Что такое персональные данные и как их защищать?

19.06.2020
Что такое персональные данные и как их защищать?

К

аждый из нас хотя бы единожды в жизни сталкивался с ситуацией на просторах Всемирной сети, суть которой стоит в заполнении какой-либо анкеты на выбранном сайте. Большинство из нас с вами без тени сомнения вносят в различные формы обратной связи, личные кабинеты и опросы свои фамилию, имя, отчество, дату рождения, номер телефона и адрес электронной почты. Иногда закрадываются сомнения при просьбе системы внести свои паспортные данные, но и это не всегда заставляет людей остановиться. Попробуем разобраться, насколько важно проверять, имеет ли сайт право запрашивать у вас персональные данные и почему так важно бережно относиться к информации о своей личности.

Что страшного может произойти, если я введу куда-то свои данные?

Давайте абстрагируемся от мира виртуального и представим, что Вас интересует какая-то информация, за которой Вы обращаетесь к случайному прохожему. Например, «Как пройти в библиотеку?», а в ответ получаете требование для начала продемонстрировать свой паспорт для более близкого знакомства, а иначе дорогу Вам не покажут. Наверняка Вас это смутит. Первой, и довольно здравой реакцией в таком случае будет как минимум задать вопрос, а по какому праву Вы должны кому-то постороннему что-либо о себе сообщать? Так вот, для Всемирной паутины действуют те же законы, что и для реальной жизни. 

Как выяснить, имеют ли право на том или ином виртуальном ресурсе запрашивать мои персональные данные? 

Cначала разберемся, что такое персональные данные (ПДн). Согласно Федеральному закону ФЗ-152: «Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)». К сожалению, исчерпывающего перечня информации, которую можно отнести к ПДн, на сегодняшний день в законодательстве нет. Однако, согласно Постановлению Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах (ИС) персональных данных», выделяют: 

  • ИС, обрабатывающей специальные категории ПДн, является такая система, в которой обрабатываются сведения, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных. 

  • ИС, обрабатывающая биометрические ПДн, является система, содержащая сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн, и не обрабатываются сведения, относящиеся к специальным категориям ПДн. 

  • ИС, обрабатывающая общедоступные ПДн, является система, которая содержит данные субъектов ПДн, полученные только из общедоступных источников, созданных в соответствии со статьей 8 Федерального закона "О персональных данных". 

  • Все остальные системы являются ИС, обрабатывающей иные категории ПДн. 

В соответствии с законодательством РФ все ПДн должны быть защищены и находиться в закрытом доступе, не считая тех случаев, когда они становятся общедоступными с письменного согласия субъекта. 

Увидев уведомление, например, нажимая «принимаю», вы даете свое согласие на обработку Ваших персональных данных, или любой другой текст похожего содержания, не стоит сразу ставить галочку и соглашаться, особенно, если интернет-ресурс Вам не знаком. Согласно п. 3 ст. 3 Федерального Закона № 152 «О персональных данных»: «Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных». 

Могут ли использовать персональные данные без разрешения?

Не стоит делать вывод о том, что нигде нельзя оставлять данные, позволяющие Вас идентифицировать, а в браузер лучше всего заходить в режиме «Инкогнито». Без Вашего согласия ни один ресурс не имеет законного основания распространять предоставленную ему о Вас информацию. Это регламентируется главным нормативным актом Российской Федерации – Конституцией. Согласно п. 1 ст. 24: «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.». И, согласно п. 1 ст. 23: «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 

Имеют ли право компании направлять запросы на обработку персональных данных?

Информация о Вас без Вашего ведома не может быть предоставлена третьим лицам или вынесена в публичный доступ. В вопросе правомерности запросов на обработку ПДн – ответ будет положительным. Да, веб-сайты имеют право, получив Ваше согласие, обрабатывать Ваши ПДн. Но для этого они должны являться операторами ПДн. Кто это? Согласно ст. 3 Федерального Закона № 152 «О персональных данных»: «оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными». То есть, организация, запрашивающая Ваши персональные данные, обязана являться оператором ПДн, а также иметь разработанную Политику обработки персональных данных на основе рекомендаций Роскомнадзора и размещенную на сайте компании в открытом доступе. Компания будет внесена в реестр операторов, осуществляющих обработку ПДн. При получении Вашего согласия, она обязана указывать ссылку на Политику для ознакомления. 

Можно ли отказаться от обработки персональных данных оператором в случае необходимости?

Отказаться можно. Статья 15 Федерального Закона № 152 «О персональных данных» регулирует права субъектов ПДн при обработке их ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации: 

  1. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн. Указанная обработка ПДн признается осуществляемой без предварительного согласия субъекта ПДн, если оператор не докажет, что такое согласие было получено. 

  2. Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его ПДн.

Таким образом, для того чтобы обезопасить себя от несанкционированного доступа сторонних ресурсов к своим ПДн, необходимо внимательно читать пользовательские соглашения и следить за наличием у ресурса ссылки на политику обработки ПДн. А если Вы планируете стать оператором ПДн, позаботьтесь о внесении компании в реестр операторов ПДн, разработайте и разместите Политику обработки персональных данных. За нарушение требований закона о персональных данных может грозить не только административная, гражданско-правовая и дисциплинарная, но и уголовная ответственность.