Сами того не замечая, мы каждый день сталкиваемся с персональными данными. И будет полезно, если мы будем знать о них больше. Далее ответим на более актуальные вопросы.

Пунктом 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предусмотрено:«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Информация в объеме фамилия, имя, отчество физического лица является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями Федерального закона № 152-ФЗ (письмо Роскомнадзора от 20.01.2017 № 08АП-6054 «О результатах рассмотрения обращения Казначейства России, Апелляционное определение судебной коллегии по гражданским делам Московского городского суда от 6 сентября 2012 г. по делу № 11–17136).

Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным.

• Любая информация, в том числе должность работника, относится к персональным данным субъекта (Постановление Арбитражного суда Западно-Сибирского округа от 21.10.2016 № Ф04–4431/2016 по делу № А45–2491/2016).
• Сведения о заработной плате лица являются информацией, содержащей персональные данные субъекта (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»).
• Копии трудовых договоров, трудовых книжек работников, приказов о приеме на работу, а также копии дипломов о профессиональном образовании работников содержат сведения, являющиеся персональными данными (Решение Алтайского краевого УФАС России от 24.06.2014 по делу № 295/14).
• Справка о смерти, являющаяся одной из форм свидетельства о государственной регистрации актов гражданского состояния содержит сведения, относящиеся к персональным данным (Постановление Арбитражного суда Поволжского округа от 25.09.2014 по делу № А49–2005/2014).
• В силу части 1 статьи 53 Закона о связи данные о принадлежности телефонного номера определенному физическому лицу, если эти данные содержат сведения о фамилии, имени, отчестве (т.е. персональных данных в силу пункта 1 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»), являются информацией об абонентах, т.е. информацией ограниченного доступа (Постановление Арбитражного суда Центрального округа от 15.08.2017 № Ф10–2426/2017 по делу № А64–4040/2016).
• Имя, фамилия, адрес места проживания представляют собой персональные данные (Постановление Верховного суда Республики Саха (Якутия) от 29.10.2015 № 4а-547/2015).

В соответствии с п. 1 ст. 3 Закона № 152-ФЗ персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (Определение Приморского краевого суда от 26.10.2015 по делу № 33–9641/2015).

Таким образом, любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, представляет собой персональные данные.

В соответствии с п. 5 ст. 18 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — «ФЗ №152»):«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».Статья предполагает необходимость обеспечения первичного попадания собранных от субъекта персональных данных — российского гражданина в базу данных, физически расположенную на территории Российской Федерации. Это же требование распространяется на последующие обновления и дополнения таких данных (их актуализацию).

Паспортные данные представляет собой персональные данные. (Апелляционное определение Московского городского суда от 22 мая 2014 г. N 33–14709).Анализ положений законодательства и судебной практики по поставленному вопросу не позволяет прийти к выводу о наличии отличий между хранением персональных данных в сети Интернет в текстовом формате и хранением скан-копий документов, которые содержат персональные данные.

В силу части 6 статьи 13.11. Кодекса Российской Федерации об административных правонарушениях: «Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния — влечет наложение административного штрафа … на должностных лиц — от четырех тысяч до десяти тысяч рублей… на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей».

К административной ответственности оператора привлекут только в случае наступления неблагоприятных последствий, связанных с невыполнением условий, обеспечивающих сохранность данных при хранении материальных носителей. В качестве примеров неблагоприятных последствий ч. 6 ст. 13.11 КоАП РФ называет неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение.

Полномочия по контролю за реализацией требований законодательства о персональных данных возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Основания для проведения проверки лица, осуществляющего деятельность по использованию персональных данных, а также подробный порядок проведения проверки установлен Приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (далее — Регламент).Как указано в Регламенте:

• 29. Службой и ее территориальными органами проводятся плановые и внеплановые проверки. Плановые и внеплановые проверки проводятся должностными лицами Службы и (или) ее территориальных органов в форме документарной или выездной проверки. Количественный состав участников проверки должен быть не менее двух должностных лиц.
• 30. Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок территориального органа Службы на текущий календарный год (далее — План).
• 31. План утверждается руководителем территориального органа Службы и размещается на официальном сайте территориального органа Службы.
• 32. Плановые проверки проводятся:
• 32.1. В отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных (далее — Реестр).
• 32.2. В отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.
• 33. Основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:
• 33.1. Государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя.
• 33.2. Окончания проведения последней плановой проверки Оператора.
• 34. О проведении плановой проверки Оператор уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Службы или ее территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом…».

С планом проверок можно ознакомиться на интернет-ресурсе Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций: https://rkn.gov.ru.

Как указано в Регламенте:

38. Внеплановые проверки проводятся по следующим основаниям:

38.1. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.

38.2. Поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации, в том числе о следующих фактах:

38.2.1. Возникновение угрозы причинения вреда жизни, здоровью граждан.

38.2.2. Причинение вреда жизни, здоровью граждан.

38.3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации, и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям…

…40. О проведении внеплановой выездной проверки Оператор уведомляется Службой или ее территориальным органом не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом…».

Таким образом, уполномоченным органом может быть установлено нарушение требований законодательства к хранению персональных данных в ходе проведения плановой либо внеплановой проверки.

Операторы информационных систем, осуществляющие обработку персональных данных с нарушением требований об использовании баз данных на территории Российской Федерации, могут столкнуться с блокированием доступа к своему веб-сайту.

В целях ограничения доступа к информации в сети Интернет, обрабатываемой с нарушением законодательства в области персональных данных, создана автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных».Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи» утвержден порядок работы с вышеуказанным Реестром.

Уполномоченный орган вправе обратиться в суд с требованием о признании деятельности интернет-ресурсов нарушающей требования Закона «О персональных данных» и обязать Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций принять меры по ограничению доступа к информации в сети «Интернет».

Например, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций обратилась в суд с иском к ответчику LinkedIn Corporation и просила признать деятельность интернет-ресурсов (http://www.linkedin.com, http://linkedin.com) по сбору, использованию и хранению персональных данных граждан Российской Федерации нарушающей требования Закона «О персональных данных» и права граждан на неприкосновенность частной жизни, личную и семейную тайну, обязать Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций принять меры по ограничению доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, путем внесения доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащих информацию, обрабатываемую с нарушением законодательства в области персональных данных, в Реестр нарушителей прав субъектов персональных данных следующего Интернет-ресурса: http://www.linkedin.com, http://linkedin.com.

Решением Таганского районного суда города Москвы требования удовлетворены, Определением Московского городского суда от 10.11.2016 по делу № 33–38783/2016 решение оставлено без изменения.

Для нивелирования рисков привлечения к ответственности необходимо заключить договор на оказание услуг по хранению персональных данных с любым дата-центром, расположенным на территории Российской Федерации.

Alibaba планирует потратить $30 млн (1,78 млрд руб. по курсу ЦБ) на хранение данных в России. Эти затраты позволят компании соблюдать российский закон о персональных данных россиян…Компания арендовала под свои нужды дата-центр в Москве, рассказал порталу представитель AliExpress в России Антон Пантелеев. Для начала в нем установят 200 серверных стоек (стандартных шкафов для размещения оборудования).(https://www.vedomosti.ru/business/news/2017/11/10/741226-alibaba-dannih-rossii).

В Казани расположен дата-центр ГАУ «ИТ-парк» (420107, Респ. Татарстан, Казань, ул. Петербургская, 52 телефон: 8 (843) 235–14–75). Дата-центр ГАУ «ИТ-парк» оказывает услуги по хранению персональных данных в соответствии с треборваниями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — «ФЗ №152».

---