Персональные данные

Что относится к персональным данным, и на основании чего они могут обрабатываться — читайте ответы на самые важные вопросы.

Персональные данные

Что такое персональные данные, и какие бывают виды персональных данных?

В зависимости от перечня и характеристик обрабатываемых данных выделяют:

Персональные данные — это любая информация, которая относится к физическому лицу (конкретному человеку) уже идентифицированному или которое может быть идентифицировано (например: ФИО, адрес регистрации, место работы).

Специальные персональные данные — информация о расовой или национальной принадлежности, политических взглядах, членстве в профессиональных союзах, религиозных или других убеждениях, здоровье, половой жизни, привлечении к административной или уголовной ответственности. А также биометрические и генетические.

Биометрические персональные данные — это информация о физиологических и биологических особенностях человека, на основании которой можно установить его личность (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица, его фото и другое).

Генетические персональные данные — это информация о наследуемых или приобретенных генетических характеристиках человека, уникальные данные о его физиологии или здоровье.

Общедоступные персональные данные — это персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.

Как распознать персональные данные?

Определите, соответствует ли информация одному из признаков:

Сообщает о конкретном человеке. Например, если ФИО и паспортные данные принадлежат реальному человеку, значит, указанные сведения — персональные.

Связана с конкретным человеком. Например, вы приобрели автомобиль определённой модели и марки. Информация о том, что вы владеете таким автомобилем, — персональные данные. А данные о модели и марке ещё не проданной конкретному человеку машины — не персональные.

Позволяет выделить конкретного человека из множества других. Например, если адрес проживания и место работы позволяют определить личность человека, то это персональные данные. Если эти данные записаны на бумаге и с их помощью невозможно установить личность, то это не персональные данные.

Миф: к персональным данным относится только та информация, с помощью которой можно идентифицировать человека и которая содержит, как минимум, его ФИО.

Реальность: в условиях развития современных технологий онлайн-идентификаторы (IP-адрес, файлы cookie и др.) также становятся персональными данными.

Почему нет единого перечня персональных данных?

Одна и та же информация в разных условиях может быть или не быть персональными данными. Поэтому создать их единый перечень невозможно.

Например, серия и номер чистого бланка страхового полиса персональными данными не являются. А когда этот полис оформлен на конкретного человека, серия и номер переходят в категорию персональных данных.

rassylka

На основании чего могут обрабатываться персональные данные?

Миф: персональные данные могут обрабатываться только на основании согласия на их обработку. Если согласия нет, значит, обработка неправомерна.

Реальность: в Законе Республики Беларусь от 07.05.2021 № 99-З«О защите персональных данных» выделено 21 самостоятельное правовое основание для правомерной обработки персональных данных.

1. Согласие на обработку персональных данных

Что нужно знать:

Общее правило: предоставление согласия — исключительное право каждого человека, оно должно быть свободным, информированным и однозначным. Допустимо получение согласия по принципу «одна цель — одно согласие». Согласие может быть предоставлено в письменной форме, в виде электронного документа или в иной электронной форме. Получение согласия при наличии иных правовых оснований рассматривается как избыточная обработка персональных данных.

2. В рамках законной деятельности правоохранительных органов

Персональные данные могут обрабатываться соответствующими органами и организациями без согласия человека в рамках ведения административного, уголовного процесса, оперативно-розыскной деятельности.

Порядок ведения административного и уголовного процессов установлен Процессуально-исполнительным кодексом об административных правонарушениях (далее - ПИКоАП) и Уголовно-процессуальным кодексом.

Оперативно-розыскная деятельность регулируется Законом Республики Беларусь от 15.07.2015 № 307-З «Об оперативно-розыскной деятельности».

3. В рамках осуществления правосудия и исполнительного производства

Правосудие, согласно законодательству, может осуществлять исключительно суд. На этом основании допускаются два случая обработки персональных данных:

1. Осуществление правосудия.
2. Исполнительное производство.

Например, абзацем четвертым ч. 2 ст. 71 Кодекса Республики Беларусь «О судоустройстве и статусе судей» предусмотрено, что для осуществления правосудия судья имеет право на доступ, в том числе удаленный, к информационным системам, содержащим персональные данные, может запрашивать и получать в установленном порядке на безвозмездной основе от государственных органов и иных организаций без письменного согласия граждан сведения из информационных систем, содержащих персональные данные и др.

4. В рамках контрольной (надзорной) деятельности

Обработка персональных данных без согласия допускается в целях контроля в соответствии с законодательными актами. И основной из них — Указ Президента Республики Беларусь от 16 октября 2009 г. № 510 «О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь». В нем предусмотрено два вида контроля — государственный и общественный.

В частности, в п. 4 Положения о порядке организации и проведения проверок, утвержденного Указом № 510, предусмотрено, что контролирующие (надзорные) органы и проверяющие в пределах своей компетенции вправе получать доступ к базам и банкам данных проверяемого субъекта с учетом требований законодательства об информации, информатизации и защите информации и др.

5. В рамках борьбы с коррупцией и терроризмом

Необходимые сведения о персональных данных обязаны передаваться, согласно Закону Республики Беларусь от 30 июня 2014 г. № 165-З«О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения».

6. В рамках выборных процессов, проведения референдумов

Обработка персональных данных, если она обоснована нормами законодательства о выборах, референдуме, может проводиться без согласия человека.

7. В рамках государственного социального и пенсионного страхования

Персональные данные обрабатываются в процессе организации и ведения индивидуального (персонифицированного) учёта сведений о застрахованных лицах органами Фонда социальной защиты населения Министерства труда и социальной защиты Республики Беларусь. На него эти функции возложены Указом Президента Республики Беларусь от 16 января 2009 г. № 40 «О фонде социальной защиты населения Министерства труда и социальной защиты».

8. В рамках трудовой (служебной) деятельности

Персональный данные обрабатываются при оформлении трудовых (служебных) отношений, в том числе и при трудоустройстве в организацию или в процессе работы в ней.

Исключения: рассмотрение резюме, а также ситуация, когда обработка персональных данных работника проводится во время его работы в организации, но не связана непосредственно с его трудовой функцией.

9. В рамках нотариальной деятельности

В соответствии со ст. 24 Закона Республики Беларусь от 18 июля 2004 г. № 305-З «О нотариате и нотариальной деятельности», нотариусы наделены полномочиями истребовать и получать, в установленном законодательными актами порядке, сведения и (или) документы, необходимые для осуществления нотариальной деятельности, изготавливать копии документов и выписки из них и др.

Также обрабатывать персональные данные при осуществлении нотариальной деятельности могут уполномоченные должностные лица местных исполнительных и распорядительных органов, а также загранучреждений.

10. В рамках миграционных процессов и получения гражданства

Порядок рассмотрения вопросов предоставления гражданства, статуса беженства, обязанности, полномочия и порядок взаимодействия участвующих в этом государственных органов регламентированы Законом Республики Беларусь от 1 августа 2002 г. № 136-З «О гражданстве Республики Беларусь» и Законом Республики Беларусь от 23 июня 2008 г. № 354-З «О предоставлении иностранным гражданам и лицам без гражданства статуса беженца, дополнительной защиты, убежища и временной защиты в Республике Беларусь».

На ответственные органы возложены полномочия, связанные с обработкой персональных данных, например, по приему заявлений, проверке представленных в обоснование заявления фактов и документов.

11. В рамках назначения и выплаты пенсий, пособий и денежного содержания

Указанное основание применимо при обработке персональных данных государственными органами и иными организациями, осуществляющими назначение и выплату любых предусмотренных законодательством пенсий, пособий, ежемесячного денежного содержания для отдельных категорий госслужащих.

Например, органами по труду, занятости и социальной защите — при назначении и выплате пенсий в соответствии с Законом Республики Беларусь от 17 апреля 1992 г. № 1596-XII «О пенсионном обеспечении».

12. В рамках государственных статистических наблюдений

Персональные данные могут обрабатываться для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации только органами государственной статистики или иными государственными организациями, уполномоченными на ее ведение. Это может быть сделано исключительно для целей государственной статистики.

13. В рамках исследовательской деятельности

Указанное правовое основание может быть применено только при одновременном соблюдении двух условий:

1. Персональные данные обрабатываются в научных или иных исследовательских целях.
2. Персональные данные обезличены.

Научные цели должны отвечать критериям научной деятельности в соответствии с Законом Республики Беларусь от 21 октября 1996 г. № 708-XIII «О научной деятельности».

Термина «исследовательские цели» нет в законодательстве, однако, это основание не может применяться при обработке данных в рамках рекламной деятельности, т.е. для привлечения внимания к объекту рекламирования.

14. В рамках расчетных процедур по ЖКУ

А именно — при учете, расчете и начислении платы за жилищно-коммунальные услуги, платы за пользование жилым помещением и возмещения расходов на электроэнергию, платы за другие услуги и возмещения налогов, а также при предоставлении льгот и взыскании задолженности по таким платам.

Обрабатывать персональные данные в этом случае могут только организации, в полномочия которых входит соответствующая деятельность.

15. На основании заключенного договора

Договор (в том числе пользовательское соглашение, оферта/публичная оферта о заключении договора, регистрация учетной записи в системе дистанционного банковского обслуживания) может являться основанием на обработку персональных данных.

Оно применяется как в случае обработки персональных данных на основании заключенного договора, так и на стадии заключения договора. И остается актуальным, даже если в итоге договор с субъектом персональных данных может быть не заключен.

16. В рамках подписанного документа, адресованного оператору

Персональные данные обрабатываются только если документ адресован непосредственно организации и подписан субъектом персональных данных любым способом, позволяющим установить достоверность этой подписи.

Обрабатываются только те данные и только в тех целях, которые указаны в документе.

17. В рамках законной деятельности журналиста и СМИ

Указанное основание может быть использовано в деятельности журналиста, средства массовой информации, а также организации, осуществляющей издательскую деятельность.

Однако, обработка персональных данных без согласия в этом случае допускается только при преобладании общественных интересов над личными правами.

Основание неприменимо для блогеров и информационных ресурсов, не зарегистрированных в качестве сетевого издания.

18. В рамках защиты жизни, здоровья и других жизненно важных интересов

Для применения этого основания необходимо одновременное соблюдение двух условий:

1. Обработка персональных данных необходима для целей защиты жизни, здоровья или иных жизненно важных интересов либо самого субъекта персональных данных, либо иных лиц.
2. Получение согласия субъекта персональных данных на обработку персональных данных невозможно.

Это основание применяется в очень редких ситуациях, когда есть прямая угроза жизни, например, при оказании неотложной медицинской помощи, в гуманитарных целях или в чрезвычайных ситуациях гуманитарного характера и пр.

19. В рамках обработки персональных данных, распространенных до запрета на эту процедуру

Обрабатываться могут только общедоступные персональные данные, которые были распространены ранее на законных основаниях, то есть до момента заявления о прекращении их обработки.

При этом такое основание не даёт права на обработку персональных данных, распространенных в результате совершения преступления, правонарушения.

Если человек потребовал прекращения обработки его распространенных персональных данных или их удаления, обработка должна быть прекращена, если нет иных оснований для обработки.

20. При необходимости выполнения обязанностей, предусмотренных законодательными актами

Обработка персональных данных может быть необходима для выполнения обязанностей, предусмотренных законодательными актами, и может проводиться как государственными органами для выполнения своих задач и функций, так и иными организациями при выполнении возложенных на них обязанностей.

Эти обязанности могут быть прямо предусмотрены как законодательными актами, так подзаконными актами.

21. В рамках прямого требования законодательства

Обработка персональных данных может прямо предусматриваться законами и законодательными актами. Например, Закон Республики Беларусь от 28 октября 2008 г. № 433-З «Об основах административных процедур» в п. 2 ст. 20 предусматривает, что обработка персональных данных граждан при осуществлении административных процедур проводится без их письменного согласия с соблюдением требований, определенных законодательными актами, по защите информации, распространение и (или) предоставление которой ограничено.