Правовые новости. Советы юриста.

Несколько фактов о персональных данных

«В действительности все иначе, чем на самом деле» (Антуан де Сент Экзюпери). Разоблачение некоторых мифов и заблуждении относительно персональных данных.

Персональные данные (ПДн) — это не любые сведения о физическом лице

ПДн — любая информация, относящаяся к прямо или косвенно определенному или определяемому ФЛ (субъекту персональных данных) (часть первая ст. 3 ФЗ от 27.07.2006 № 152-ФЗ). Противоречия нет. ПДн являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна. В официальном разъяснении Роскомнадзора, например, говорится, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо можно однозначно идентифицировать и его использование не может подразумевать обработку ПДн его владельца.

Не любое лицо, осуществляющее обработку персональных данных, является оператором

Соответственно, не во всех случаях необходимо иметь пакет документов, подтверждающий защищенность ПДн, и уведомлять Роскомнадзор. Наиболее частые исключения это обработка во исполнение требований трудового законодательства, обработка для исполнения договора, стороной которого является субъект персональных данных, обработка ПДн, сделанных субъектом ПДн общедоступными (пп. 1, 2, 4 части второй ст. 22 ФЗ от 27.07.2006 № 152-ФЗ). Также к ним относятся случаи, когда Пдн третьих лиц предоставляются фирме ее клиентами. Оператором в этом случае является клиент, а фирма действует по его поручению.

На сайте не всегда должна быть опубликована «Политика конфиденциальности»

Обязанность издания документов, определяющих политику оператора в отношении обработки Пдн, возлагается только на ЮЛ (пп. 2 части первой ст.18.1 ФЗ от 27.07.2006 № 152-ФЗ). Кроме того, как было отмечено выше, не все сведения о ФЛ являются Пдн. Одно лишь имя пользователя в совокупности с номером телефона или адресом электропочты не может считаться Пдн.

На обработку персональных данных не всегда требуется письменное согласие за собственноручной подписью

Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (часть первая ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). Например, это может введение кода, направленного в SMS, переход по ссылке, направленной на электропочту при регистрации и т.п. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка Пдн в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (пп.5 части первой ст. 6 ФЗ от 27.07.2006 № 152-ФЗ).

Эти факты показывают, что не всегда оправдан подход «лучше перебдеть». Роскомнадзор проводит плановые проверки операторов, включенных в реестр. Если необдуманно подать излишнее уведомление, то придется разрабатывать и выполнять все регламенты по информационной безопасности. В то же время, призываем не делать далеко идущих выводов, основываясь только на этой небольшой заметке. Необходим взвешенный подход и, чтобы учесть все нюансы, желательно получить консультацию юриста.