Что такое персональные данные, является ли ими ИНН? Что еще относится к их числу?
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что такое персональные данные, является ли ими ИНН? Что еще относится к их числу?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
Исключения из общего правила
Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:
- сочетание часто встречающихся имени и фамилии без иных сведений не дает однозначной возможности определить человека;
- в одной организации могут работать несколько сотрудников с одинаковыми именами;
- ФИО общедоступны, в отличие от других сведений о гражданах.
Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.
Среди характеристик методов преобразования сведений:
- обратимость – возможность программными способами устранить анонимность и вернуть ПД к первоначальному виду;
- вариативность, или возможность изменить метод обезличивания в процессе обработки;
- стойкость, или способность метода противостоять внешним атакам на массив ПД с целью их деобезличивания;
- возможность косвенного деобезличивания в едином массиве с данными других операторов;
- совместимость, при которой в одном массиве окажутся данные, обезличенные разными методами;
- небольшой параметрический объем;
- возможность контроля качества данных.
Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:
- метод идентификаторов, при котором учетная запись маркируется метками, позволяющими найти полные данные в таблице;
- изменение семантики, при котором удаляется или заменяется часть информации;
- декомпозиция, или разбиение большого объема сведений на несколько отдельно хранящихся массивов;
- перемешивание персональных данных, принадлежащих различным субъектам.
Кто такие оператор и субъект персональных данных
В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.
Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:
Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.
В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.
Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.
Что такое персональные данные. Объясняем простыми словами
Персональные данные — информация, которая прямо или косвенно относится к конкретному физическому лицу.
Проще говоря, это Ф. И. О., паспортные данные, банковские данные, номера телефона, адрес проживания, фотография и так далее. Важно, чтобы данные относились к конкретному человеку. Абстрактный номер телефона не является персональными данными, потому что невозможно понять, кому он принадлежит. Но если напротив этого телефона стоит Ф. И. О., то это уже персональные данные, так как понятно, к какой персоне они относятся.
Субъект персональных данных — лицо, чьи данные собираются, обрабатываются и хранятся. Оператор персональных данных — это юридическое лицо или государственная организация, которые эти данные собирают, обрабатывают, хранят, передают и уничтожают.
Выделяют несколько видов персональных данных:
- Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
- Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
- Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
- Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Сколько согласий запрашивать?
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Относится ли фотография к персональным данным? В ответе на этот вопрос есть свои нюансы. Фото, размещенное без какой-либо дополнительной информации о лице, не является частью персональных данных. Такое объяснение дает надзорный орган – Роскомнадзор.
Как сказано выше, ПДн должны отвечать сразу двум критериям, чтобы в их отношении регулирование осуществлялось на основе профильного закона ФЗ №152. Фотография относится к данным, принадлежащим лицу, но не дает возможности однозначно идентифицировать человека.
Другие механизмы включаются, если речь идет о распространении данных, очерняющих честь и достоинство человека. В этом случае гражданин имеет право обратиться в суд по поводу публикации только одного фотоснимка.
Понятие и виды персональных данных
Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.
Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.
Что такое персональные данные
Судебная практика отвечает на этот вопрос так: «. в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума . Разрешая заявленные требования, суд пришел к обоснованному выводу об отказе в удовлетворении исковых требований, поскольку сведения, размещенные в Интернете по ссылке. не являются персональными данными истца, так как не содержат персонифицированных и детализированных данных, позволяющих определить в отношении какой квартиры, какого населенного пункта идет речь, а также отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь . » (Определение судебной коллегии по гражданским делам Приморского краевого суда от 9 сентября 2022 г. по делу № 33-7063).
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный);
- данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
- семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
- отношение к воинской обязанности;
- сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
- СНИЛС;
- ИНН;
- информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО » Ромашка «;
- сведения о доходах в ООО » Ромашка «;
- сведения о деловых и иных личных качествах, носящих оценочный характер.
Особенности для юридических лиц
Информация, принадлежащая юридическим лицам, распространяется иначе. Любой гражданин имеет возможность получить доступ к ведомостям, которые в случае с физическим лицом, считались бы конфиденциальными. Например, узнать адрес или телефон фирмы. Дело в том, что юридические лица не являются субъектами ПДн, к ним такой термин не применяется. Согласно закону «О персональных данных» №152 правительства РФ, подобные обязательства по конфиденциальности возникают только в отношении физических лиц.
В российском законодательстве нет четкого перечня персональных данных, поскольку такие ведомости должны обладать сразу двумя характеристиками – не только принадлежать субъекту информации (например, физическому лицу) но и позволять идентифицировать его. Второй параметр определяется в каждой ситуации отдельно, в зависимости от оператора, характера данных и их количества.
В каких случаях ФИО относятся к персональным данным
Регулятор склонен считать ПД любые сведения, обрабатываемые оператором и предоставляемые ему субъектом при условии подписания согласия на обработку. Такой информацией будут и полные анкетные данные, и краткие сведения в интернет-магазине, по которым невозможно установить их реального обладателя. В любом случае все сведения должны защищаться с применением организационных, программных и технических способов обеспечения конфиденциальности.
Часто оператор, считая фамилию, имя, отчество общеизвестной информацией, хочет сократить расходы, связанные с их обработкой. Но в итоге такие манипуляции не приводят к достижению соглашения с регулятором. При проверке организация будет оштрафована, если защита имен граждан обеспечена программными решениями низкого уровня.
В инструкции об обработке ПД, с которыми работает Центробанк, это сведения о сотрудниках, аудиторах, руководстве коммерческих банков и других категориях лиц. В п. 5.1. четко указано: такие сведения, как фамилия и имя, отчество при его наличии, пол, являются персональными данными. На качество и степень обработки категория сведений не влияет. При этом Банк России уточняет, что только фамилии и имени для идентификации недостаточно, они должны быть использованы совместно с реквизитами паспорта или другой идентифицирующей информацией.
Персональные данные умершего
Информация об умерших по общему правилу не относится к персональным данным и не охраняется GDPR. Тем не менее, в контексте этого вопроса целесообразно рассмотреть несколько специальных случаев.
Например, если контроллеру неизвестно, жив ли субъект персональных данных, то он обязан обрабатывать персональные данные такого субъекта в соответствии с требованиями GDPR.
WP29 также отмечает, если информация об умерших может одновременно касаться и живых, то такая информация составляет персональные данные.
Например, если умерший болел гемофилией (болезнь, обусловленная мутацией X-хромосомы, которая передается генетически), то его дети в абсолютном большинстве случаев также будут болеть гемофилией. В этом случае, сведения о том, что умерший болел гемофилией, будут считаться персональными данными даже после смерти человека.
Обработка персональных данных физических лиц с момента рождения и до смерти, а в отдельных случаях — после смерти, подпадает от регулирования GDPR.
Какими бывают персональные данные
Личная информация не сводится к столь строгому перечню, как приведенный выше список. Используемое в законе понятие опирается на Европейскую конвенцию по защите персональных данных, а федеральные органы не обладают достаточными полномочиями для уточнения или подробной трактовки. Вот почему под такой информацией часто понимают гораздо более широкий перечень персонализированных сведений.
Поскольку организациям для работы необходима информация о сотрудниках и/или клиентах, ее собирают, изучают и обрабатывают. Для каждого предприятия или ведомства набор важных данных собственный, но при этом все систематизированные базы подчиняются единому законодательству, ведь информацию из них легко связать с определенными лицами.
Российское федеральное законодательство разбило сведения о гражданах на категории для удобства обработки и дальнейшего анализа. В итоге получились четыре обширные группы персональных данных:
- общие;
- специальные;
- биометрические;
- иные.
К первой относятся данные из паспорта, информация об образовании, трудоустройстве, а также способы связи. Сюда не входит информация о личности, только способы выделить конкретного человека из общей массы сведений.
А вот группа специальных данных уже касается сугубо личной сферы, так как здесь уже раскрывается информация об:
- этнической принадлежности;
- политических воззрениях;
- религиозных убеждениях;
- медицинских показателях;
- личной жизни (семейное положение, финансовое и имущественное состояние);
- наличии судимостей и т.п.
Роскомнадзор о персональных данных в 2021
Какие документы нужны для получения ИНН?
При оформлении ИНН на физическое лицо никаких документов кроме заявления и паспорта не требуется (ВНИМАНИЕ!!! При подаче заявления по почте России, копия паспорта должна быть заверена нотариусом!!!).
Процедура оформления ИНН на ребенка достигшего 14 лет ни чем не отличается от оформления ИНН взрослого. Ребенок пишет заявление от своего имени и предоставляет свой паспорт. Присутствие родителя при данной процедуре не обязательно.
При оформлении ИНН на ребенка, не достигшего 14 лет и не имеющего паспорта,
нужно писать от имени законного представителя ребенка. В таком случае, понадобятся свидетельство о рождении ребенка и справка, подтверждающая его регистрацию по месту жительства, а также паспорт законного представителя ребенка. Личное присутствие ребенка при этом не нужно — и подает документы, и забирает готовое свидетельство его законный представитель.
Понятие персональных данных
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.