Що відноситься до персональних даних фізичної особи: опис, перелік і особливості

Віктор Кузьмін
1 minute

У сучасному світі, підписуючи договори на обслуговування або про взаємодію, часто зустрічають таке поняття, як “персональні дані”. Під ними розуміють? Які дані є персональними і не повинні оприлюднюватися? Як забезпечується їх захист від сторонніх осіб?

Розвиток питання

Спочатку про персональні дані, а також їх безпеку заговорив у 1976 році комітет міністрів Ради Європи. Тоді їм було прийнято рішення розробити відповідну конвенцію. У 1981 році вона під назвою «Про захист фізичних осіб при обробці персональних даних, здійснюваної на міжнародному рівні» була відкрита для підписання. Російська Федерація приєдналася до цієї конвенції і ратифікувала її тільки на початку нульових років. Після цього був запущений процес формування необхідної нормативно-законодавчої бази про сферу використання і захисту персональних даних. База для нього була прийнята Державною думою в 2006 році. Отже, що відноситься до персональних даних фізичної особи?

Про законодавстві

Перш ніж розглядати, що відноситься до персональних даних фізичної особи, давайте приділимо увагу правовому основи цього аспекту взаємодій. В якості базового закону використовується № 152-ФЗ, прийнятий в 2006 році. В ньому регламентовані всі питання, що стосуються отримання, використання, передачі, а також інших дій, що можуть проводитися з персональними даними. Там же розглянуто та їх захист. Що розуміють під персональними даними? Під цим розуміють будь-яку інформацію, що відноситься до певного фізичній особі, а також допомагає прямо чи опосередковано встановити його особу. Найчастотнішими є прізвище, ім’я, по батькові, дата народження, адреса реєстрації та проживання, якщо вони відрізняються), сімейне, соціальне, майнове становище тощо. Якщо цікавить повний перелік того, що відноситься до персональних даних фізичної особи, то необхідно звертатися безпосередньо до закону. З-за великого розміру (вистачить на книгу) у статті будуть наведені лише найбільш важливі і часто зустрічаються моменти.

Поділ на категорії

Залежно від ступеня інформативності виділяють:

  • Перший вид. У ці персональні дані включається інформація про здоров’я, інтимне життя, філософських переконаннях.
  • Другий вид. Це інформація, за якою можна ідентифікувати людину та в подальшому отримати про нього докладніше. В якості прикладу можна навести Ф. В. О., адреса проживання, відомості про заробітну плату.
  • Третій вид. Це інформація, яка дозволяє лише визначити суб’єкт. Наприклад – ім’я, прізвище, дата народження.
  • Четвертий вид. Це загальнодоступні та знеособлені персональні дані. Як приклад, для першого випадку можна привести декларації про доходи представників влади. Знеособлена інформація – це та, за якою можна ідентифікувати певну особу.

    • Ось що відноситься до персональних даних фізичної особи.

    Необхідність стежити за нововведеннями

    Так вже влаштовано законодавство, що воно діє тоді, коли людина знає про нього. Це відноситься виключно до захисту своїх прав. Деякі категорії людей повинні постійно стежити за своїми персональними даними, адже те, що вчора було цілком нормальним і припустимим, вже сьогодні виявляється за межею закону. В якості прикладу можна навести ситуацію з бізнесом. Так, якщо на підприємстві є хоча б один працівник або клієнт, який є фізичною особою, то законодавство накладає серйозні зобов’язання. Так, необхідно, щоб при обробці інформації конфіденційність була дотримана. Персональні дані працівника не повинні потрапити до рук сторонніх осіб або організацій. Для того, щоб ідентифікувати людину, достатньо знати його Ф. В. О. і будь-яку іншу інформацію особистості, наприклад, адресу проживання, дату народження, номер телефону. Тому, щоб персональні дані працівника не потрапили не в ті руки і за цим не пішли штрафи та інше, до питання безпеки слід підійти грунтовно.

    Як бути?

    Значить, треба продумувати, хто може мати доступ і в якому обсязі. Наприклад, номер телефону й дата народження – це поєднання, яке не визнається персональними даними. Чому? Та хоча б тому, що ідентифікувати за ним конкретна особа не представляється можливим. Звичайно, якщо необхідно з певних міркувань отримати доступ, то спеціальні органи можуть проігнорувати закон «Про захист персональних даних», отримати телефон, у судовому порядку від оператора зв’язку взяти дані про переміщення та дізнатися, де був якийсь чоловік. Але це малоймовірний сценарій, який зустрічається як виняток. А так, безумовно, телефон відноситься до персональних даних фізичної особи, лише у разі, якщо про людину відомо щось істотне, то ж Ф. В. О.

    Про операторів даних

    Практично у будь-якої організації накопичується, зберігається та певним чином використовується особиста інформація. Тому хочеться їм чи ні, але з точки зору закону вони є операторами персональних даних. Що необхідно робити в такому випадку? Адже потрібен захист персональних даних? Як дотримати вимоги закону? А потрібно:

  • Отримати згоду від фізичної особи на обробку персональних даних.
  • Забезпечити безпеку при роботі з особистою інформацією.
  • Встановити відповідальність за порушення законодавства.

    • При цьому необхідно подбати про бази персональних даних та осіб, яким надано доступ до них. Давайте розглянемо уважніше кожен пункт.

    Згоду

    Необхідно запам’ятати, що суб’єкт персональних даних – це фізична особа. І без його дозволу (або з боку суду в певних моментах) вони не повинні потрапити в руки третіх осіб, нехай це навіть рядовий кадровий працівник підприємства. Будь-які операції з інформацією допускаються тільки при наявності згоди. Особливо багато проблем у зв’язку з цим виникло у кадрових агентств. Адже їм зараз формально заборонено користуватися доступними відкритими базами даних, які можна знайти у Світовій мережі, оскільки вони не отримували від потенційного працівника згоду на використання їх інформації. Хоча, формально, отримувати письмову згоду на обробку не потрібно. Але існує ймовірність судового спору, тому дуже бажано, щоб цей факт мав фізичну форму у вигляді паперу.

    Безпека обробки

    Законодавством передбачено, що будь-який оператор персональних даних зобов’язаний приймати потрібні технічні та організаційні заходи, які дозволять захистити інформацію від випадкового або несанкціонованого доступу до них сторонніх осіб. Особлива увага приділяється тому, що вони можуть бути змінені, знищені, блоковані, копированы, поширені або ж з ними будуть здійснені інші неправомірні дії. Про це йдеться в першому пункті частини дев’ятнадцятої статті базового закону. Це досить складно організувати з фінансової і організаційної точки зору. Так, структура повинна забезпечити захист на основі виявлених загроз, а також залежно від класу інформаційної системи, де зберігаються дані. Також необхідно розробити регламенти роботи і положення щодо захисту обробки. Крім документаційної роботи потрібно працювати над підвищенням кваліфікації працівників, які займаються даними. Не слід забувати і про вимоги до інженерно-технічної безпеки приміщення, де буде зберігатися інформація. У цілому необхідно визнати, що ця система є надзвичайно громіздкою і дуже ускладненою. Зустрічаються навіть нарікання, що деякі вимоги не потрібні навіть державі.

    На що скаржимося?

    В якості першого прикладу можна згадати про вимогу письмово повідомляти уповноважений орган про бажання здійснити обробку особистої інформації. При цьому законодавчо не встановлена відповідальність за порушення. Можна згадати ще й вимогу, згідно з якою кожен суб’єкт підприємницької діяльності, який відповідає умовам оператора персональних даних, був внесений до відповідного реєстру. А це, як вже було зауважено вище, практично кожна організація. Є сумніви навіть стосовно того, що така громіздка норма в повному обсязі буде працювати навіть на великих державних підприємствах. А адже суб’єкти економічної діяльності не тільки платять податки і зустрічаються з адміністративними бар’єрами, але і зобов’язані сплатити впровадження цієї системи у себе. Що, звичайно, не применшує той факт, що персональні дані повинні бути захищені. Але і перегинів необхідно уникати.

    Про відповідальність

    Правом контролю за виконанням закону має Роскомнагляд. Ця ж служба і займається перевірками в даній сфері. Що ж чекає порушників? Законодавством передбачено притягнення до дисциплінарної, адміністративної, цивільної та кримінальної відповідальності. Фактично ж існує тільки одна практика. Це залучення до адміністративної відповідальності. Так, законом передбачено, що посадова особа, яка допустила порушення, може отримати або попередження, або штраф до тисячі рублів. З організацій попит більше – для них передбачені суми від 5 000 до 10 000. Складність організації зберігання даних і одночасно незначна відповідальність ймовірно, призведуть до відомої ситуації – суворість законів компенсується необов’язковістю виконання. А це дуже погане положення справ, яке необхідно виправити.

    Висновок

    От і було розглянуто, яка інформація відноситься до персональних даних, як вона захищається і яка відповідальність за порушення. Безумовно, це надзвичайно важливе питання. Але, на жаль, як це часто буває, реалізація незадовільна. Законодавство та вимоги необхідно суттєво доопрацьовувати. Безумовно, якщо ми говоримо про банк, то тут необхідно забезпечити високий рівень безпеки. Але якщо говорити про підприємство, изготовляющем меблі, потрібно і тут таке? Захищений будинок або його частина, допуск виключно відповідальних співробітників? Ні, в цьому випадку з лишком вистачає кадровика, сейфа з особистими даними (якщо він працює в загальній кімнаті з іншими людьми), виробленої схеми взаємин і передачі інформації, а також певного рівня доступу. Саме тому і необхідно доопрацювати чинне законодавство. Хоча, безумовно, вже добре те, що робота ведеться – просто потрібно направити енергію в правильно русло. Що ж, будемо сподіватися, що з часом цей процес стане більш досконалим.