Персональные данные: защита и обработка данных

Что такое персональные данные

Персональные данные представляют собой любую информацию, относящуюся к физическому лицу, которое может быть идентифицировано или сделано идентифицируемым. Это определение лежит в основе законодательства о защите данных во многих странах, включая Бразилию, где действует Lei Geral de Proteção de Dados (LGPD). Согласно статье 5, пункту I LGPD, персональные данные — это информация, связанная с идентифицированным или идентифицируемым физическим лицом. Идентифицируемость означает, что человека можно определить прямо или косвенно, например, по имени, идентификационному номеру, данным о местоположении, онлайн-идентификатору (вроде IP-адреса или куки) или по факторам, характерным для его физической, генетической, умственной, экономической, культурной или социальной идентичности. Таким образом, понятие персональных данных охватывает широкий спектр сведений, начиная от самых очевидных, таких как полное имя и номер паспорта, и заканчивая менее явными, как история покупок или поведенческие шаблоны.

Для обычного человека может казаться, что персональные данные ограничиваются только документами или контактной информацией. Однако на практике почти любая деталь, которая позволяет отличить одного человека от другого или связать информацию с конкретным лицом, попадает под это определение. Например, когда пользователь заходит на сайт, его устройство передает IP-адрес, который может быть использован для определения географического положения. Даже если сайт не знает имени посетителя, этот IP-адрес уже считается персональными данными, потому что он может быть соединен с другими сведениями для идентификации. Понимание этого важно как для граждан, которые хотят контролировать свою информацию, так и для организаций, которые обязаны соблюдать законы о защите данных.

Основные категории персональных данных

Персональные данные делятся на две основные категории: обычные персональные данные и чувствительные персональные данные. Обычные данные включают такие сведения, как имя, фамилия, адрес электронной почты, номер телефона, дата рождения, адрес проживания, номер CPF (аналог ИНН в Бразилии) или RG, а также данные банковских карт. Эти данные широко используются в повседневной жизни для регистрации на сайтах, оформления покупок или получения услуг. Их обработка обычно требует согласия субъекта данных, но в некоторых случаях возможна без согласия, если это необходимо для выполнения договора или соблюдения юридических обязательств.

Персональные данные: защита и обработка данных - 1

Чувствительные персональные данные представляют собой особую подкатегорию, которая затрагивает наиболее интимные аспекты жизни человека. Согласно статье 5, пункту II LGPD, к ним относятся сведения о расовом или этническом происхождении, религиозных убеждениях, политических взглядах, членстве в профсоюзе, состоянии здоровья, сексуальной жизни, а также генетические или биометрические данные, когда они связаны с физическим лицом. Обработка таких данных требует более строгих мер защиты и, как правило, возможна только при явном согласии субъекта или в специально оговоренных законом случаях, например, для защиты жизни или здоровья. Некорректное обращение с чувствительными данными может привести к дискриминации или серьезным нарушениям прав человека.

Примеры персональных данных в повседневной жизни

Чтобы лучше понять, какие именно сведения считаются персональными данными, полезно рассмотреть конкретные примеры. В таблице ниже приведены распространенные типы данных и их категории.

Тип данных Пример Категория
Идентификационные Имя, фамилия, номер CPF, номер паспорта Обычные
Контактные Адрес электронной почты, номер телефона, почтовый адрес Обычные
Финансовые Номер банковской карты, история транзакций Обычные
Онлайн-идентификаторы IP-адрес, куки, идентификатор устройства Обычные
Биометрические Отпечатки пальцев, сканирование лица, радужная оболочка глаза Чувствительные
Данные о здоровье Медицинские записи, результаты анализов, инвалидность Чувствительные
Демографические Раса, этническое происхождение, религия Чувствительные
Поведенческие История покупок, привычки, предпочтения Обычные

Как видно из таблицы, даже такие, казалось бы, безобидные данные, как история покупок, являются персональными. Они могут быть использованы для создания профиля потребителя, что несет риски для приватности. Особенно осторожно нужно обращаться с чувствительными данными, так как их утечка может иметь более серьезные последствия.

Персональные данные: защита и обработка данных - 2

Обработка персональных данных

Обработка персональных данных — это любое действие или совокупность действий, совершаемых с данными, будь то сбор, хранение, использование, передача, распространение или удаление. LGPD в статье 5, пункте X, определяет обработку очень широко, чтобы охватить все возможные операции. Организации, которые обрабатывают персональные данные, должны следовать определенным принципам, включая законность, добросовестность, прозрачность, ограничение цели, минимизацию данных, точность, ограничение хранения, целостность и конфиденциальность. Это означает, что данные можно собирать только для конкретных, явных и законных целей, и нельзя использовать их иначе без дополнительного согласия.

Согласие субъекта данных является одним из главных оснований для обработки. Согласие должно быть свободным, информированным и однозначным. Человек должен точно понимать, какие данные собираются, зачем и как они будут использоваться. Однако существуют другие законные основания для обработки без согласия: выполнение договора, соблюдение юридических обязательств, защита жизни, выполнение публичных задач, законные интересы контроллера или третьих лиц (за исключением случаев, когда превалируют права субъекта). Например, компания может обрабатывать данные сотрудника для выплаты зарплаты без получения отдельного согласия, так как это необходимо для исполнения трудового договора.

Права субъекта персональных данных

Цель любого закона о защите данных — дать людям контроль над их собственной информацией. LGPD предоставляет субъектам ряд прав, которые позволяют им управлять тем, как их данные обрабатываются. Вот основные права, закрепленные в законе:

Персональные данные: защита и обработка данных - 3
  • Право на подтверждение существования обработки — знать, обрабатываются ли ваши данные.
  • Право на доступ к данным — получить копию всех данных, которые о вас хранятся.
  • Право на исправление — потребовать исправить неточные или устаревшие данные.
  • Право на удаление (право быть забытым) — попросить удалить данные, если они больше не нужны или обрабатывались незаконно.
  • Право на ограничение обработки — временно приостановить обработку в определенных случаях, например, при оспаривании точности данных.
  • Право на возражение — отказаться от обработки для маркетинговых целей или на основании законных интересов.
  • Право на переносимость данных — получить свои данные в структурированном формате и передать их другому сервису.

Эти права позволяют человеку активно влиять на то, как организации используют его информацию. Например, если вы больше не пользуетесь каким-то сервисом, вы можете потребовать удалить все свои данные. Точно так же, если вы заметили ошибку в своих регистрационных данных, вы имеете право на их исправление. Компании обязаны реагировать на такие запросы в установленные сроки, обычно в течение 15 дней.

Меры защиты персональных данных

Безопасность персональных данных — это обязанность любой организации, которая с ними работает. LGPD требует от контроллеров и операторов данных принимать административные, технические и организационные меры для защиты данных от несанкционированного доступа, уничтожения, потери, изменения или распространения. Конкретные меры зависят от типа данных и рисков, но обычно включают шифрование, контроль доступа, анонимизацию, регулярное обучение сотрудников, проведение аудитов безопасности и разработку планов реагирования на инциденты.

Особое внимание уделяется чувствительным данным. Для их обработки требуется не только явное согласие, но и усиленные меры безопасности, такие как псевдонимизация и ограничение доступа строго необходимым сотрудникам. В случае утечки данных контроллер обязан уведомить Национальный орган по защите данных (ANPD) и самих субъектов, если инцидент представляет значительный риск. Нарушение правил обработки может привести к серьезным штрафам — до 2% от оборота компании в Бразилии, но не более 50 миллионов реалов за каждое нарушение. Поэтому инвестиции в защиту данных — это не просто соблюдение закона, но и способ избежать репутационных и финансовых потерь.

Персональные данные: защита и обработка данных - 4

Связь с международным контекстом

Бразильский закон о защите данных во многом схож с европейским Общим регламентом по защите данных (GDPR), который считается эталоном в этой области. Оба закона основываются на принципах прозрачности, согласия и прав субъектов. Например, право на забвение и переносимость данных были впервые введены в GDPR, а затем адаптированы в LGPD. Однако есть и отличия: в Бразилии нет понятия «представитель в ЕС», но есть требования к международной передаче данных. Компании, которые работают с данными граждан Бразилии, должны соблюдать LGPD, даже если они находятся за пределами страны.

Для российского контекста также важно понимать эти принципы, так как глобализация делает защиту данных общей задачей. Российский закон «О персональных данных» (152-ФЗ) имеет свои особенности, например, требование локализации баз данных на территории РФ, но цели у всех этих законов схожи — обеспечить контроль человека над своей информацией и предотвратить злоупотребления. Изучение опыта Бразилии и Европы помогает улучшить национальные практики.

Список литературы

Для написания данной статьи были использованы следующие источники. Официальный портал Национального органа по защите данных Бразилии (ANPD) предоставляет разъяснения о том, что такое персональные данные и как они обрабатываются. Полный текст Lei Geral de Proteção de Dados (Lei 13.709/2018) доступен на официальном сайте правительства Бразилии. Дополнительные примеры и пояснения взяты из материалов экспертных организаций.

Персональные данные: защита и обработка данных - 5

Источники:

ANPD — Perguntas frequentes sobre dados pessoais. Доступно по ссылке: gov.br/anpd.

Lei 13.709/2018 (LGPD) — Texto oficial. Доступно по ссылке: planalto.gov.br.

Judex.io — O que são dados pessoais. Доступно по ссылке: judex.io/blog/dados-pessoais.

Idec.org.br — O que são dados pessoais. Доступно по ссылке: idec.org.br/dicas-e-direitos/o-que-sao-dados-pessoais.

персональные данные защита данных обработка информации конфиденциальность кибербезопасность право
Внимание Информация носит общий характер и не является юридической консультацией.
Автор

Stefano Barcellos

Участник Visite Barbados.

« Предыдущая запись
Полное руководство по возрасту: что важно знать

Похожие записи