Обработка персональных данных: как не нарушить закон

Какие сведения считаются персональными данными? И как их законно включать в общедоступные источники?

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое лаконичное определение дано в п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Иными словами, к персональным данным относятся любые сведения, которые позволяют идентифицировать человека. В законодательстве нет примеров того, какая информация может относиться к персональным данным. Потому решение этого вопроса – прерогатива правоприменителя.

Рассмотрим пример. Редакция «АГ» получила письмо: «На нашем сайте представлен справочник юрлиц. Хотим указать в нем номера телефонов больницы, специализацию врачей и часы приема. Должны ли мы получить согласие на обработку персональных данных?»

Номера телефонов организации не относятся к персональным данным. Например, в Письме Минкомсвязи России от 7 июля 2017 г. № П11-15054-ОГ разъяснено, что абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.

Если же на сайте указать одновременно фамилию, имя, отчество и специализацию врача, служебный телефон и часы приема, то такие сведения в совокупности будут относиться к конкретному физическому лицу и позволят его идентифицировать, поэтому могут быть признаны персональными данными. В случае размещения подобных сведений на сайте рекомендуется получить согласие субъекта на обработку его персональных данных во избежание привлечения к административной ответственности.

Отметим, что в законодательстве используется термин «общедоступные источники персональных данных». Такими источниками могут быть, например, справочники и адресные книги, которые создаются в целях информационного обеспечения (ч. 1 ст. 8 Закона № 152-ФЗ). Общедоступные источники персональных данных могут включать такие сведения, как фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, и иную информацию, сообщаемую субъектом персональных данных. Включение этих сведений в общедоступные источники допустимо только с письменного согласия субъекта персональных данных.

Как обрабатывать персональные данные, чтобы не оштрафовали?

Обработкой персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).

Принципы обработки персональных данных

Обработка персональных данных не может осуществляться произвольно. Статья 5 Закона № 152-ФЗ предусматривает принципы такой обработки. Рассмотрим каждый из них подробнее.

1. Законная и справедливая основа: при обработке персональных данных необходимо соблюдать требования законодательства.

2. Достижение конкретных, заранее определенных и законных целей обработки персональных данных; недопустимость обработки данных, несовместимой с целями их сбора. Иными словами, до начала обработки персональных данных должны быть определены ее цели, которым и обязан следовать оператор при обработке данных физических лиц.

3. Недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях.

4. Соответствие персональных данных, в том числе их содержания и объема, заявленным целям обработки. То есть недопустима избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

5. Обеспечение точности, достаточности и при необходимости актуальности персональных данных по отношению к целям их обработки. На оператора возлагается обязанность принимать меры по удалению или уточнению неполных и неточных персональных данных либо обеспечивать принятие таких мер.

6. Установление срока хранения персональных данных в законе или договоре. В случае отсутствия такового хранение персональных данных в форме, которая позволяет определить субъекта данных, возможно не дольше, чем этого требуют цели обработки персональных данных. При достижении целей обработки или утрате необходимости в достижении этих целей данные подлежат уничтожению или обезличиванию.

Условия обработки персональных данных

Помимо принципов обработки персональных данных законодатель предусматривает условия их обработки (ст. 6 Закона № 152-ФЗ). По общему правилу такая обработка правомерна, если она:

• осуществляется с согласия субъекта персональных данных;
• необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
• осуществляется в связи с участием лица в судопроизводстве;
• необходима для исполнения акта в соответствии с законодательством РФ об исполнительном производстве;
• необходима для исполнения полномочий при предоставлении государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг или региональном портале государственных и муниципальных услуг;
• необходима для исполнения договора, стороной которого или выгодоприобретателем (поручителем) по которому является субъект персональных данных, а также для заключения договора по его инициативе или договора, по которому он будет являться выгодоприобретателем (поручителем);
• необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных (если получение его согласия невозможно);
• необходима для осуществления прав и законных интересов оператора или третьих лиц или для достижения общественно значимых целей при условии, что при этом не нарушаются права субъекта персональных данных;
• необходима для осуществления профессиональной деятельности журналиста и законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
• осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных. Исключение составляет их обработка в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации – в этом случае необходимо получить согласие субъекта персональных данных (ст. 15 Закона № 152-ФЗ);
• осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, указанных в Федеральном законе от 24 апреля 2020 г. № 123-ФЗ и Федеральном законе от 31 июля 2020 г. № 258-ФЗ (законодательство в сфере технологий искусственного интеллекта и цифровых инноваций), в порядке и на условиях, которые предусмотрены упомянутыми законами (применимо только к случаям обработки персональных данных, полученных в результате их обезличивания);
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Согласие на обработку персональных данных

Из положений ст. 6 Закона № 152-ФЗ следует, что значительная часть условий, при которых обработка персональных данных будет являться правомерной, связана со специфичным применением (например, судопроизводство или исполнение судебного акта) и не охватывает бизнес-сферу, а равно экономические отношения. Чтобы защититься от привлечения к административной ответственности за неправомерную обработку персональных данных, оператору необходимо получить согласие физического лица на такую обработку. Подробнее о требованиях к содержанию этого согласия читайте в статье «Согласие клиентов на обработку персональных данных: как составить, чтобы не оштрафовали?».