На практике — это любая информация, по которой можно узнать, что это вы. Прямо или косвенно. Фамилия, номер телефона, адрес, паспорт, фото, IP-адрес, история покупок, биометрия. Даже совокупность данных — если в целом она указывает на конкретного человека тоже считаются «персоналкой».
Формально термин раскрывается в Федеральном законе №152-ФЗ:
Персональные данные — это любая информация, которая прямо или косвенно относится к определённому или определяемому физическому лицу (субъекту персональных данных)
(ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
Если по этим данным можно однозначно понять, кто вы — это персональные данные, если нельзя, то они уже не считаются таковыми.
Какие действия с Вашими данными регулируются законом?
Законом регулируется не только сбор персональных данных, он контролирует весь путь данных — от начала до конца:
- сбор
- хранение
- уточнение (например, вы обновили адрес — это тоже «сбор»)
- использование
- передача (в том числе третьим лицам)
- обезличивание
- уничтожение
Любая организация, которая с этим работает — называется оператором персональных данных. Это может быть банк, сайт, клиника, управляющая компания, салон красоты. Даже если данные собираются в Excel — это всё равно попадает под закон.
Закон не запрещает всё подряд — но требует ясной цели
Организация не может собирать или использовать данные просто “на всякий случай”. Только если есть понятная цель. Например, оформить заказ, записать на приём, заключить договор. Если цель не соответствует — обработка незаконна.
Когда обработка персональных данных допускается?
Закон разрешает это в ограниченном наборе случаев:
- вы дали согласие (устно, письменно или через форму на сайте — важно, чтобы можно было подтвердить факт согласия);
- есть закон или договор, где это прямо предусмотрено;
- для госуслуг и муниципальных функций;
- в рамках судебных дел;
- для спасения жизни или здоровья;
- в статистических или исследовательских целях, если данные обезличены;
- если вы сами сделали данные общедоступными;
- в случае журналистской деятельности;
- или если этого требует другой федеральный закон.
Когда нужно письменное согласие?
В ряде случаев устного согласия недостаточно — требуется бумажный или зафиксированный документ:
- при включении данных в общедоступные источники (например, публикация на сайте компании);
- если обрабатываются специальные категории данных (например, сведения о здоровье);
- если это биометрические данные (например, ваше фото или голос);
- при трансграничной передаче данных (за пределы РФ);
- если данные используются для принятия решений, влияющих на ваши права (например, автоматическое решение о выдаче кредита).
В письменном согласии должно быть указано:
- какие именно данные собираются;
- зачем они нужны;
- что с ними будут делать;
- кто за это отвечает.
А если передумал? Можно ли отозвать согласие?
Да. По закону вы всегда можете отозвать согласие на обработку своих персональных данных.
Это не «просьба» — это ваше право!!!
Как это делается:
Отправляете письменный отзыв (или в той форме, в которой давали согласие — если, например, через сайт)
Организация обязана прекратить обработку данных, если нет других законных оснований для её продолжения;
При этом они должны удалить ваши данные или обезличить их — если обработка больше не требуется.
Важно: если обработка данных была связана с договором или законом (например, вы клиент банка или учёт ведётся по закону), то полностью прекратить её могут не всегда. Но в остальных случаях — это работает.
Отказаться можно — и нужно, если чувствуете, что данные обрабатываются лишнего или непонятно зачем.
Обезличивание: данные есть, а человека нет
Иногда данные используют, но без указания, кому они принадлежат. Например, для аналитики. Это называется обезличивание — и это законно, если человек не может быть обратно «узнан» без дополнительных сведений.
Если коротко — закон не мешает использовать персональные данные. Он просто заставляет делать это с уважением, по правилам и с Вашим участием.
Главный вопрос, который стоит задавать себе и другим: зачем им мои данные — и что с ними будет дальше? Если на него нельзя ответить — лучше не соглашаться.