Ключевые понятия в сфере персональных данных: разбираемся вместе детально

I. Базовые определения в сфере персональных данных

Персональные данные (ПДн) – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту персональных данных). Проще говоря, это те сведения, по которым можно понять, о ком именно идет речь. Примеры включают:

• Фамилия, имя, отчество (ФИО);
• Дата и место рождения;
• Адрес места жительства или пребывания;
• Номер телефона (домашний, мобильный);
• Адрес электронной почты;
• Фотографии и видеоизображения, позволяющие идентифицировать личность;
• Паспортные данные;
• СНИЛС, ИНН;
• Сведения об образовании, профессии, доходах (в определенных контекстах);
• Геолокационные данные;
• IP-адрес, файлы cookie, MAC-адрес устройства, если они позволяют однозначно идентифицировать пользователя или его устройство и связать с конкретным лицом.

Субъект персональных данных – это физическое лицо, к которому относятся персональные данные и которое можно идентифицировать по этим данным. То есть, это вы, ваши клиенты, сотрудники, посетители сайта – любой человек, чьи данные обрабатываются.

Оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных. Оператор также определяет цели обработки ПДн, состав данных, подлежащих обработке, и действия (операции), совершаемые с ними. Любая компания, собирающая данные клиентов или сотрудников, является оператором.

Обработка персональных данных – это любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. Сюда входят:

• Сбор: получение ПДн непосредственно от субъекта или из других источников.
• Запись: фиксация ПДн на материальных носителях или в информационных системах.
• Систематизация: упорядочивание ПДн по определенным критериям.
• Накопление: сбор и хранение ПДн для последующего использования.
• Хранение: обеспечение сохранности ПДн в течение определенного срока.
• Уточнение (обновление, изменение): внесение изменений в ПДн для поддержания их актуальности и точности.
• Извлечение: получение ПДн из баз данных или других мест хранения.
• Использование: применение ПДн для достижения целей, заявленных при их сборе.
• Передача (распространение, предоставление, доступ): раскрытие ПДн третьим лицам.
  • Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (например, публикация в интернете, СМИ). Требует отдельного согласия на распространение.
  • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
  • Доступ к персональным данным – возможность ознакомления с персональными данными определенными лицами.
• Обезличивание: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Обезличенные данные могут использоваться, например, для статистики.
• Блокирование: временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения ПДн).
• Удаление: действия, приводящие к физическому стиранию ПДн с носителей.
• Уничтожение: действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители ПДн.

II. Категории персональных данных и особенности их обработки

Общедоступные персональные данные – это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Сюда же относятся данные, которые подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом. Примером могут служить данные из открытых справочников, если субъект дал согласие на их включение.

Специальные категории персональных данных – это данные, касающиеся:

• Расовой принадлежности;
• Национальной принадлежности;
• Политических взглядов;
• Религиозных или философских убеждений;
• Состояния здоровья (например, диагнозы, сведения об инвалидности);
• Интимной жизни.

Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн. К ним относятся, например:

• Фотография (если используется для идентификации, например, в пропускной системе);
• Отпечатки пальцев;
• Изображение радужной оболочки глаз;
• Данные ДНК;
• Запись голоса (если используется для идентификации).

Файлы cookie (куки) – это небольшие текстовые файлы, которые веб-сайты сохраняют на вашем компьютере или мобильном устройстве при их посещении. Сами по себе cookie не всегда являются ПДн, но если они содержат идентификаторы, которые позволяют связать действия пользователя на сайте с конкретным физическим лицом (особенно в сочетании с другими данными, такими как IP-адрес, данные учетной записи), то они могут рассматриваться как персональные данные. Операторы сайтов должны информировать пользователей об использовании cookie и, в ряде случаев, получать согласие на их использование, особенно если cookie используются для отслеживания поведения и персонализированной рекламы.

III. Правовые основы обработки персональных данных

Согласие на обработку персональных данных – это добровольное, конкретное, информированное, сознательное и однозначное решение субъекта персональных данных, посредством которого он разрешает оператору обрабатывать его ПДн в заявленных целях. Согласие может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (например, для специальных категорий и биометрических ПДн требуется письменная форма).

• Предметность и информированность: согласие должно быть дано на обработку конкретных данных для конкретных, заранее определенных и законных целей.
• Сознательность и однозначность: субъект должен понимать, на что он дает согласие. Не допускается получение согласия по умолчанию или путем введения в заблуждение.
• Свобода воли: согласие должно быть дано свободно, без принуждения.
• Возможность отзыва: субъект имеет право в любой момент отозвать свое согласие. Отзыв согласия не должен быть сложнее, чем его предоставление.

Политика обработки персональных данных (Политика конфиденциальности) – это документ, который оператор обязан разработать и опубликовать (или иным образом обеспечить неограниченный доступ к нему), если он осуществляет сбор ПДн, в том числе через интернет. В Политике должны быть указаны:

• Сведения об операторе;
• Цели сбора ПДн;
• Правовые основания обработки ПДн;
• Объем и категории обрабатываемых ПДн, категории субъектов;
• Порядок и условия обработки ПДн (включая сроки обработки и хранения);
• Информация об обеспечении безопасности ПДн;
• Права субъектов ПДн;
• Порядок актуализации, исправления, удаления и уничтожения ПДн.

Трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу. Перед началом такой передачи оператор обязан убедиться, что иностранное государство обеспечивает адекватную защиту прав субъектов ПДн. Если адекватная защита не обеспечивается, передача возможна только при наличии письменного согласия субъекта или в иных случаях, предусмотренных законом.

Локализация баз данных – требование законодательства РФ, согласно которому при сборе персональных данных российских граждан оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.

IV. Обеспечение безопасности персональных данных

Информационная система персональных данных (ИСПДн) – это совокупность персональных данных, содержащихся в базах данных, и обеспечивающих их обработку информационных технологий и технических средств.

Уровни защищенности персональных данных (УЗ) – это комплексная оценка необходимости применения мер защиты ПДн в ИСПДн в зависимости от угроз безопасности, типа обрабатываемых данных и их объема. Постановлением Правительства РФ №1119 от 01.11.2012 установлены 4 уровня защищенности. Определение УЗ является обязанностью оператора и влияет на выбор конкретных организационных и технических мер защиты.

Организационные и технические меры защиты ПДн – это комплекс мероприятий, которые оператор обязан принять для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. К ним относятся:

• Назначение ответственного за организацию обработки ПДн.
• Разработка и утверждение локальных актов по вопросам обработки и защиты ПДн.
• Применение прошедших процедуру оценки соответствия средств защиты информации.
• Учет машинных носителей ПДн.
• Выявление фактов несанкционированного доступа к ПДн и принятие мер.
• Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа.
• Установление правил доступа к ПДн, обрабатываемым в ИСПДн.
• Контроль за принимаемыми мерами по обеспечению безопасности ПДн.

Ответственный за организацию обработки персональных данных (DPO - Data Protection Officer, аналог в РФ) – лицо, назначаемое оператором (являющимся юридическим лицом) и отвечающее за организацию обработки ПДн в соответствии с требованиями законодательства. Он осуществляет внутренний контроль за соблюдением оператором и его работниками законодательства РФ о ПДн.

Уведомление Роскомнадзора об обработке персональных данных – до начала обработки ПДн оператор (за некоторыми исключениями) обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку ПДн. Форма уведомления и порядок его подачи установлены Роскомнадзором.

Утечка персональных данных – инцидент, в результате которого ПДн становятся доступными лицам, не имеющим на это права. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента уведомить Роскомнадзор.

V. Права субъекта персональных данных и ответственность за нарушения

Каждый человек, чьи персональные данные обрабатываются, имеет определенные права, гарантированные законодательством. К ним относятся:

• Право на получение информации, касающейся обработки его ПДн: вы можете запросить у оператора сведения о наличии у него ваших данных, целях и способах их обработки, сроках, лицах, имеющих доступ к данным, и иную информацию, предусмотренную законом.
• Право на доступ к своим персональным данным: вы вправе ознакомиться с вашими ПДн, которые обрабатывает оператор.
• Право на уточнение (изменение, дополнение) своих персональных данных: если ваши данные неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки, вы вправе требовать их исправления или дополнения.
• Право на блокирование или уничтожение своих персональных данных: в случаях, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• Право на отзыв согласия на обработку персональных данных: вы можете в любой момент отозвать ранее данное согласие, если обработка осуществлялась на его основании.
• Право на принятие предусмотренных законом мер по защите своих прав.
• Право на обжалование действий (бездействия) оператора: если вы считаете, что ваши права при обработке ПДн нарушены, вы можете обратиться в Роскомнадзор или обжаловать действия (бездействие) оператора в судебном порядке.
• Право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке в случае нарушения ваших прав при обработке ПДн.

За нарушение законодательства о персональных данных предусмотрена различная ответственность:

• Дисциплинарная: для работников, по вине которых произошло нарушение (замечание, выговор, увольнение).
• Материальная: обязанность работника возместить причиненный работодателю прямой действительный ущерб.
• Гражданско-правовая: возмещение убытков и компенсация морального вреда, причиненного субъекту данных.
• Административная: в виде штрафов, налагаемых Роскомнадзором и судом. Размеры штрафов могут быть очень существенными (достигать миллионов рублей), особенно за повторные нарушения, обработку без согласия, невыполнение требований по локализации, утечки данных. Ожидается дальнейшее ужесточение ответственности, включая введение оборотных штрафов.
• Уголовная: за наиболее серьезные нарушения, такие как неправомерный доступ к охраняемой законом компьютерной информации (ст. 272 УК РФ), нарушение неприкосновенности частной жизни (ст. 137 УК РФ), неправомерный оборот средств платежей (ст. 187 УК РФ).

VI. Часто задаваемые вопросы (FAQ)

Что именно относится к персональным данным, а что нет?

Ключевой критерий – возможность идентифицировать конкретное физическое лицо. Например, просто имя "Иван" не является ПДн, но "Иван Иванов, проживающий по адресу..." или "телефон +79001234567, принадлежащий Ивану П." – уже ПДн. Обезличенные данные или статистическая информация, не позволяющая выделить конкретного человека, ПДн не являются.

Всегда ли нужно мое письменное согласие на обработку моих данных?

Письменное согласие требуется в строго определенных случаях: при обработке специальных категорий ПДн, биометрических ПДн, при трансграничной передаче в страны, не обеспечивающие адекватной защиты, а также при включении ПДн в общедоступные источники. В остальных случаях согласие может быть дано в любой форме, позволяющей подтвердить факт его получения (например, проставление галочки на сайте, конклюдентные действия), если иное не установлено законом. Однако оператор должен быть готов доказать, что согласие было получено.

Что делать, если мои персональные данные утекли или я подозреваю их незаконное использование?

Если вы узнали об утечке своих данных от оператора, он обязан также уведомить Роскомнадзор. Вы имеете право требовать от оператора блокирования или уничтожения ваших данных, если они обрабатываются незаконно, а также обратиться за защитой своих прав в Роскомнадзор или суд, в том числе с требованием о возмещении убытков и компенсации морального вреда.

Как я могу отозвать свое согласие на обработку персональных данных и какие последствия?

Вы вправе отозвать согласие в любой момент, подав соответствующее заявление оператору в той форме, которая была предусмотрена для его дачи, или в простой письменной форме. Оператор обязан прекратить обработку ваших ПДн (или обеспечить прекращение такой обработки) и уничтожить данные в установленный законом срок, если отсутствуют иные законные основания для их обработки (например, исполнение договора или требований законодательства).

Обязана ли компания размещать Политику конфиденциальности на своем сайте?

Да, если компания (оператор) осуществляет сбор персональных данных, в том числе с использованием сети "Интернет", она обязана опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки персональных данных. Отсутствие такой политики является нарушением.

Мы надеемся, что этот расширенный глоссарий стал для вас еще более полезным и информативным ресурсом в мире персональных данных. Помните, что знание своих прав и обязанностей операторов – ключ к вашей информационной безопасности.

Список используемых источников:

1. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 08.08.2024) "О персональных данных"
2. Статья 13.11 КоАП РФ. Нарушение законодательства Российской Федерации в области персональных данных
3. Статья 272.1 - Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 28.12.2024) (с изм. и доп., вступ. в силу с 08.01.2025)
4. Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
5. Информация Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов персональных данных"
6. Штрафы Роскомнадзора за персональные данные: как избежать и что делать, если проверка уже началась?
7. Изменения в обработке и защите персональных данных в 2025 году - ESphere.ru

Дополнительная информация в области персональных данных:

• Законодательство
• Судебная практика
• Статьи

Важное примечание: Законодательство и его толкование могут меняться. При использовании этого глоссария в практической деятельности рекомендуем всегда сверяться с актуальными редакциями нормативно-правовых актов и, при необходимости, обращаться за юридической консультацией. Ссылки на внешние ресурсы предоставлены для ознакомления и могут со временем становиться неактуальными.