Персональные данные, очередной заход. Попытка ответа на частые вопросы
Здравствуйте. Почитав очередной пучок отборной чуши в очередном треде про персональные данные, выкладываю информацию по наиболее настоигравшим вопросам. Информация ниже не является исчерпывающей, не является истиной в последней инстанции, и касается только России. Она есть результат работы в сфере эксплуатации информационных систем, обрабатывающих персональные данные, включая три проверки Роскомнадзора, и непосредственного общения с его представителями. Рассматривается исключительно формальная сторона, то есть "что сказано в законе и как должно быть", поэтому просьба воздержаться от комментов вида "все равно это никто не выполняет" и "не хочешь не давай, я вот даю и все хорошо".
1. Что относится к персональным данным?
Закон дает такое определение: персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Понимать это определение следует так: любая информация о конкретном человеке. Вообще любая, хоть цвет трусов, но ключевым здесь является связь с конкретным человеком. То есть, "розовые трусы" к персональным данным будут отнесены, если есть прямая или косвенная связь, например, "покупатель id=666 phoneNum=+79999999999 купил розовые трусы". Фраза "розовые трусы", написанная на заборе, персональными данными не является. Желающие подробностей и обоснований могут нагуглить "Научно-практический постатейный комментарий к Федеральному Закону «О персональных данных»", автор Савельев А. И., он есть в открытом доступе.
2. А если в данных нет фамилии и прочих сведений, позволяющих идентифицировать человека?
Это называется "обезличенные персональные данные". Но тем не менее - персональными они быть не перестают, и к ним предьявляются те же общие требования, с некоторыми оговорками. В частности, обезличенные персональные данные могут обрабатываться без согласия субьекта в статистических или исследовательских целях. А для рекламы и прочих домогательств - не могут.
3. Когда нужно согласие на обработку персональных данных?
152-ФЗ, статья 6 перечисляет условия, при выполнении которых разрешается обработка. Список, приведенный в этой статье, следует читать, подставляя слово "или" между пунктами. То есть, обработка разрешается при выполнении одного любого пункта из списка. Если не выполнен ни один, то обработка не разрешена. Читаем самостоятельно, там несложно. Кратко - требования распространяются на любые персональные данные. Всякие барыги и прочие коммерсы имеют право не получать отдельное согласие, если персональные данные необходимы для исполнения договора, стороной или выгодополучателем которого является субьект персональных данных. НО только в обьеме, необходимом для исполнения договора. И только для его исполнения, ни для чего другого. При наличии других целей (например, рассылка информационных сообщений) - должно быть отдельное согласие конкретно для этой цели. Которое субьект вправе не давать, и возможность заключения договора (в любом виде) не может быть поставлена в зависимость от согласия субьекта на предоставление данных для каких-либо иных целей, не связанных с договором. Государственные органы и учреждения могут не получать согласия, если обработка нужна для выполнения функций, полномочий и обязанностей, возложенных законом.
4. Как должно выглядеть согласие?
Как правило - бумажный или электронный документ, содержащий сведения, указанные в статье 9 152-ФЗ. Но могут быть варианты (см. ниже). Несколько важных моментов:
- в документе должна быть четко, конкретно и однозначно прописана цель обработки. Не допускаются размытые формулировки, не должно быть несколько разных целей в одном документе. Почему: потому что субьект должен иметь возможность давать или не давать согласие по каждой отдельной цели.
- в документе обязательно следует обратить внимание на перечень действий с персональными данными. Многие операторы умышленно либо по безграничной бестолковости просто берут полный список всех возможных действий, и копипастят в согласие. Это недопустимо, так как в списке есть два важных пункта - передача и распространение. Распространение - это раскрытие неограниченному кругу лиц (например, публикация в открытых справочниках или размещение на сайте). Для распространения требуется отдельное согласие, которое не может быть обьединено с другими согласиями, и в котором субьект сам определяет, какие данные он предоставляет для распространения. Передача - это передача третьим лицам, и если этот пункт присутствует, то в согласии должен быть конкретный точный перечень - кому будет осуществляться передача, с фамилиями (или наименованиями для юрлиц) и адресами. Не допускается указание в общей форме, например "партнеры компании". Только конкретный список.
- Срок обработки. Согласие не может быть бессрочным.
- состав собираемых персональных данных. Данные не должны быть избыточными по отношению к заявленной цели обработки, то есть в перечне могут присутствовать только необходимые для этой цели данные. Нельзя затребовать, например, СНИЛС или кличку любимой собаки просто потому что так захотелось.
5. А если согласие в электронной форме, например, на сайте?
Закон предусматривает ровно одно отличие: согласие в электронной форме должно подписываться электронной подписью в соответствии с 63-фз. В остальном требования те же. В отношении электронной подписи следует понимать, что существует понятие "простая электронная подпись", т.е. подпись, формируемая без использования средств криптографии. Сюда относятся любые варианты, которые участники взаимодействия согласовали между собой. В том числе, например, галочка "я согласен". Но при этом должно существовать соглашение в любой форме, например в виде правил пользования сайтом, в которых оговаривается, что именно считается простой электронной подписью, и как производится определение лица, подписавшего документ, по этой подписи (63-фз, ст. 9). С этими правилами пользователь сайта должен ознакомиться и согласиться.
Здесь есть интересный нюанс: то, что законом установлена необходимость определения лица, подписавшего документ, подразумевает необходимость идентификации личности. То есть регистрацию с проверкой документа, удостоверяющего личность (mwahahaha). Как решать этот нюанс - хз, и насколько мне известно - никто не знает. Желающие могут попробовать довести дело до суда и посмотреть, каким будет решение. Впрочем, могу быть неправ в этом абзаце.
6. Но ведь в законе написано, что согласие может быть в любой форме!
Ага. В любой форме, позволяющей подтвердить получение согласия. Оно может быть, например, в устной форме (по телефону). При этом оператор должен обеспечить идентификацию субьекта (чтобы зафиксировать, кто дает согласие) и фиксацию согласия техническими средствами, позволяющими подтвердить получение согласия (запись разговора). А еще есть такая экзотика, как конклюдентная форма - это когда субьект сознательно и добровольно передает свои данные оператору, и факт добровольности трактуется как согласие на обработку. Очень скользкая вещь, здесь об этом не будем, там куча нюансов, и надо пилить отдельный потс. Например, субьект сегодня согласен, а завтра пишет жалобу что введен в заблуждение и на самом деле не согласен. И т.д.
Кроме того, согласие в любой форме должно быть информированным, конкретным и сознательным. На практике это означает, что оператор должен довести до сведения субьекта информацию, перечисленную в статье 9 152-ФЗ. Независимо от формы. Он может довести это например публикацией отдельного документа, содержащего необходимые сведения. А потом продемонстрировать (в случае претензий), что субьект с этим документом ознакомлен. Или зачитать по телефону перед началом сбора данных. Ключевое - сведения, перечисленные в ст.9 152-ФЗ должны быть доведены до субьекта в любом случае, причем до того, как он дает согласие.
7. А вот везде нынче висят камеры. Это сбор биометрических персональных данных!
Нет. Изображение становится биометрией, если технологических процесс обработки включает в себя процедуру идентификации личности. Без идентификации это не биометрия. По этому поводу есть апелляционное определение Московского городского суда по делу № 33а-0707/2020 о технологии распознавания лиц на территории г. Москвы. Кроме того, согласие на сьемку не требуется, если изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования. То есть когда снимают одного конкретного человека - согласие нужно. На сьемку, проводимую камерой видеонаблюдения в общественном месте - не нужно.
8. Я хочу запретить обработку моих персональных данных и потребовать их удаления. Могу я это сделать?
Да. За исключением ряда случаев. Случаи перечислены в в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 закона 152-ФЗ. Если кратко - это означает, что оператор откажется прекращать обработку, если обработка требуется для выполнения закона (не получится запретить, скажем, налоговой), для судебного или исполнительного делопроизводства, для исполнения договора, для защиты своих интересов (например, при взыскании долга), для деятельности СМИ (крайне мутный пункт), для научной или исследовательской деятельности. У банков кстати требовать удаления тоже беполезно. Ибо 115-ФЗ. Но можно потребовать прекращения обработки в целях продвижения товаров, работ, услуг. Так как это отдельная цель, такое требование правомерно. Иногда его даже выполняют.
9. А вот я не хочу, чтобы мои данные были во всяких базах данных. Я могу потребовать обработки персональных данных исключительно на бумажных носителях?
Нет. Закон не предоставляет субьекту права выбора способа обработки. Только право согласиться или отказаться.
10. Куды бечь, если я хочу пожаловаться на нарушение моих прав?
Региональное управление Роскомнадзора. Контора мутная, но рубить палки и писать отчеты о проделанной работе любит. На жалобы обычно реагирует, но далеко не всегда так, как вам хочется. В большинстве случаев результатом жалобы будет предписание об устранении нарушений, после которого через некоторое время все возвращается в исходное состояние. Хотя иногда бывают довольно крупные штрафы и даже уголовные дела. Поэтому смысл писать жалобы - есть.
