Что такое персональные данные физического лица. Понятие персональных данных и их отличие от другой информации ограниченного доступа

Дата написания: 2013-11-11

Довольно часто работая с различными документами сталкиваешься с таким правовым понятием как "персональные данные". Этот юридический термин в последнее время у многих на слуху. Сегодня подписывая всевозможные договоры с разными организациями (банки, страховые компании, интернет провайдеры и т.д.) вам наверное ни раз предлагали помимо договора подписать к нему и некое соглашение об использовании (обработке) ваших персональных данных. Правда иногда это соглашение может присутствовать в самом тексте договора, но суть от этого не меняется. Что же собой представляют эти "персональные данные"? Какова их ценность? В чем заключается их защита? Об этом и пойдет речь в настоящей статье, которая адресована преимущественно субъектам персональных данных (лицам, чьи персональные данные обрабатываются). Эта статья вводная, ориентированная в большей степени на понимание "природы" персональных данных и принципов заложенных в законодательстве.

Чрезмерный сбор и предоставление данных. Закон о защите личных данных предусматривает, что данные должны иметь такую область, которая необходима для целей их обработки. Оперативные чиновники используют полученную базу данных для запросов о подозреваемых, совершивших или совершивших преступления, но они также имеют возможность видеть данные всех лиц в базе данных. Таким образом, чиновники могут узнать данные даже для тех лиц, которые не находятся в горизонте оперативной деятельности и которые не подозреваются, не обыскиваются, не совершаются или не совершаются путем уголовного преступления.

Как известно, каждый гражданин в нашей стране имеет право на личную жизнь. При этом государство гарантирует (по крайней мере на бумаге) неприкосновенность ее и защиту. Так согласно основному закону страны (ст.ст. 23, 24 Конституции РФ)

Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени...
Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Конституционное право на защиту частной жизни гражданина незыблемо в современном понимании права и имеет место быть в подавляющем большинстве демократических государств. Но что собственно это такое, с юридически точки зрения, "частная жизнь"?

Вы видите 51% этой статьи. Большая защита обеспечивается не только данными, которые непосредственно фиксируют состояние здоровья, диагностику, прогноз, лечение, но также данные, связанные со здоровьем, т.е. информация о персональном использовании лекарственных средств, терапевтические меры, терапевтические методы, продолжительность медицинских услуг, цена и т.д. другие данные, такие как дата госпитализации, номер палаты и другие данные, будут включены в медицинский файл лица в качестве специальных данных.

Например, данные о персональных травмах - это информация о том, что человек получил травму и, следовательно, неполный рабочий день. Персональные данные для здоровья могут быть обработаны только в исключительных случаях, предусмотренных законодательными органами, например, когда человек дает согласие на обработку необходимо для трудового договора для целей данных, необходимых для судебного разбирательства. Согласие лица на обработку данных о здоровье должно быть выражено явно - письменным, приравненным или в другой форме, например, подписанным электронной подписью, подтверждающей волю человека.

Обозначая свою правовую позицию по данному вопросу Конституционный Суд РФ в своем Определении от 09.06.2005 N 248-О разъясняет, с точки зрения основного закона, что из себя представляет право на неприкосновенность частной жизни: "это предоставленная человеку и гарантированная государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера. В понятие "частная жизнь" включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер."

Такое согласие должно предоставляться на добровольной основе - умственно и физически здоровому человеку без какого-либо психологического или физического насилия. Также важно, чтобы согласие, выраженное в страхе, что оно не будет рассматриваться или что лечение будет низкого качества, не будет рассматриваться как имеющее юридическую силу. Полагаться на согласие человека было бы необходимо, когда конкретное лицо может свободно решать без прямого или косвенного давления со стороны контролера, а затем без ущерба для своих прав отказаться от своего согласия.

Так вот, именно для обеспечения защиты и реализации неприкосновенности частной жизни, в законодательство была введена некая юридическая конструкция - "персональные данные", которая призвана была защитить некие данные относящиеся к "определенной персоне". Эти "данные" с этого момента (по замыслу законодателя) перестают быть свободными в обращении, на них накладывается специальный юридический режим, суть которого заключается в использование этих данных третьими лицами только в строго определенном законом порядке. Неприкосновенность частной жизни и персональные данные всегда неразрывно связаны между собой. В мировой практике эта правовая конструкция (персональные данные) известна давно и используется очень широко, особенно в век информационных технологий. Например: в США приняты Федеральный закон о свободе информации 1966 г. (существенно дополненный в 1974 г)., и Федеральный закон о защите частной жизни 1974 г. Кроме этого, в 1972 г. в США была создана специальная комиссия по изучению влияния компьютерных технологий на приватность, по результатам которой принят билль о правах в компьютерную эпоху, получивший название "Кодекс справедливого использования информации". В основе этого биля было пять основных принципов:

Согласие на управление персональными данными о здоровье должно быть конкретным - оно должно быть четко предвидено, в каких обстоятельствах будут обрабатываться данные о здоровье. Аналогичным образом, прежде чем давать лицу разрешение на обработку данных о своем здоровье, он должен быть конкретно разъяснен, какие ожидаются последствия согласия на обработку данных.

Единственным исключением из-за отсутствия согласия лица на обработку его данных о здоровье является защита основных личных прав. Исключения из этого правила распространяются только на физическую инвалидность или юридическую недееспособность для лица, чьи данные о здоровье будут обработаны.

Не должно быть систем, накапливающих персональную информацию, сам факт существования которых является секретом;
Каждый человек должен иметь возможность контролировать, какая информация о нем хранится в системе и каким образом она используется;
Каждый человек должен иметь возможность не допустить использования информации, собранной о нем для одной цели, с другой целью;
Каждый человек должен иметь возможность скорректировать информацию о самом себе;
Каждая организация, занимающаяся созданием, сопровождением, использованием или распространением массивов информации, содержащих персональные данные, должна обеспечить использование этих данных только в тех целях, для которых они собраны, и принять меры против их использования не по назначению.

После этого большинство стран Европы в течение нескольких лет приняли подобные законы, в основе которых были применены выработанные Соединенными Штатами принципы (Французский Закон об информатике, картотеках и свободах 1978 г., Закон о защите данных в Великобретании 1984 г., Федеральный закон о защите персональных данных в ФРГ 1990 г. и т.д.). Помимо этого, были сделаны серьезные шаги и в международном праве. В 1981 г. в Страсбурге была подписана Конвенция о защите физических лиц в связи с автоматической обработкой персональных данных (далее Конвенция). Россия ратифицировала Конвенцию в 2005 году.

В таком регулировании сбора данных о личном здоровье дальнейшее согласие человека на участие в биомедицинских исследованиях контролируется. Лица, участвующие в таких расследованиях, должны сознательно давать четкое, точное и определенно письменное разрешение. Вышеупомянутые лица рассматриваются как уязвимые, поскольку их согласие на участие в расследовании может зависеть от внешних сил. При необходимости личные данные могут обрабатываться. Законодатель обязан обрабатывать персональные данные в той мере, в какой это необходимо, и не собирать излишки данных, которые не нужны для конкретной обработки данных.

Согласно положениям этой Конвенции персональные данные, проходящие автоматическую обработку:

должны быть получены и обработаны добросовестным и законным образом;
должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
должны быть точными и в случае необходимости обновляться;
должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

В связи с тем, что Россия стала участницей данной Конвенции, и развивая положения установленные Конституцией РФ, был принят Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее Закон о персональных данных).

При обращении с личными данными о здоровье необходимо соблюдать обязательство соблюдать секретность. Данные, уже используемые для целей личного медицинского обслуживания, не могут быть обработаны без письменного согласия лица для научных исследований или целей прямого маркетинга.

Для того, чтобы человек мог реализовать свое право на самоопределение, ему необходимо знать, какие будут обрабатываться его личные данные, а также иметь возможность исправлять, уничтожать, прекращать обработку, не соглашаться с обработкой его личных данных.

Согласно ст. 3 Закона о персональных данных

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Таким образом, персональные данные это прежде всего информация . В свою очередь, информация - это сведения (сообщения, данные) независимо от формы их представления (Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Далее, согласно закону данная информация должна относиться к конкретному лицу (определенному или определяемому физическому лицу ), т.е. субъектом персональных данных может быть только физическое лицо. Все это вполне укладывается в рамки ст. 2 Конвенции, согласно чему персональной информацией признана любая информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных).

Для того, чтобы дать лицу свободу использовать вышеупомянутые возможности, до того, как началось первое действие по обработке персональных данных о здоровье человека, оно должно быть проинформировано о: удостоверении личности и постоянном месте жительства контролера и его представителя, если таковые имеются, или указать имя, код и место нахождения юридического лица.

Цели, для которых будут обрабатываться персональные данные субъекта. Другую дополнительную информацию в объеме, необходимом для обеспечения правильной обработки персональных данных, без ущерба для прав субъекта данных. Рекомендуется, чтобы информация была предоставлена субъекту данных четко, в частности, в качестве общего правила, и свидетельство о том, что субъект данных был проинформирован о обработке его медицинских данных, хранящихся в письменной форме или в цифровом формате.

Обычно к персональным данным относят такие сведения о лице как паспортные данные, ИНН, СНИЛС, ФИО, адрес места жительства, медицинская карта, телефонный номер и др. сведения, подпадающие под определение, приведенное в ст. 3 Закона о персональных данных. Важно понять одно, что с принятием Закона о персональных данных сведения о лице, подпадающие под определения "персональных данных", могут использоваться (обрабатываться) третьими лицами, за некоторым исключением, только с его согласия, и только в строго определенном порядке. Вот почему в последнее время подписывая какой-либо договор, в дополнение к нему, просят подписать также и согласие на обработку персональных данных, т.к. без этого сделать что-либо с этими данными, не нарушая Закон о персональных данных, будет проблематично.

Регистрация контроллеров данных. Органы здравоохранения и другие лица, которые намерены обрабатывать данные личного здоровья автоматическим способом, должны обратиться в Государственную инспекцию по защите данных для предварительного отбора, а контроллер зарегистрирован в Регистре держателей данных. Государственная инспекция по защите данных обязана провести предварительную проверку в течение 2 месяцев с момента получения уведомления и выдавать или отказывать в выдаче разрешения диспетчеру на обработку персональных данных на здоровье.

В зависимости от "важности" персональных данных их принято делить на четыре категории

категория 4 - обезличенные и (или) общедоступные персональные данные
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Практический смысл этой классификации заключается в том, что чем "меньше" категория, тем более жесткие требования предусмотрены законодательством в отношении обработки и хранения персональных данных. Например, 4 категория самая "простая", требования к хранению и обработке этой информации - минимальны.

Нет сомнений в том, что штраф недостаточно высок, чтобы препятствовать несанкционированной обработке данных, но если установлена информация о наложенном штрафе, это может подорвать репутацию кредитора. Что такое профилирование? В общем, профилирование предназначено для прогнозирования будущего поведения человека, например, на основе его прошлых действий. Например, оценка может быть связана с трудоспособностью человека, экономической ситуацией, личными склонностями и интересами, надежностью или поведением в будущем.

Однако есть некоторые исключения. Это правило применяется к профилированию, когда обработка данных полностью автоматизирована. Это означает, что, если ручные операции выполняются во время оценки, то нет профилирования, как описано в настоящих Правилах. Кроме того, любая обработка данных, если такие данные не могут быть идентифицированы как принадлежащие определенному лицу, не считается профилированием.

Лица обрабатывающие персональные данные называются операторами. Согласно ст. 3. Закона о персональных данных оператор это

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Принципы которых должен придерживаться оператор при обработке персональных данных, помимо вышеуказанных из Конвенции, отражены в ст. 5 Закона о персональных данных. Основная идея заложенная законодателем заключается в том, что оператор при обработке персональных данных должен прежде всего четко определить: объем обрабатываемых персональных данных их содержание и цель обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. На этом и базируется в целом Закон о защите персональных данных.

Тот факт, что решение с юридическими или другими значимыми последствиями для человека должно основываться на оценке, также является важной частью определения. В постановлении не указывается, какими будут эти решения на практике. Практически стандартные основания для обработки данных включают согласие лица или заключение контракта.

Лица имеют право на получение той же информации на основании права человека на доступ. Профилирующая логика и смысл могут быть объяснены клиентам, например, с помощью примеров. Поэтому право противостоять профилированию не включает ситуации, когда профилирование осуществляется для заключения договора с лицом - как в случае с кредитными решениями.

Основной контроль и надзор за обработкой персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Так как обработка персональных данных строго регламентирована, какие персональные данные имеет право обрабатывать тот или иной оператор можно узнать из реестра операторов, осуществляющих обработку персональных данных . В реестре приведен перечень сведений (персональных данных), которые оператор имеет право обрабатывать. Правда стоит отметить, что на сегодня не все операторы пока подали в Роскомнадзор соответствующие уведомления, что в принципе само по себе уже говорит о недобросовестности того или иного оператора в сфере обработки им персональных данных.

В любом случае поставщик кредита должен всегда защищать права человека. Минимальным требованием является то, что приложения для кредитного провайдера имеют право требовать, чтобы его приложение обрабатывалось, например, физическим лицом, а не автоматизированной системой. Второй этап обработки приложения не означает, что результат будет автоматически отличаться.

На сегодняшний день опубликованы три руководства по переносимости данных, сотрудникам по защите данных и ведущему руководителю. Поэтому в будущем очень важно уделить особое внимание руководящим принципам Рабочей группы по статье 29. Компании должны пересмотреть свои процессы и определить обстоятельства, в которых выполняется профилирование, как описано в Правилах, т. у. при оценке качеств человека и принятии важного для него решения.

Будьте внимательны подписывая данное соглашение (соглашение об обработке персональных данных). Ознакомьтесь с ним, обратите внимание на срок, в течение которого оператор имеет право осуществлять обработку. Перечень информации (персональных данных) полученной от вас должен укладываться в рамки перечня, представленного оператором в Роскомнадзор, а также соответствовать целям обработки. В любом случае помните, что предоставив когда-либо оператору согласие на обработку персональных данных, субъект персональных данных, вправе также его и отозвать при необходимости. И оператор, получив такой отзыв, уже не вправе (за некоторыми исключениями, указанных в законе) будет осуществлять обработку ваших персональных данных. Это очень важный момент, который в некоторой степени защищает интересы субъекта персональных данных. Ведь штрафы за нарушения в сфере защиты персональных данных довольно высоки, и операторам, как ни странно, здесь выгоднее соблюсти закон нежели его нарушить.

Подведем итоги.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Персональные данные вправе обрабатывать только специальные субъекты права - операторы. Оператор при обработке персональных данных должен определить объем обрабатываемых персональных данных их содержание и цель обработки.

Перечень обрабатываемой информации, заявленной оператором в Роскомнадзор можно посмотреть на сайте федеральной службы.

Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.