Согласие на обработку персональных данных сегодня требуют практически повсеместно: при обслуживании в медицинских центрах, поступлении в учебные заведения или на новое место работы, при переходе на какой-либо сайт или при входе в мобильное приложение. Снова и снова кликая «Ок», «Разрешить», ставя галочку или подпись напротив формулировки о персональных данных, мы соглашаемся на их обработку. Но что же такое персональные данные согласно Закону, и как их идентифицировать? Разбираемся в материале.

Как законодательно определяется понятие персональных данных?

Сегодня под тем или иным углом запрос и обработку персональных данных (ПД) освещают 75 международных правовых актов, а также 13 кодексов, более 100 федеральных законов и 250 актов Правительства Российской Федерации. При этом списки персональных данных в них отличаются.

Согласно закону о персональных данных ФЗ №152, под этим понятием скрывается любая информация, которая прямо или косвенно относится к физическому лицу – субъекту. Определение достаточно общее и в нем не указано, как происходит идентификация конкретного лица.

К счастью, закон о персональных данных ФЗ №152 сопровождается научно-практическим комментарием Роскомнадзора — четкого определения ПД в нем не прописано, однако найти пояснения множеству понятий можно. Роскомнадзор, как государственный регулятор, также берет на себя право уточнить минимальный перечень персональных данных, необходимых для идентификации физического лица.

В каком случае данные физического лица становятся персональными?

Так как однозначного определения, какие собираемые и обрабатываемые данные можно отнести к персональным, а какие нет, пока не найдено, вернемся к научно-практическому комментарию Роскомнадзора:

«Если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо».

Рассмотрим конкретный пример. Имя Сергей Сергеевич Сергеев без уточняющих сведений не позволяет идентифицировать физическое лицо. Сергей Сергеевич Сергеев, менеджер по продажам в ООО «ТрастИнвест», уже может быть идентифицирован, как определенное лицо, и, соответственно, указанные данные могут считаться персональными.

С 1 июля 2017 года все операторы обязаны хранить и обрабатывать личные данные граждан РФ на территории страны.

Персональные данные всех пользователей облачных приложений для бизнеса Hamilton Apps хранятся и обрабатываются исключительно на территории Российской Федерации в соответствии с ФЗ № 152 «О персональных данных». 

Приложения Hamilton Apps разработаны для легкого, быстрого и эффективного управления авансовой отчетностью и командировками в компаниях. Больше информации о них можно найти здесь.

Что является идентификатором персональных данных?

Все тот же комментарий Роскомнадзора ввел понятие идентификатора — информации, которая дает возможность точно установить физическое лицо. Такой идентификатор есть у каждого гражданина Российской Федерации:

  • серия и номер документа, удостоверяющего личность (паспорт);
  • страховой номер индивидуального лицевого счета (СНИЛС);
  • идентификационный номер налогоплательщика (ИНН);
  • банковский счет и номер банковской карты;
  • биометрические сведения.

Роскомнадзор также отдельно прописал комбинации данных, которые могут рассматриваться как персональные, даже несмотря на то, что существует вероятность их совпадения у нескольких физических лиц:

  • фамилия, имя, отчество, место жительства;
  • фамилия, имя, отчество, должность;
  • фамилия, имя, отчество (или фамилия и инициалы) и другая индивидуальная информация, дающая представление о конкретном лице.

По отдельности фамилия, имя, отчество, должность, дата рождения, адрес электронной почты, номер телефона не позволяют доподлинно установить личность и, соответственно, рассматриваться как персональные данные.

Однако в одном из интервью представители Роскомнадзора заявляли, что в случаях, когда в корпоративных правилах прописывается использование адреса электронной почты сотрудника в формате: имя-фамилия-наименование компании, то эти данные можно рассматривать как идентифицирующие, то есть персональные.

Отметим, что для пользователей интернета, помимо стандартных данных при заполнении контактных форм, существуют и свои онлайн-идентификаторы, такие как IP-адрес устройства или файлы сookie.

Персональные данные и файлы сookie

Файлами сookie называются небольшие текстовые файлы, сохраняющиеся на устройство, с которого пользователь зашел на какой-либо сайт. Эти файлы содержат сведения, необходимые как для работы самого сайта, так и для работы подключенных к нему сервисов веб-аналитики.

Сегодня почти все сайты в интернете собирают индивидуальные данные пользователей с помощью сервисов веб-аналитики, таких как Google Analytics, Яндекс Метрика и т.п. Они регистрируют поведение пользователя на сайте, его предпочтения, а также другие данные, например IP-адрес компьютера.

Для сбора этих данных сайты должны получать разрешение пользователей в виде письменного согласия или электронного документа. Пользователь в свою очередь, посещая сайты, должен видеть специальное уведомление, в котором его оповещают об использовании файлов cookie и запрашивают разрешение на сбор информации. Для выражения согласия пользователь нажимает «Ок», «Разрешить» или ставит галочку в чек-боксе специальной формы.

Европейская политика сбора персональных данных GDPR

Не только Российская Федерация заботится о защите персональных данных пользователей. 25 мая 2018 года в Европе вступил в силу единый регламент GDPR (General Data Protection Regulation) – объемный законодательный акт, в котором многие понятия относительно ПД встали на свои места.

Например, в пункте 30 законодательной преамбулы прописана принадлежность к персональным данным онлайн-идентификаторов, которые соотносятся с конкретным физическим лицом – IP-адреса, файлы cookie, радиочастотные метки и другие данные. Эта информация позволяет идентифицировать конкретного интернет-пользователя.

Однако и в российском, и в европейском законодательствах все еще нет четкого перечня данных, которые можно трактовать как персональные.