Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ « О персональных данных»:
· персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
· оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
· обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
· автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Абстрактные определения терминов в сочетании с нарушением юридической техники разработчиками закона сделали сферу регулирования персональных данных высокорисковой. Приходится констатировать отсутствие в нормативном акте четкого и однозначного определения ключевого понятия – персональных данных.
Суды продолжают попытки внесения корректив в толкование норм, применяя метод идентификации. Суть метода в отнесении в персональным данным такой информации, которая позволяет идентифицировать лицо. Так, к персональным данным однозначно относятся фамилия, имя, отчество, дата и место рождения, пол, адрес места жительства, сведения из документа, удостоверяющего личность, идентификационный (регистрационный, учетный) номер налогоплательщика (при наличии), семейное положение, социальное положение, образование, национальность, профессия, доходы — Однако Роскомнадзор придерживается расширительного толкования При этом ведомство не дает четкого определения, что лишь увеличивает неопределенность в этом вопросе.
Таким образом, при работе с физическими лицами риск признания действий субъекта обработкой персональных данных будет всегда. Соответственно, мы рекомендуем уведомлять Роскомнадзор о работе с персональными данными в любом случае, если вы явно не относитесь к категории исключений ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ « О персональных данных», а именно:
· ограничиваетесь использованием сведений, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
· осуществляете деятельность по обработке персональных данных исключительно без использования средств автоматизации (в практике почти не встречается в силу широкой трактовки автоматизированной обработки персональных данных);
· ведете обработку персональных данных только в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Во всех остальных случаях уведомление направить нужно. Напоминаем, что с сегодняшнего дня в силу вступает новая редакция ст. 13.11 КоАП РФ Теперь штрафы за нарушения в сфере персональных данных исчисляются сотнями тысяч и даже миллионами рублей.
Документ: ст. 3, ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ « О персональных данных», Кассационное определение Третьего кассационного суда общей юрисдикции от 23.03.2022 № 88а-4692/2022, Письмо Роскомнадзора от 20.01.2017 № 08АП-6054