Правовое регулирование персональных данных

Когда был принят закон и когда он вступил в законную силу? Данный закон приняли в 2006 г., а вступил в силу с января 2010 г. Он коррелирует с трудовым кодексом, ФЗ о государственной службе, ФЗ о полиции и т.п.

Где есть обработка персональных данных – там нужно было изменять законодательство. Там огромное количество НПА!

Это было бичом для кадровых служб! Вроде бы все изменили, но приходит кадровая служба и выясняется, что что-то не сделали и накладывают штраф по ст. 13.11 КоАП РФ.

13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Если у вас есть телефон, то это средства автоматизации – ты не можешь без согласия своих «абонентов» передавать их номера, ФИО и т.п.

Что же есть персональные данные?

Первое, с чем мы работаем – это ФЗ о персональных данных. Все понятия по данным вопросам в билете – на основании ФЗ о персональных данных. Если мы будем ясно понимать цели и задачи этого закона, тогда все будет ок.

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [под этим понимается не только ФИО ваше, но и информация о вашем имуществе, о месте вашем работы, информация о доходах, информация обо всех заключенных договорах и т.п.].

Тот факт, что вы станете выпускником юридического факультета МГУ имеет к вам непосредственное отношение. МГУ с 2013 г. теряет право на обработку наших персональных данных. Мы заключали договор в 2008 г. – с момента получения диплома цель обработки наших персональных данных прекращается. Поэтому для того, чтобы в дальнейшем наши данные опубликовывать – нужно наше согласие.

Кто же может заниматься обработкой персональных данных?

Оператор персональных данных –это государственный орган, муниципальный орган либо физическое или юридическое лицо самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что такое обработка персональных данных – это любое действие, операция или совокупность действий, операций, совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление изменения), извлечение, использование, передачу (распространение, предоставление или доступ – [а посмотри сам его номер телефона в моем телефоне]), обезличивание, блокирование, удаление или уничтожение персональных данных.

Если у нас будет 1, 2 телефона выпускников, то скорее всего это не будет обработкой персональных данных, а есть некоторое дружеское взаимодействие. Это одно. Поэтому законодательно четко оговорил цель обработки персональных данных.

Цель обработки персональных данных – есть в ст. 5 (это принципы обработки персональных данных), законодатель его четко не регламентирует.

«Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных»

Цель – для чего производится обработка персональных данных и соотносится ли оно с деятельностью компании или с интересами физического лица. Если корреляции нет, то нужно обоснование. Сбор персональных данных в МГУ для трудоустройства выпускников раньше не был возможен, т.к. лишь в 2011 г. внесли изменения во внутренние акты МГУ (там указано, что не менее 90% должно быть устроено и из них 70% должны вернуться в регионы).

Если мы в согласии не указываем цели обработки, то у нас будут проблемы. Нужно указывать цель! Цели должны быть законными, а что такое «законные цели»? Понятие расплывчатое.

Какие персональные данные мы хотим обрабатывать? Нельзя написать фразу – разрешаю все свои персональные данные разрешаю обрабатывать! Можно написать фразу «обработка моих персональных данных, касающихся обучения в МГУ». Но это должно быть обозначено в моем согласии.

Здесь в согласии должна быть также индивидуализация субъекта персональных данных – кто дает согласие!

Когда мы говорим о персональных данных – то субъект должны указать определенные персональные данные, которые его могли бы индивидуализировать, отделить от других лиц. Иванов Иван Иванович – таких у нас в РФ есть более 2-ух. Персонализация предполагает, что нужно указать паспортные данные, при помощи которых можно его идентифицировать.

Классификация персональных данных

В законе это есть, но выделять основания и т.п. у нас времени не будет.

1. По виду:

a. Анкетные персональные данные (ФИО, пол, возраст и иные анкетные данные, дата и место рождения, паспорт № и серия, национальная принадлежность);

Это вытекает из ФЗ о персональных данных. Эти данные предполагают перечисление информации о себе как о личности.

b. Профессиональная или служебная информация (информация о вашей профессиональной деятельности – сколько раз увольнялись, номер трудовой книжки, стаж и т.п.);

c. Информация об образовании (где, когда вы учились, начиная с первого класса, можно при желании детский сад указать – это дошкольное учреждение);

d. Личная или частная информация (дети, родственники, семья, сколько имеете детей, информация о вашем имуществе – сколько машин, домов и т.п.)

2. [проверка]:

a. Анкетные (№ и серия документа и т.п.);

b. Биометрические (физиологические параметры человека, особенности строения того или иного органа – отпечатки пальцев и т.п., фотографии вас и т.д.).

3. По степени доступности:

a. Общедоступные (например, публичные должности – которые написаны в общедоступных ресурсах);

Это информация, которая публикуется в общедоступных источниках. Часто СМИ публикуют такие данные, что тут точно персональные данные. Однако не понятно, надо ли им требовать согласие на обработку персональных данных. Ни один известный Алтынай журналист не просит согласия.

b. Ограниченного доступа;

Данные о нас в социальных сетях. Только зарегистрированный пользователь может смотреть эту информацию. Но если вы эту информацию видите, то не факт, что вы эту информацию можете передавать третьим лицам.

Если вы сами о себе раскрываете информацию – она становится общедоступной.

c. Конфиденциальные.

Предоставление персональных данных при той или иной покупке в Интернете. Встает вопрос – является ли проставление галочки на сайте согласием на обработке персональных данных? Там часто пишут «я ставлю галочку – предоставляю право ...». Согласие на обработку персональных данных – это письменное согласие субъекта, удостоверенное его подписью. Если у нас письменной бумажки нет – это не согласие. Но есть судебная практика, что если субъекта зашел на сайт и заполнил информацию о себе, а потом нажал «Отправить», а потом подписал договор – то это будет надлежащим согласием на передачу своих персональных данных.

С Интернетом есть еще один момент – серверы находятся за границей. Можно ли так делать? ФЗ о персональных данных содержит понятие – трансграничная передача персональных данных.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

А что есть адекватная защита прав субъектов персональных данных? Законодатель не дает понимания того, что есть адекватная защита персональных данных. Получается, что в иностранном законодательстве должно быть хоть какое-то законодательство в этой сфере и за это предусмотрена ответственность, причем не формальная, а реальная. Наличие закона + ответственность + данный закон работает.

Субъект персональных данных может сказать, что он разрешает передачу своих персональных данных только в одну конкретную страну (например, в Германию).

Защита (не важно чего) персональных данных, например. А как она реализуется? Предусмотрены меры ответственности: уголовная, гражданская, административная, дисциплинарная – все виды ответственности в той или иной мере есть.

Гражданская – есть. Уголовная – будет связана только лишь с обработкой персональных данных в сфере оборота компьютерной информации (своровал базу данных, а там персональные данные). Административная – есть четко в КоАП. Дисциплинарная – это ответственность тех лиц, кто ее обрабатывает.

Правовые средства защиты, технические средства защиты есть, есть организационные средства защиты.

Можно ли давать ретроспективное согласие на обработку своих персональных данных? Можно, но вы даете согласие на конкретны срок, а не на всю жизнь.

Кому нужен этот ФЗ о персональных данных? Самим физическим лицам. Мы его приняли, потому что хотели вступить в ВТО, а также потому что РФ демократическое общество культивирует. Теперь нам проще привлекать к ответственности тех лиц, которые рассылают спам по электронной почте.

Самим прочитать – когда согласие на обработку персональных данных не требуется. Что относится к конфиденциальным персональным данным? Что входит в права субъекта персональных данных, особенно такое право как право истребовать или получить доступ к своим персональным данным (любой оператор должен предусмотреть процедуру доступа к персональным данным – заявление, например, написать и т.п.), есть главный информационный центр в каждом регионе и там можно получить информацию о себе.