные категории персональных данных
ГАРАНТ:
См. комментарии к статье 10 настоящего Федерального закона
Информация об изменениях:
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
Информация об изменениях:
2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;
Информация об изменениях:
Федеральным законом от 25 ноября 2009 г. N 266-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 2.1
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
Информация об изменениях:
Федеральным законом от 27 июля 2010 г. N 204-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 2.2
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;
Информация об изменениях:
Федеральным законом от 21 июля 2014 г. N 216-ФЗ в пункт 2.3 части 2 статьи 10 настоящего Федерального закона внесены изменения, вступающие в силу с 1 января 2015 г.
2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
Информация об изменениях:
Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 3 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
Информация об изменениях:
Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 6 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.
6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
Информация об изменениях:
Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 7 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.
Информация об изменениях:
Федеральным законом от 23 июля 2013 г. N 205-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 7.1
7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
Информация об изменениях:
Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 8 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.
8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
Информация об изменениях:
Федеральным законом от 25 июля 2011 г. N 261-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 9, распространяющимся на правоотношения, возникшие с 1 июля 2011 г.
9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
Информация об изменениях:
Федеральным законом от 4 июня 2014 г. N 142-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 10, вступающим в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона
10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
Информация об изменениях:
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Информация об изменениях:
Федеральным законом от 25 июля 2011 г. N 261-ФЗ в часть 4 статьи 10 настоящего Федерального закона внесены изменения, распространяющиеся на правоотношения, возникшие с 1 июля 2011 г.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.