Персональные данные субъекта классифицируются по объему личной информации о человеке и степени важности. Любые операции с ними производятся строго в рамках законодательных актов и подлежат защите. Однако есть категория общедоступных персональных данных, которые несут лишь поверхностную и обезличенную информацию и человеке.

Из этой статьи вы узнаете:

• что такое общедоступные персональные данные;
• перечень общедоступных персональных данных;
• особенности работы с общедоступными персональными данными.

При создании любой базы данных, в том числе перечня всех работников предприятия, на начальном этапе необходимо распределить на категории персональные данные. Все персональные данные сотрудников разбиваются на две группы – общедоступные и конфиденциальные.

Понятие и классификация персональных данных

Персональные данные (ПДн) – это различные виды информации, от полного имени, даты рождения, семейного и социального положения, до регистрационных номеров документов, выданных государственными органами и коммерческими инстанциями. Оператором персональным данных выступает государственная, федеральная, коммерческая структура, юридическое или физическое лицо, имеющие права на выполнение различных мероприятий с использованием персональных данных.

В трудовых отношениях обладателем/субъектом персональных данных является работник, а оператором работодатель, кадровый и бухгалтерский отдел, занимающиеся оформлением сотрудника на работу и всеми вопросами, связанными с личными делами и правовыми соотношениями, начислением заработной платы, пособий, компенсаций и т.п. ПДн субъекта необходимы работодателю для связи их с трудовыми отношениями/соглашениями (ст. 85, 86 ТК РФ).

Под обработкой персональных данных подразумеваются различные операции, предусмотренные законодательством Российской Федерации. К видам обработки ПДн относится сбор, систематизация, накопление, хранение, обновление, использование, обезличивание, уничтожение, которые производятся по установленным нормативными актами процедурам. Осуществлять операции с ПДн могут государственные, федеральные, муниципальные органы и организации, имеющие такое право по статусу.

Все ПДн разделяются на такие разделы:

• Специальные персональные данные;
• Биометрические персональные данные.

При формировании информационных систем персональных данных (ИСПД) рекомендуется руководствоваться Приказом ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ № 55/86/20 от 13. 02. 2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Согласно этому нормативному акту ПДн распределяются на категории:

1. Категория 1 – специальные данные, определяющие расовую и национальную принадлежность, религиозные и политические убеждения, факты личной жизни и состояния здоровья.
2. Категория 2 – данные, которые дают возможность идентифицировать субъекта и получить о нем дополнительную информацию за исключением факторов, относящихся к категории 1. К этому разделу относятся ФИО, домашний адрес, данные паспорта, серийные номера документов (мед. полис, пенсионное удостоверение, СНИЛС, ИНН), информация трудовой и медицинской книжки.
3. Категория 3 – данные, позволяющие идентифицировать субъекта (имя, фамилия, дата рождения).
4. Категория 4 – обезличенные или общедоступные персональные данные, по которым невозможно идентифицировать субъекта.

Общедоступные персональные данные: перечень

К перечню общедоступных персональных данных можно отнести такие факторы, которые не несут информацию, позволяющую идентифицировать личность человека по базе данных. К обезличенным данным относятся:

• Имя, имя и отчество;
• Ник/логин субъекта в интернете;
• Электронный адрес (без привязки к ФИО);
• Должность, место работы (без сведений о личных данных).

К общедоступным данным относятся сведения о субъекте, которую можно получить в открытых источниках информации, например, в телефонном справочнике или адресной книге. В такие общедоступные базы данные вносятся с письменного согласия субъекта.

Общедоступные персональные данные: особенности

Особенность общедоступных персональных данных заключается в том, что они могут быть размещены в открытых источниках информации. То есть, если в справочнике контактов организации указаны контактные данные должностных лиц, например, занимающихся обучением и наймом персонала, то такие данные считаются общедоступными. Когда в печатном издании указаны имена и фамилии членов редакции, то эта информация тоже относится к общедоступной.

К особенности общедоступных данных, которая позволяет правильно их классифицировать, можно отнести такой фактор – первые три категории в той или иной степени необходимы для внесения субъекта в ИСПД, а четвертая категория остается вне требований информационных систем. Если о человеке из всех данных известны лишь имя и место работы, то такие сведения являются общедоступными.

При систематизации данных потребуется более точная информация, которую можно получить лишь с письменного согласия субъекта на обработку персональных данных. При этом оператор берет на себя обязанность о защите и соблюдении законодательно установленных правил обработки и хранения персональных данных.

К аждый день физические лица предоставляют личную информацию в различные инстанции. За обработку сведений отвечают операторы персональных данных. Это банки, работодатели, медицинские организации, интернет-сайты и другие структуры. В соответствии с законом операторы обязаны защищать персональную информацию. Для создают источники, где содержатся общедоступные персональные данные (ПД).

Что такое общедоступные ПД?

К общедоступным относят сведения о человеке, которые он или она самостоятельно предоставляет в инстанции. Чтобы к открыть свободный доступ к информации, требуется письменное разрешение человека - субъекта персональных данных. Субъект - это физическое лицо, ПД которого собирает, хранит и обрабатывает оператор. Оператор - это юридическое или физическое лицо, муниципальный или государственный орган власти.

К общедоступным ПД относят сведения о субъекте, по которым его можно идентифицировать:

• дата и место рождения;
• домашний адрес;
• номер телефона;
• профессия;
• индивидуальный налоговый номер;
• место работы или учебы и другие сведения.

В состав общедоступных данных может входить любая информация, которая с точки зрения закона не является конфиденциальной. ПД субъекта могут классифицироваться по объему и степени важности информации личного характера.

К общедоступным данным относится также персональная информация, которая предоставляется:

• при трудоустройстве, заключении контракта или трудового договора;
• во время переписи населения;
• при оформлении договорных отношений во время торговых операций и других подобных ситуациях.

Персональные данные субъекта, которые распространяются через СМИ, не относятся к конфиденциальным, так как являются общедоступными в соответствии с «Перечнем сведений конфиденциального характера».

Письменное согласие субъекта на получение, передачу, обработку и другие действия с ПД требуется не всегда. В отдельных случаях, например, при участии в анкетировании или подписке на новостную рассылку, достаточно поставить галочку в графе, которая разрешает использование ПД.

Данные общего типа допускает размещать в источниках, которые являются общедоступными. Это означает, что источники просматривает и использует огромное количество заинтересованных лиц. Пример такого источника - телефонные справочники.

Обработка общедоступных данных

Обработкой общедоступных данных занимаются отделы и подразделения, в обязанности которых входит сбор, систематизация, хранение, изменение, использование и уничтожение ПД. Физические лица вправе запросить сведения об операторе данных и узнать, какую цель преследует оператор во время обработки ПД.

Контроль соблюдения законов при обработке возложен на Роскомнадзор. Определенными ревизионными и контролирующими полномочиями обладают ФСБ и ФСТЭК. Операторы создают системы защиты личных данных для собственных нужд поэтому, в связи с этим лицензировать такую деятельность.

ПД обрабатывают организации, которым для осуществления своей деятельности необходимо собирать, накапливать, обрабатывать и хранить информацию о сотрудниках, поставщиках и клиентах. В определенных случаях такие данные входят в состав открытых.

Права субъектов общедоступных данных

Субъекты ПД могут подать заявление с требованием заблокировать, уничтожить, уточнить или изменить общедоступные данные, если сведения утратили актуальность, являются неполными или не требуются для целей обработки. Субъекты праве также запросить доступ к своим ПД и узнать, какие средства использует оператор для их обработки.

Информация должна использоваться в соответствии с требованиями законодательства и быть защищенной независимо от того, является она конфиденциальной или общедоступной. В обязанности операторов входит обеспечить полную защиту ПД субъекта и ограничить доступа к данных посторонних лиц.

Оператор начинает обрабатывать персональные данные только после получения письменного разрешения субъекта на обработку. Согласие включает информацию о физическом лице и данные оператора: название компании, фамилия, имя и отчество оператора, должность. Также в согласии требуется указать цель обработки и список данных с описанием операций, которые будут выполняться с информацией. Физическое лицо имеет право на отзыв своих ПД и аннулирование своего согласия на обработку.

В случае недееспособности или смерти субъекта согласие на обработку и использование ПД запрашивается у наследников или законных представителей. При этом нужно руководствоваться Федеральным законом о персональных данных.

В случае нарушения требований законодательства виновные несут административную, уголовную и другие виды ответственности. Неважно, являются ли ПД конфиденциальными или общедоступными, в соответствии со статьей 8 ФЗ-152 о персональных данных общедоступные ПД могут размещаться в общедоступных источниках только с согласия субъекта данных. Персональные данные должны быть исключены из источников, если этого требует субъект или уполномоченные органы: Роскомнадзор, суд или другие госструктуры.

Статья 8. Общедоступные источники персональных данных

Комментарий к статье 8

1. Комментируемая статья посвящена так называемым общедоступным источникам персональных данных, которые доступны неопределенному кругу лиц. К таким источникам относятся, в частности, справочники (например, лиц, проживающих в многоквартирном доме; работников оператора и т.п.) или адресные книги. При этом нормы этой статьи распространяются лишь на те общедоступные источники, которые создаются по инициативе оператора, а не в рамках исполнения им требований законодательства о раскрытии или опубликовании определенной информации (п. 11 ч. 1 ст. 6 Закона о персональных данных). Таким образом, она не касается сведений, содержащихся в ЕГРЮЛ, а также в иных реестрах, формируемых в соответствии с законодательством РФ (Постановление Президиума Нижегородского областного суда от 6 июля 2016 г. по делу N 44г-49/2016; Апелляционное определение Тамбовского областного суда от 15 февраля 2016 г. по делу N 33-500/2016). Режим использования и изменения информации, содержащейся в этих сведениях, определяется требованиями законодательства и основан на принципе открытости и достоверности данных, хранящихся в государственных информационных системах. Так, в соответствии с ч. 9 ст. 14 Закона об информации государственные органы обязаны обеспечить достоверность и актуальность информации, содержащейся в государственной информационной системе, доступ к указанной информации в случаях и в порядке, которые предусмотрены законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
2. Положения, содержащиеся в комментируемой статье, следует отличать от норм п. 10 ч. 1 ст. 6 и п. 2 ч. 2 ст. 10 Закона о персональных данных, устанавливающих основания для обработки персональных данных в отсутствие согласия субъекта. В первом случае речь идет об условиях правомерности первичного распространения оператором персональных данных и придания им статуса общедоступных, во втором случае - об обработке заинтересованными лицами персональных данных, которые уже являются общедоступными, в том числе пользователями таких общедоступных источников.
3. Формат и состав данных, включаемых в общедоступные источники персональных данных, определяются оператором. При этом такие персональные данные, как фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, могут включаться в общедоступные источники исходя из имеющихся у оператора данных, а источником иных видов персональных данных может выступать лишь сам субъект, на что недвусмысленно указывает слово "сообщаемые".
4. Главным условием создания и использования оператором общедоступного источника персональных данных является получение согласия на это от каждого субъекта, персональные данные которого в такой источник включаются. При этом Закон не делает никаких исключений из указанных положений, в связи с чем включение оператором персональных данных, которые уже были сделаны общедоступными с согласия их субъекта ранее, в создаваемый таким оператором источник общедоступных данных все равно требует согласия субъекта. Во многом это связано с тем, что создание баз данных, содержащих персональные данные, уже само по себе несет определенные риски для их субъектов, в связи с чем должно быть ими санкционировано. Такое согласие должно отвечать требованиям, установленным в ст. 9 Закона о персональных данных.
5. В соответствии с ч. 2 комментируемой статьи оператор общедоступного источника персональных данных обязан исключить сведения о субъекте на основании заявления такого субъекта, решения суда или требования уполномоченного органа (например, прокуратуры или Роскомнадзора). Рассматриваемая норма не устанавливает срок, в течение которого оператор должен удалить сведения, представляющие собой персональные данные, в связи с чем думается, что здесь применимы положения ч. 1 ст. 21 Закона о персональных данных, в силу которых оператор должен заблокировать доступ к таким данным с момента обращения их субъекта, т.е. незамедлительно. В результате указанных действий данные перестают быть доступными третьим лицам и утрачивают статус общедоступных данных, в том числе для целей применения положения п. 10 ч. 1 ст. 6 Закона о персональных данных о допустимости обработки таких данных без согласия субъекта. Отказ оператора в удовлетворении требований субъекта персональных данных об исключении его данных из общедоступного источника в порядке ч. 2 ст. 8 Закона о персональных данных дает право субъекту обжаловать данный отказ или бездействие оператора в Роскомнадзор или в судебном порядке (см. комментарий к ст. 17 настоящего Закона).
6. Европейское законодательство содержит положения, регламентирующие справочники абонентов (directories of subscribers) . В соответствии со ст. 12 Директивы 2002/58/EC о защите частной жизни в сфере телекоммуникаций устанавливаются следующие требования:
- субъекты персональных данных должны быть бесплатно извещены о планируемом включении их данных в такого рода справочники с описанием механизма поиска в этих справочниках;
- субъектам персональных данных должна быть предоставлена возможность внесения исправлений в сведения о них, содержащиеся в таких справочниках;
- в случае использования таких справочников для целей, отличных от поиска обычной контактной информации, необходимо получение согласия субъекта персональных данных.
Национальные законодательства могут устанавливать более жесткие требования, предъявляемые к операторам при создании такого рода справочников.

Роскомнадзор выявил нарушения в части соответствия деятельности по обработке персональных данных требованиям законодательства по результатам плановой выездной проверки одного из бюро кредитных историй. Эти результаты бюро попыталось оспорить в Арбитражном суде города Москвы (решение Арбитражного суда города Москвы от 5 мая 2017 года по делу № А40-5250/17-144-51).

Суть выявленных Роскомнадзором нарушений заключалась в следующем:

• финансовая организация не представила уведомление в уполномоченный орган об использовании сервисов Double Data Social Link и Double Data Social Attributes, которые передавали финансовой организации данные физических лиц или потенциальных клиентов из открытых источников информации ( , далее – Закона № 152-ФЗ);
• отсутствовало согласие на обработку персональных данных, содержащихся в открытых источниках – в социальных сетях и на интернет-порталах ().

Арбитражный суд города Москвы определил, что обработка персональных данных допускается в случаях, когда персональные данные доступны неопределенному кругу лиц, имеется согласие владельца данных и сведения предоставлены непосредственно самим субъектом ( , ).

Суд подчеркнул, что без письменного согласия субъекта персональных данных нельзя утверждать о предоставлении согласия именно указанным лицом. По его мнению, если владелец сделал персональные данные общедоступными для всех, то они могут содержаться только в общедоступных источниках (). По мнению суда, соцсети не являются такими источниками получения персональных данных, соответственно информация о лице, размещенная в них, не может быть отнесена к общедоступной.

В решении арбитража указано, что в общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные их владельца с его письменного согласия и сообщаемые им самим. Суд пришел к выводу, что владельцы персональных данных не сделали сведения общедоступными, которые обрабатывались бюро кредитных историй в социальных сетях ( , ). В связи с чем суд признал предписание Роскомнадзора законным и отказал финансовому учреждению в удовлетворении исковых требований.

Можно ли привлечь к ответственности компанию за использование изображения физического лица без его согласия, если она обнародовала фотографии сотрудников в социальные сети? Ответ на этот и другие практические вопросы – в "Базе знаний службы Правового консалтинга" в интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Суд апелляционной инстанции согласился с выводами нижестоящего суда, подчеркнув, что размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку информации (постановление Девятого арбитражного апелляционного суда от 27 июля 2017 года по делу № А40-5250/17). Суд кассационной инстанции и Верховный Суд Российской Федерации встали на сторону Роскомнадзора и не нашли оснований для отмены обжалуемых судебных актов (постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу № А40-5250/2017 , Определение ВС РФ от 29 января 2018 года по делу № 305-КГ17-21291).

Таким образом, суды решили, что персональные данные являются общедоступными при выполнении двух условий: они предоставлены владельцем и доступны неопределенному кругу лиц. По их мнению, из-за отсутствия согласия владельца персональных данных на размещение сведений о нем в соцсетях, нельзя их [соцсети] отнести к общедоступным источникам. При этом оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, в случае его отзыва, только при наличии соответствующих оснований, например, для противодействия терроризму или коррупции ().

Ведущий юрист Европейской Юридической Службы Елена Держиева отметила, что по условиям пользовательского соглашения соцсети "Вконтакте" владелец персональных данных дает согласие только на доступ к информации, которую он размещает на своей странице, но не на обработку третьими лицами.

Законно ли создание общедоступных баз персональных данных?

В самом конце 2015 года я поучаствовал в обсуждении интересной статьи в ЖЖ, которая была посвящена необходимости создания единой общедоступной базы данных недобросовестных соискателей работы.

Надо сказать, что идея не нова и, наверняка, ряд компаний имеют внутренние базы соискателей. С помощью таких баз кадровики отсеивают неподходящих кандидатов с самыми минимальными затратами времени. Если теоретически предположить, что в распоряжении всех HR страны может появиться такая база, то насколько было бы всем лучше. Ну, так ведь? Слава Богу, нет, не так. Как правильно отметили комментаторы данной статьи, потенциальные выгоды могут легко перекрыться негативом, который неизбежно возникнет от неправомерного использования данных из базы, необоснованного включения/исключения людей в такие базы, ну и вопросов репутации, чести и достоинства включенных в базы людей.

К счастью, с 2006 года в России действует федеральный закон «О персональных данных», который однозначно определяет условия, при которых такие базы могут существовать:

2. Статья 6 федерального закона «О персональных данных» определяет, что «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных».

3. Статья 7 федерального закона «О персональных данных» определяет, что «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.»

4. Статья 8 федерального закона «О персональных данных» определяет, что: «1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. 2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.»

5. И наконец, статья 13.11. Кодекса Российской Федерации об административных нарушениях, определяет, что «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.»

Другими словами и короче:

1. Любые данные, относящиеся к физическому лицу (включая просто номер телефона), являются персональными.

2. На обработку персональных данных нужно получить согласие, которое можно в любой момент отозвать.

3. Если у кого-то есть законный доступ к персональным данным, то их запрещено раскрывать кому-либо или делиться с кем-либо без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.

4. Специально для желающих создавать общедоступные источники персональных данных предусмотрена письменная форма согласия.

5. За нарушение установленного порядка сбора и хранения персональных данных предусмотрена ответственность.

Вывод очень простой и понятный – создание единой общедоступной базы нерадивых соискателей работы возможно только с письменного согласия этих самых нерадивых работников, что, естественно, сводит к нулю вероятность законного создания такой базы. Тем, кто все же решит такие базы создавать и делиться ими с товарищами, наша компания рекомендует ознакомиться с действующими в данный момент наказаниями.