Передача данных: основные виды, способы и протоколы на 2024 год

Что это такое?

Сведения о фамилии, имени, отчестве, месте и дате рождения, а также его адресе, семейном, социальном статусе, доходах и активах, образовании относят к персональной информации, которая не может становиться публичной без согласия на это самого человека. Исчерпывающее определение этого понятия указано в , принятом еще в 2006 году.

Передача данных возможна:

• трансграничная (на территорию иностранного государства);
• внутренняя (на территории РФ).

Защита данных не требуется только в том случае, когда они являются общедоступными либо обезличенными. Например, если информация о человеке размещена на его сайте или уже была использована в СМИ или других открытых источниках либо если сведения поданы в виде статистики для научных целей.

Можно ли передавать ее в другие организации?

Личную информацию о человеке передавать можно, но для этого необходимо заручиться его согласием. К примеру, работодатель должен получить от сотрудника письменное одобрение, за исключением случаев, когда передача сведений необходима в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ). Не допускается также передача информации в коммерческих целях, к примеру, для последующей рассылки спама или рекламы.

Какие данные работника охраняются законом:

• номер паспорта;
• контактные данные;
• номер свидетельства о присвоении ИНН;
• сведения о составе семьи, уровне дохода, штрафах;
• номер страхового пенсионного свидетельства;
• сведения из диплома, трудовой, медицинской книжки;
• номер водительских прав и пр.

Речь идет о сведениях, который любой работник самостоятельно передает в бухгалтерию или отдел кадров, когда оформляется на работу. Сам работодатель эту информацию не собирает. Это не должно попасть в посторонние руки, например, в базу данных клиентов телефонной компании или любой другой коммерческой компании.

Работодатель также не вправе требовать отчета о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им своих обязанностей. Сведения о человеке (заполненная им анкета, личная карточка, результаты аттестации и пр.) могут быть переданы только специально уполномоченным лицам.

Личные сведения передаются и при регистрации в онлайн-магазинах. Для этого покупатель всегда ставит галочку в онлайн-форме договора о своем согласии. Передается информация и в других случаях: от устройства ребенка в школу и до получения кредита.

Даже если вы хотите подписаться на рассылку, где требуется предварительно заполнить анкету со сведениями о ваших доходах, семейном положении и прочем, необходимо будет давать согласие на обработку и хранение всех перечисленных сведений.

Кому можно получать?

Передавать данные можно всем, кто их запрашивает в рамках заключения договора (в том числе трудового) или другой деятельности.

Наиболее часто мы передаем данные банку, страховщику, лизинговой компании и другим коммерческим организациям, с которыми оформляем письменный договор. Защита информации о вкладах, кредитах и других договорах клиента очень важна, так как любая утечка может привести к взлому карточного или другого счета либо нарушить банковскую тайну клиента.

По законодательству вся информация об операциях клиента банка должна храниться на электронных носителях не менее пяти лет. В случае отзыва у банка лицензии, электронные носители должны быть переданы в Банк России. Защищаются только данные физлиц, поскольку на компании действие закона не распространяется.

Данные клиентов хранятся в системе Клиент-Банк, перевода денег, а также на сайте компании и других ресурсах. Для защиты сведений в банковских и других структурах используются самые разные технические и организационные меры, например, подсистемы контроля доступа, регистрации, межсетевой безопасности, антивирусные меры, средства для обнаружения вторжений. Операторы шифруют свои архивы, документы, каналы связи и используют пакетную коммутацию MPLS.

Процедура отправки

Передать данные очень просто. Если требуется согласие, то его нужно дать в письменной форме или в виде электронной записи. Однако учтите, что регистрируясь на сайте интернет-магазина, нельзя передавать пин-коды карты.

Как передать данные третьим лицам:

1. Определиться с набором сведений, которые будут переданы.
2. Дать согласие на передачу.
3. Получить информацию о возможном отзыве согласия (например, адрес электронной почты, куда можно направить заявление в случае, если вы передумаете).

После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее.

Подготовка документов

Основной документ, подтверждающий готовность передать персональные сведения о себе, называется письменное согласие.

Это может быть документ, в котором указывается дата, персональные данные и контакты, а также дается разрешение на их передачу. Либо пользователь принимает его путем регистрации на сайте или подачи заявки на получение товара или услуги. В последнем случае достаточно будет просто поставить отметку напротив соответствующей фразы.

Письменное согласие включает в себя:

• Ф.И.О., адрес, номер паспорта;
• наименование и адрес оператора;
• цель обработки, перечень данных и действий с ними;
• срок, в течение которого действует согласие, а также порядок его отзыва.

Согласие дается на срок действия договора и в течение 5 лет после его окончания. Отзыв согласия может быть произведен в письменной форме не ранее даты прекращения договора или даты исполнения обязательств в соответствии с ним.

Согласие дается на целый ряд действий: от сбора до уничтожения и трансграничной передачи. Обработка осуществляется путем хранения, записи на электронные носители и их хранение, составления перечней, маркировки. Если вы регистрируетесь на сайте, то оператор должен разъяснить, как может быть отозвано согласие и что для этого нужно сделать.

Трудовой договор

При заключении письменного договора с работодателем иногда дается одновременное согласие на передачу данных. Оформляется оно в виде отдельного пункта соглашения. Подписывая договор, работник одновременно дает согласие. В пунктах соглашения может быть отражено, какие именно данные будут обрабатываться.

Согласие работника действует со дня заключения договора до прекращения трудовых отношений и может быть отозвано. После заключения договора, сведения о работнике можно, например, публиковать на сайте компании (например, информацию об образовании, возрасте и пр.).

Каналы

Передавать данные можно из рук в руки, когда вы заключаете письменный договор, по открытым каналам связи (например, по телефону), а также по электронной почте. Передача может осуществляться внутри страны или за ее пределами (трансграничный вариант). Прежде чем рассказывать личную информацию о себе по телефону или высылать по электронной почте стоит убедиться, что это действительно необходимо и безопасно.

Слои протоколов

Передача цифровых данных модемом реализована в 1940 году. Сети появились 25 лет спустя.

Усложняющиеся системы связи потребовали введения новых методик описания процесса взаимодействия компьютерных систем. Концептуальная модель OSI вводит понятие протокольных (абстрактных, реально не существующих) слоев. Структура создана усилиями инженеров Международной организации по стандартизации (ISO), регламентирована стандартом ISO/IEC 7498-1. Параллельную работу вел французский комитет CCITT. В 1983 году разработанные документы объединили, получив модель протокольных слоев.

Концепция 7-слойной структуры представлена работами Чарльза Бэчмана. Модель OSI включает опыт разработки АRPANET, EIN, NPLNet, CYCLADES. Линейка полученных слоев взаимодействует по вертикали с соседями: верхний использует возможности нижнего.

Важно! Каждому уровню OSI соответствует набор протоколов, определяемый используемой системой.

В компьютерных линиях совокупность протоколов подразделяют на слои. Бывают:

1. Физический (биты): USB, RS-232, 8P8C.
2. Канальный (кадры): PPP (включая PPPoE, PPPoA), IEEE 802.22, Ethernet, DSL, ARP, LP2P. Устаревшие: Token Ring, FDDI, ARCNET.
3. Сетевой (паеты): IP, AppleTalk.
4. Транспортный (датаграммы, сегменты): TCP, UDP, PORTS, SCTP.
5. Сеансовый: RPC, PAP.
6. Представительский: ASCII, JPEG, EBCDIC.
7. Прикладной: HTTP, FTP, DHCP, SNMP, RDP, SMTP.

Физический слой

Зачем разработчикам сто стандартов? Многие документы появились эволюционно, согласно возрастающим требованиям. Физический слой реализуют набором коннекторов, проводов, интерфейсов. Например, экранированная витая пара способна передавать высокие частоты, делая возможным реализацию протоколов битрейтом 100 Мбис/с. Оптоволокно пропускает свет, производится дальнейшее расширение спектра, возникают гигабитные сети.

Физический слой заведует схемами цифровой модуляции, физическим кодированием (формированием несущей, закладкой информации), опережающей коррекцией ошибок, синхронизацией, мультиплексированием каналов, выравниванием сигнала.

Канальный слой

Каждый порт управляется собственными машинными командами. Канальный слой показывает, как реализовать передачу форматированной информации, используя имеющееся железо. Например, PPPoЕ содержит рекомендации организации протокола PPP средствами сетей Ethernet, используемый традиционно порт – 8P8C. Эволюционной борьбой «эфирная сеть» смогла подавить соперников. Изобретатель концепции, основатель компании 3СОМ, Роберт Меткалф, сумел убедить несколько крупных производителей (Интел, DEC, Ксерокс) объединить усилия.

Попутно совершенствовались каналы: коаксиальный кабель → витая пара → оптическое волокно. Изменения преследовали цели:

• удешевления;
• повышения надежности;
• внедрения дуплексного режима;
• повышения помехоустойчивости;
• гальванической развязки;
• питания устройств посредством сетевого кабеля.

Оптический кабель повысил длину сегмента меж регенераторами сигнала. Канальный протокол больше описывает структуру сети, включая методы кодирования, битрейт, количество узлов, режим функционирования. Уровень вводит понятие кадра, реализует схемы расшифровки адреса MAC, детектирует ошибки, повторно отправляет запрос, контролирует частоту.

Сетевой

Общепринятый IP-протокол определяет структуру пакета, вводит специфический адрес из четырех групп цифр, известных сегодня каждому. Некоторые маски зарезервированы. Владельцам ресурсов присваиваются имена соответственно базам серверов DNS. Конфигурация сети во многом безразлична. Вводятся слабые ограничения. Как например, Ethernet требовал уникальности MAC-адреса. Протокол IP урезает максимальное число ПК 4,3 млрд штук. Человечеству пока что хватает.

Сетевой адрес принято делить на домены. По техническим причинам единое соответствие четырем группам цифр отсутствует. Сам интернет обозначает аббревиатура www (сокращенное название world wide web, иначе – всемирная паутина). Сегодня единообразный адрес (URL) опускает тривиальные буквы. Подразумевая – человек, открывший браузер, явно намеревается бороздить с компьютера всемирную паутину.

Транспортный

Слой далее расширяет структуру формата. Формирование сегмента TCP производит объединение пакетов, упрощая поиск потерявшейся информации, гарантируя восстановление.

Прикладной, представительский

Иерархия выше транспортного уровня может нарушаться. Например, RPC иногда опирается на HTTP. Концепция Р2P касается пиринговых одноранговых сетей. В противовес этому HTTP вводит иерархию клиент-сервер. Представительский слой раскрывает способы кодирования информации, оцифровку, сжатие, шифрование.

Что относится к персональным данным по мнению Роскомнадзора

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.

Сбор копий документов, содержащих персональные данные

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Являются ли идентификаторы персональными данными

Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.

Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.

Фотографии и видеозаписи в контексте персональных данных

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.

Профилирование и оценка личностных качеств

Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных

Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.

Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.

Например, сообщить о необходимости проверки конфликта интересов.

Передача ПД работников третьим лицам

Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (абз. 2 ст. 88 ТК РФ).

Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. В согласии нужно обязательно указать реквизиты компании (ИП), которой передаются ПД работника: наименование компании (Ф.И.О. ИП), ОГРН (ОГРНИП), ИНН, адрес места нахождения.

Если работник не дал своего согласия, передача его ПД третьему лицу невозможна. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д. Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку¹. Например, когда нужно купить авиабилеты, забронировать номер в гостинице и т.д. Другой пример – работодатель передает клиенту Ф.И.О. и номер телефона работника-курьера, который должен доставить посылку.

Остальные случаи передачи ПД без согласия будут нарушением закона. Например, когда работодатель передает ПД работника в охранную организацию для оформления пропуска.

Работодатель обязан «не сообщать ПД работника в коммерческих целях без его письменного согласия» (абз. 3 ч. 1 ст. 88 ТК РФ).

Комментарии компетентных органов о применении данного положения закона отсутствуют. Исходя из нашей практики, речь идет не столько о передаче ПД работников третьим лицам, сколько о размещении этих данных на сайте, в рекламных материалах для привлечения клиентов, а также иных действиях работодателя, направленных на увеличение прибыли. Согласие работника здесь также необходимо, поскольку размещение его ПД на сайте не связано с исполнением им своих должностных обязанностей. Примером нарушения данного положения Трудового кодекса является ситуация, когда коммерческие, медицинские и учебные организации публикуют на своих сайтах биографии сотрудников без их согласия.

Работодатель обязан «предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД работника, обязаны соблюдать режим секретности (конфиденциальности)» (абз. 4 ст. 88 ТК РФ).

Речь идет о случаях, когда работодатель получает требование о предоставлении ПД работников от организаций, у которых нет права по закону получать такие данных без согласия работника². Например, работодателю поступил запрос от другой компании, в которой его сотрудник работает по совместительству. В этом случае работодатель по основному месту работы обязан получить согласие работника, а также требовать от организации соблюдения конфиденциальности и использования полученных ПД только в целях, для которых они предоставлены.

В законе не указано, как именно должно оформляться требование о соблюдении конфиденциальности. На практике подписывается соглашение о конфиденциальности или работодатель получает от компании гарантийное письмо.

Иная ситуация, когда ПД сотрудника передаются в целях исполнения договора. Например, при передаче данных работников бухгалтерам на аутсорсе. Работодатель в таком случае обязан соблюдать требования ч. 3 ст. 6 Закона о персональных данных, а именно³:

• взять письменное согласие работника на передачу его ПД третьему лицу;
• в поручении для третьего лица указать перечень возможных действий с переданными ПД, цели обработки, требования к защите обрабатываемых ПД;
• в поручении для третьего лица установить его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке.

Ни закон, ни разъяснения Роскомнадзора ничего не говорят о форме поручения. На практике под поручением понимается отдельное положение, включенное в текст договора с третьим лицом (согласно ч. 3 ст. 6 Закона о персональных данных). Например, такое поручение может содержать договор на оказание услуг.

Ответственность за нарушения закона: штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 15 тыс. до 75 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

И придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Несмотря на передачу ПД работника третьему лицу, ответственность за их обработку несет работодатель.

Примеры из личной практики

• К нам обратилась компания, которая была оштрафована на 60 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – передача ПД работников без их согласия сторонней организации, оказывающей бухгалтерские услуги. После проверки документов выяснилось, что компания получала согласие на обработку ПД от каждого работника при заключении трудового договора, считая, что этого достаточно для передачи ПД третьим лицам.
• Региональная сеть частных медицинских клиник была оштрафована на 35 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – размещение Ф.И.О. и данных о медицинском образовании сотрудников на официальном сайте без их согласия.

Примеры из судебной практики

• Работник взыскал с работодателя компенсацию морального вреда за передачу ПД при ответе на запрос адвоката (Решение Сыктывкарского городского суда Республики Коми по делу № 2-969/2019 от 14 марта 2019 г.).
• Работодатель получил предписание от Роскомнадзора об устранении нарушений порядка передачи ПД работников третьему лицу: было неверно оформлено согласие, и в договоре с третьим лицом не указан перечень действий с ПД (постановление Арбитражного суда Московского округа по делу № А40-81171/2017 от 15 января 2018 г.).

Что такое персональные данные

Тезис 1. Сбор — не передача

На практике очень часто встречается заблуждение, что получение не европейским контролером данных от субъекта, находящимся в Европейском Союзе (далее – ЕС), является трансграничной передачей. В результате делается ошибочный вывод о необходимости выполнять требования Главы V GDPR “Передача персональных данных в третьи страны или международным организациям”. Однако получение данных от субъекта не является трансграничной передачей данных и представляет собой не что иное, как сбор данных (data collection).

Британский надзорный орган ICO определяет передачу данных как “намеренную отправку персональных данных или предоставление к ним доступа” (“intentional sending personal data, or making it accessible”)^[1].

При этом также очевидно, что передачей данных (data transfer) не является сбор данных (data collection). Об этом свидетельствует и то, что обе эти операции перечислены отдельно друг от друга в определении “обработка персональных данных” в ст. 4(2) GDPR.

Тезис 2. Трансграничный сбор оформлять как передачу не надо

Согласно ст. 44 GDPR и относящейся к ней преамбуле 101 правила Главы V GDPR распространяются именно на передачу. Следовательно, при “трансграничном сборе” данных от субъектов из Европейского союза компанией, находящейся за пределами союза, ей не нужно выполнять требования Главы V GDPR “Передача персональных данных в третьи страны или международным организациям”.

Тезис 3. Оформляются только передачи за границу ЕС

Если данные передаются компании (а не собираются ей), например, она получает персональные сведения из ЕС от своего партнера или заказчика, то Глава V становится обязательной к выполнению благодаря ст. 44 GDPR, которая говорит о передаче в третью страну или международную организацию”.

Следует обратить внимание на направление передачи: из ЕС в третью страну или международную организацию, то есть когда данные экспортируются через внешнюю границу Евросоюза. Будучи запущенной, глава V продолжит действовать на последующие передачи без учета направления: “уровень защиты физических лиц, гарантированный в Союзе настоящим Регламентом, не должен ослабляться, в том числе в случаях последующей передачи персональных данных из данной третьей страны или международной организации контролёрам, процессорам в той же или другой третьей стране или международной организации” (Преамбула 111 GDPR)

Если же данные, наоборот, передаются в ЕС, требования данной главы Регламента не применяются, хоть на европейского импортера и продолжат действовать требования из других глав GDPR.