С того момента, как государство стало активно контролировать все операции, которые осуществляются с ПДн граждан, у компаний и предпринимателей появилось множество обязанностей по обеспечению информационной защиты. К сожалению, не всегда законодательная база оказывается достаточно конкретной, чтобы определиться, под какую категорию подпадают те или иные виды сведений. Однако без четкого понимания, как идентифицировать данные, оператор не может грамотно выстроить систему безопасности ИСПДн, что, в свою очередь, приводит к возникновению конфликтов с контролирующими структурами, сотрудниками, клиентами и партнерами.
Среди распространенных вопросов — относится ли ФИО к персональным данным. На первый взгляд, все очевидно, ведь имя и фамилия указаны в перечне, представленном в ФЗ-152, но там же есть упоминание о том, что к ПДн относится только та информация, которая дает возможность установить личность субъекта. Но как быть, если по ним нельзя осуществить идентификацию? Ответ неоднозначный и зависит от того, с какой точки зрения рассматривать ситуацию: с фактической (как есть на самом деле) или с юридической (как определено в действующей нормативно-правовой базе). Одно можно сказать точно — выяснить детали регулирования этого вопроса нужно обязательно, чтобы:
- с учетом того, являются ли имя и фамилия персональными данными, разрабатывать локальную документацию в отношении работы с личной информацией граждан;
- правильно выстроить механизм взаимодействия с разными субъектами ПДн в рамках одной или нескольких информационных систем;
- обезопасить конфиденциальные данные от неправомерных действий со стороны сотрудников предприятия или третьих лиц;
- подготовить текст соглашения на обработку таким образом, чтобы в будущем не пришлось отстаивать свою позицию в суде или выплачивать серьезные штрафы;
- не оказаться в центре скандала как недобропорядочный оператор и не потерять клиентуру вместе с потенциальной прибылью;
- оптимизировать работу кадрового отдела, бухгалтерии и других служб, которые задействованы на разных этапах работы с ПДн.
Принимая во внимание тот факт, что санкции за незаконную, чрезмерную обработку ПДн и другие нарушения в отношении личных сведений постоянно ужесточаются, имеет смысл урегулировать проблему на начальном этапе деятельности, а еще лучше — поручить это профессионалам. Специалисты быстро и тщательно проанализируют ситуацию, дадут рекомендации и проконтролируют приведение вашего бизнеса в соответствие с действующими требованиями ФЗ-152, постановлениями Правительства РФ и положениями подзаконных актов.
Общий взгляд на проблему
Если определять, являются ли фамилия и инициалы персональными данными, исключительно по тому, как расшифровывается термин ПДн в ФЗ-152, то ответ будет однозначно положительным. Аналогичная ситуация, если ориентироваться на:
- закон «О связи», где к сведениям об абонентах также относят домашний адрес, псевдоним, логин с паролем и прочую информацию, на основе которой можно понять, о каком гражданине идет речь;
- разъяснения Центробанка России;
- постановления ФСТЭК и Роскомнадзора.
В некоторых нормативно-правовых актах указано о недопустимости разглашения места регистрации или фактического проживания. Так что на вопрос, является ли адрес персональными данными без ФИО, ответ тоже «да».
Согласно последним разъяснениям регулятора, банковские структуры и микрофинансовые организации не имеют права оставлять в почтовых ящиках квитанции в таком виде, который бы позволял идентифицировать гражданина. Те же правила действуют в отношении корреспонденции от коммунальных служб.
Всегда ли фамилия, имя, отчество являются персональными данными?
Необходимость обеспечить безопасность полученных офлайн или онлайн личных сведений заставляет многих операторов придумывать способы обойти законодательные требования. Один из вариантов — создать ситуацию, когда одни положения ФЗ будут вступать в противоречие с другими, например, использовать только часть полученной информации. Но имя — это персональные данные даже без фамилии, то же самое касается фамилии без имени. Регулирующие органы четко определяют, что все сведения, поступающие на обработку от субъекта после подписания им согласия, являются ПДн. Соответственно, их нужно обезопасить от несанкционированного распространения, копирования, изменения, блокировки, уничтожения и использования. Ответственность за несоблюдение требований ФЗ-152 несут как юридические, так и индивидуальные предприниматели.
А вот в разъяснении ЦБ России есть пометка, что имя без фамилии (или наоборот) может считаться личностным идентификатором, только при наличии привязанных к нему реквизитов паспорта, водительских прав и прочих документов.
Когда имя и фамилия не являются персональными данными?
Наличие исключений характерно для большинства российских законов, но в ситуации с ПДн, а точнее — ФИО как вида персональных данных, они отсутствуют. Абсолютно все сведения о человеке относятся к личной информации, и это в свое время было одним из условий вступления нашей страны во Всемирную торговую организацию. Хотя, по мнению некоторых экспертов, все не так однозначно, поскольку:
- в компании могут работать или обслуживаться сразу несколько однофамильцев;
- население России огромное, поэтому несложно найти тысячи людей, у которых совпадают не только имена и фамилии, но даже отчества;
- узнать фамилию, имя и отчество гражданина не составляет никакого труда — достаточно открыть социальные сети или воспользоваться поисковой системой.
При этом даже имя без фамилии нельзя назвать обезличенным, ведь в век прогрессирующих компьютерных технологий его вполне достаточно, чтобы установить обладателя. С другой стороны, каждый оператор может в целях улучшения безопасности ИСПДн воспользоваться предлагаемыми регулятором методами снижения значительной идентифицированности ПДн. Среди них:
- маркировка учетных записей с помощью особых меток, которые позволяют найти о субъекте полную информацию в общей базе при наличии соответствующего доступа;
- частичная замена данных;
- перемешивание ПДн, которые относятся к разным субъектам;
- разделение большого массива информации на несколько частей, которые хранятся отдельно друг от друга.
Фактически, есть только два случая, когда в отношении инициалов и фамилий не применяются основные нормы ФЗ-152 — если это общедоступные сведения (тогда они должны соответствовать ряду критериев) либо их применяют в статистических целях.
Почему возникает вопрос, являются ли ФИО персональными данными гражданина
Преимущественно дискуссии инициируют те операторы, которые недовольны значительным списком требований в отношении защиты ПДн, используемых в рамках их коммерческой деятельности. Но позиция государства четкая, и даже весомые на первый взгляд аргументы не принимаются во внимание при рассмотрении судебных дел, назначении штрафных санкций и урегулировании конфликтов с Центральным банком. Поэтому игнорировать актуальные требования ФЗ-152 нельзя.
Подводя итоги, отметим, что ФИО — персональные данные, в отношении которых необходимо предпринимать меры защиты, чтобы не нарушить права субъекта и не понести предусмотренное действующими законами наказание.