Суть
Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение дает действующая редакция закона «О персональных данных» - лаконичная формулировка появилась в 2011 году. До этого тем же законом под персональными данными понималась любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
По сути, из определения исчезло только перечисление, но так как перечень был открытым, исключение конкретных данных лишь устранило неясности в толковании. Основной критерий остался прежним - относимость информации к конкретному лицу и возможность его идентификации.
Принятый в 2006 году закон № 152-ФЗ «О персональных данных» — ключевой нормативный правовой акт в сфере регулирования их оборота. Он основан на европейской концепции, но в Европе право на защиту данных неотделимо от защиты личности и ее частной жизни. В России персональные данные - самостоятельный объект права. Обязанности по его защите возложены на юридических лиц – операторов, а надзор остается за государством.
Во исполнение норм закона приняты многочисленные постановления правительства, приказы Роскомнадзора, детализирующие его, и дающие разъяснения по отдельным вопросам. Разобраться в таком объеме документов непросто даже квалифицированному юристу.
Вехи истории
Впервые термин «персональные данные» появился в Федеральном законе от 20.02.1995 N 24-ФЗ «Об информации, информатизации и защите информации». Там было написано, что информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, и было указание на то, что ПД относятся к категории конфиденциальной информации.
При этом устанавливалось, что деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит лицензированию. То есть то, что делают сейчас фактически каждая организация или индивидуальный предприниматель, уведомляя Роскомнадзор (РКН), принимая меры к легализации оборота информации, расценивалось как особая деятельность, на осуществление которой необходима лицензия.
Хочу подчеркнуть, что отсутствие до 1995 года специальной правовой базы не означает, что раньше персональные данные не подлежали защите. Но концепция исходила из защиты частной жизни гражданина.
Если углубится в историю, понятия «неприкосновенность частной жизни» и «тайна переписки», из которых и вытекает понятие персональных данных, появились в Почтовом и Телеграфных уставах, принятых при Александре II. А ответственность за их нарушение уже была в Уголовном уложении.
После Революции 1917 года термины были «забыты» ввиду конфликта с пришедшей идеологией. Лишь в Конституции 1936 года создали раздел, посвященный правам и свободам гражданина, в двух статьях которого содержались нормы о неприкосновенности личности, жилища и тайне переписки. Однако они «соседствовали» с официальной цензурой и стенографией телефонных переговоров.
Чуть лучше дела обстояли в 60-е годы, но неприкосновенность частной жизни как самостоятельная ценность, включающая в себя и право на защиту персональных данных, впервые появилась в нашем правовом поле только в 1991 году. В действующей сейчас Конституции 1993 года закреплено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
В 1999 году на уровне Ассамблеи стран СНГ был принят модельный закон о защите персональных данных, давший странам-участницам основные термины и правила регулирования сферы.
На мой взгляд, можно говорить о том, что в России есть перекос в сторону избыточного регулирования. Предъявляемые требования иногда не являются экономически обоснованными, создавая дополнительные административные барьеры для работы компаний. При этом штрафы за неисполнение законодательства существенные, поэтому появилась целая индустрия специалистов в этой области, но, опять же, их услуги не всегда по карману малому бизнесу.
В 2022 году в закон «О персональных данных» были внесены очередные правки. Эти корректировки стали основанием для переработки форм согласий и политик у всех операторов, которые следят за изменениями.
Что изменилось с 1 сентября:
Согласие на обработку ПД стало более предметным, однозначным, соответствующим узким целям обработки данных, и оно должно быть получено путем совершения активных действий субъекта, даже если это просто проставление галочки в чекбоксе.
Политику необходимо размещать на первой странице сайта организации, и за несоблюдение этого требования полагается штраф. Сокращен срок реагирования на запросы субъектов о своих персональных данных – с 30 до 10 рабочих дней с возможностью продления до 15-ти.
Еще одно - компания не может отказывать в обслуживании, если клиент отказался предоставлять ей биометрические данные.
Последний существенный блок изменений в закон «О персональных данных» вступил в силу с 1 марта 2023 года. Они коснулись:
- сроков подачи уведомлений в Роскомнадзор об изменении обрабатываемых персональных данных. Раньше нужно было сделать это в течение 10 дней с момента корректировки, а теперь - не позднее 15-го числа месяца.
- порядка уничтожения персональных данных. Теперь операторам нужно подтверждать этот факт. На бумажных носителях актом, а на электронных, например, журналом событий.
- новых полномочий РКН при передаче информации за границу (теперь нужно спрашивать разрешение у ведомства, а не просто уведомлять). Это важно, если компания сотрудничает с иностранными партнерами.
Также с 1 марта 2023 года вступил в силу приказ Роскомнадзора от 27.10.2022 № 178. Он обязывает операторов создавать акт, в котором прописываются возможные степени риска при работе с персональными данными. То есть компания должна оценить возможный вред субъекту персональных данных в случае нарушений. Эту процедуру проводит ответственный за организацию обработки персональных данных или специальная комиссия.
Кроме того, при утечке персональных данных оператор должен известить об этом Роскомнадзор, направив специальное уведомление.
Резюмируя, хочу сказать, что законодательство в сфере защиты персональных данных постоянно усложняется, накладывая на бизнес все больше и больше обязательств. А активность Роскомнадзора по проведению проверок, в том числе по жалобам граждан, возрастает. При этом нельзя не отметить, что с развитием ИТ-технологий оборот информации увеличивается, и, значит, возрастает риск утечки.