На Хабре довольно много написано про Персональные Данные (их попросили именовать ПДн — да будет так). Обсуждался вопрос и на других ресурсах: toster'е (ещё тут), форумах, блогах и много где ещё, что лишь подчёркивает важность вопроса.

Чтобы стало ещё интересней — цитата Главы Роскомнадзора Александра Жарова (на этой должности он, между прочим, уже 5 лет): «… фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно.

А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных».

И, как показывает мой опыт, а также анализ материалов, вопрос о том, относится ли email к ПДн или нет? К тому же — Закон Яровой делает из ПДн просто артефакт неведомой важности.

Собственно, есть две основные позиции:

1. Да, безусловно;
2. Нет, потому что…

Для кого-то этот вопрос не актуален, но для многих — ещё как: скажем, для таких проектов как Golos, а также для сервисов, которые в принципе не хотят собирать ПДн, например, продавая VPN/proxy; одноразовые пароли доступа; виртуальные sim и т.д. О правовом статусе самих проектов — в одной из следующих публикаций, а пока — несколько поясняющих примеров.

1. admin[@]….ru — это очень старый email, который был создан одним, не известным ныне, администратором. Email не принадлежит компании, но сразу несколько лиц используют его (админ — для получения технических писем; Юрист — для ответа по старым проектам; менеджер — при регистрации на сторонних ресурсах). Кого из них идентифицирует email? Ведь в ст. 3 ФЗ №152 сказано: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», — речь идёт о лице, но не о лицах, не так ли?
2. А вот следующий пример: supp@money.yandex.ru — поддержка Яндекс.Денег, support@ridero.ru — поддержка одноимённого сервиса и подобные же email есть у многих: от обычных обменников и до банков, от интернет-магазинов и до социальных сетей. Отвечает там, как правило, человек (не всегда). И переписка может вестись годами: например, у меня в почте есть цепь, возраст которой — более 3 лет и там свыше 500 сотен писем, но я до сих пор не знаю, как именно зовут тех, кто мне отвечает. Да и не нужно мне это. Вопрос в другом support@, help@ и другие email технической и клиентской поддержки это тоже не ПДн? Вроде бы, ответ очевидный — да. А могут ли быть такие адреса на общедоступных, публичных сервисах? Безусловно: простой перебор по истории своих ящиков показал, что как раз региональные интернет-магазины этим не брезгуют, но есть ответы и от куда более крупных компаний.
3. Отдельно я бы ещё выделил email «обратных ответов»: это те, где написано что-то вроде: «это автоматическое письмо, отвечать на него не нужно». Они явно никого не идентифицируют и ПДн не являются?
4. А ещё можно вспомнить многочисленные сервисы временных email и понять, что за каких-то 30 минут у одного адреса может смениться несколько владельцев. И кого из них он будет идентифицировать, скажем, через день?

Итак, когда я как it-юрист слышу, что: «email — это персональные данные», — то у меня сразу же возникает резонный вопрос: «это общее утверждение, но при этом есть явные исключения из него, значит подобное заключение не верно?». Сразу скажу, что, например, в суде, доказать подобное будет несколько сложнее, но это вопрос уже иного плана.

Идём далее: а что же такое email/электронная почта вообще? Для начала — «технология и служба по пересылке и получению электронных сообщений», то есть изначально электронная почта не призвана кого-то и как-то определять (вообще-то я сторонник куда более верного, с позиции юридической техники, термина — идентифицировать, но и это — отдельный и большой вопрос).

И всё же в ряде случаев email может идентифицировать человека: самый распространённый случай — когда он используется в качестве АСП. Чуть подробней: ст.

160 ГК говорит о том, что «использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных „законом“, иными правовыми актами или соглашением сторон».

При этом сам email АСП сделать довольно сложно (мешает относительно открытый характер), но вот обычная пара «логин (email) — пароль» — вполне. Да и можно пойти (и многие — идут) и прийти к понятию ЭЦП, которое ныне весьма точно определено в ст. 2 ФЗ «Об электронно-цифровой подписи».

Кроме того, почта на одном домене всегда создаётся как уникальная (вопрос к хабросообществу — есть ли исключения?): скажем, admin@gmail.com дважды забить не получится, собственно, поэтому мы имеем mail.ru, inbox.ru, bk.ru, list.ru или ещё более интересную ситуацию (одновременной регистрации логина на разных доменах) в Яндекс.Почте.

К слову, именно Яндекс идёт по пути (см. его сервис «паспорт»), когда почта идентифицирует субъекта однозначно: например, к ней привязывается счёт в Яндекс.Деньгах (которые, к слову, являются вообще отдельным юридическим лицом). Да и сами гос.

органы всё чаще используют электронную почту как однозначный идентификатор граждан: скажем, можно посмотреть Приказ Роскомнадздора от 14 июня 2007 г. N ГК-389фс. Кстати, как раз позиция гос. органов доказывает, что ПДн для них — всегда совокупность данных: например, тот же email принимается, если запрос является не анонимным. Анонимные запросы (без ФИО и других идентифицирующих данных) не принимаются к рассмотрению.

Это с одной стороны.

А с другой, в тех случаях, когда email берётся, а идентификация по нему не проводится, — вопрос о ПДн можно решить иначе: изначально даже не пытаться идентифицировать лицо. К слову, в том же Golos'е есть так называемая верификация, когда происходит подтверждение личного/корпоративного блога на Хабре, собственном сайте или где-то ещё. И это — шаг к ПДн, а не от них.

Таким образом, я бы не стал утверждать, что email — это однозначно и всегда ПДн и тем более говорить, что адрес электронной почты никогда не является ПДн. Скорее на сегодняшний день, существующая формулировка ФЗ №152 и иные нормативно-правовые акты, а также позиции судебных инстанций позволяют подойти к этому вопросу с разных сторон.

Для примера: «по общему правилу юридически значимое сообщение может быть направлено с помощью электронной почты, факсимильной и другой связи, осуществлено в иной форме, соответствующей характеру сообщения и отношений и позволяющей достоверно установить, от кого оно исходило и кому адресовано», — Пункт 65 Постановления Пленума Верховного Суда РФ от 23.06.2015 № 25.

Почему же так, спросите вы? Да всё просто — сам закон даёт ответ на это: «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей» (ст. 5). Цель — то, что помогает разобраться: ПДн ли это и главное — если да, зачем используются.

И, наконец, я бы рекомендовал смотреть в сторону разрешённого лайфхака: «В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги).

В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его… иные персональные данные, сообщаемые субъектом персональных данных» (ст.

8 всё того же ФЗ №152).

P.S. Если тема продолжит быть интересной, то хотелось бы ещё обсудить: IP, ники и главное собирательное понятие «поведенческие данные» (сюда можно отнести мета-данные, запись поведения пользователей и многое другое).

Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

• фамилия, имя, отчество;
• место, дата рождения;
• место постоянной или временной регистрации;
• фотография или видеозапись человека, позволяющие идентифицировать человека;
• сведения о детях, родственниках, семейном положении;
• сведения о заработной плате;
• оценка навыков, личностных качеств;
• индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
• информация о судимостях, или их отсутствии;
• номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
• паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
• биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут.

Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.

ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

• общедоступные;
• специальные;
• биометрические;
• иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

• Немного подробнее по каждой категории.
• Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
• Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
• судимостях.

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят, передают и уничтожают.

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее.

Обработка персональных данных

Любой Договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная Оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

• сбор;
• передача;
• запись;
• хранение;
• извлечение;
• изменение;
• обезличивание;
• анализ;
• удаление.

В свою очередь, обработка может осуществляться тремя путями:

• Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
• Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
• Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.

Определить срок хранения документа онлайн

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

• обработка ПД, несовместимая с целью сбора — Штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
• обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
• неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

• Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
• Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
• Отвечать на обращения субъектов и предоставлять им всю информацию.
• Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
• Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
• Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Смотреть, что будет, если неправильно хранить документы

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

• сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
• персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
• обработка персональных данных, находящимся в открытом доступе;
• сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
• сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
• сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует Акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Резюме бухгалтера: как составить, чтобы получить д… крыс не отпустят с корабля… Набиуллину переизберут на третий срок? Бухгалтера обманул мошенник почти на 2 миллиона ру… Расчет платежей для налога УСН 6%

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

• Юлия Беляева
• Консультант Центра информационной безопасности компании «Инфосистемы Джет»
• специально для ГАРАНТ.РУ

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс.

жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб.

Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

1. Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст.

11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

1. Что говорит Роскомнадзор?
2. На сайте службы опубликованы разъяснения1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
3. На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

• сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
• отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019).

В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия.

Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Выводы

• ФОРМА
• Согласие субъекта на обработку персональных данных
• Другие формы

Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным. Аналогичный подход все чаще встречается и в результате проверок регулятора. При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД. Поэтому рекомендуется получать согласие субъекта персональных данных. Согласие должно быть оформлено в соответствии с требованиями ст. 9 Закона № 152-ФЗ. Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима. Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.

1. Относится ли номер телефона к персональным данным?

1. Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
2. Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник».

Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца.

Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019).

Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было.

Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Выводы

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных.

Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных.

Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

1. Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

• Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
• Что говорит законодательство?
• В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

• для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

1. Что говорит Роскомнадзор?
2. На официальном сайте Роскомнадзора2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
3. По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

• персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
• не указан перечень организаций, в которые передаются персональные данные;
• требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией.

Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

Выводы

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

***

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы.

Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел.

Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора.

Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.  

_____________________________

1 С разъяснениями можно ознакомиться на официальном сайте: pd.rkn.gov.ru/press-service/subject1/news2729/.

2 С информацией можно ознакомиться на официальном сайте: rkn.gov.ru/treatments/p459/p468/.

Что относится к персональным данным?

Консультация эксперта

Закон о персональных данных ужесточили. Штрафы увеличились. Обрабатывать персональные данные без согласия субъекта нельзя. Новостные ленты пестрят страшными заголовками. Но что на самом деле относится к персональным данным, помимо фамилии, имени и отчества? Ответ на этот вопрос вы найдёте в статье нашего эксперта Анастасии Чекмаревой.

***

Определение персональных данных 

Начнём с основы. Определение можно найти в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

В редакции 2011 года закон содержал перечень:

• Фамилия, имя, отчество
• Дата и место рождения
• Адрес
• Семейное положение
• Социальное положение
• Имущественное положение
• Образование
• Профессия
• Доходы
• Другая информация о гражданине

В действующей редакции список не конкретизирован, в него входит вся информация, по которой можно определить субъекта прямо или косвенно.  

Важно понимать, что не вся информация, которая относится к физическому лицу, будет считаться персональными данными, а только та, которая помогает идентифицировать субъекта. Например, адрес проживания сам по себе к таким данным не относится, но в связке с другой информацией, которая позволяет определить субъекта, его уже можно будет по определению к ним отнести.

Категории персональных данных 

Среди всей информации, по которой можно определить субъекта, в законе выделено несколько особых категорий.

Специальные: раса, национальность и религия; политические и философские взгляд, здоровье, подробности личной жизни, судимости и др.

Биометрические: физиологические и биологические особенности человека. К ним относятся: отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии. 

По таким категориям важна привязка к личности. Например, мужчина, рост 180 см, вес 75 кг – это неперсональные данные. Гражданина по такой информации   идентифицировать невозможно. Но если добавить фамилию, имя, отчество – это биометрические персональные данные.

Ещё один пример, когда для прохода в офис сотрудники используют отпечаток пальца или радужную оболочку глаза. Для обработки такой информации необходимо согласие субъекта.

Вся остальная информация, по которой можно определить субъекта, также может быть отнесена к персональным данным. Отличие выделенных категорий в том, что к их обработке установлены особые требования.

Например, согласие должно быть всегда в письменной форме или в форме электронного документа, подписанного электронной подписью.

По сведениям, которые в эти категории не попадают, такая форма согласия не всегда обязательна.

В 2021 году была выделена ещё одна категория: персональные данные, разрешённые для распространения. Это информация, которую сам субъект разрешил распространять. Обратите внимание, это не та информация, которую граждане публикуют, например, в социальных сетях. На распространение должно быть получено отдельное согласие от субъекта.

Рассмотрим на примерах, какая информация является персональными данными, а что к ним отнести нельзя с точки зрения закона и судебной практики. 

Паспортные данные

Информацию в паспорте можно поделить на две категории.

Сведения о владельце паспорта: фамилия, имя, отчество, дата и место рождения, адрес регистрации и др. Тут ответ однозначный. Информация прямо относится к гражданину и может его идентифицировать, соответственно, это персональные данные.

• Данные паспорта как бланка: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения.
• По вопросу, являются ли серия и номер паспорта персональными данными, существуют две позиции судов
• Из вышесказанного следует, что серию и номер паспорта отдельно суды не всегда признают персональными данными, но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.
• Остальная информация в паспорте: наименование органа, выдавшего паспорт, код подразделения, дата выдачи — к персональным данным не относится, так как определить по ней субъекта невозможно.  

ИНН

На вопрос, является ли ИНН персональными данными, нет однозначного ответа.

С одной стороны, Минфин России неоднократно давал разъяснения, что ИНН к ним не относится, а используется исключительно для того, чтобы упорядочить учёт налогоплательщиков внутри системы налоговых органов.

Персональные данные шире, чем вы думали: номер телефона и email — Право на vc.ru

Правительство отнесло e-mail и номер телефона к персональным данным.

{«id»:83665,»gtm»:null}

Юридическая компания «Рафиков и Партнеры»

Привет. Меня зовут Рустам Рафиков, я юрист, управляющий партнер юридической компании «Рафиков и Партнёры». В статье рассказываю про новое законодательство и рассматриваю вопрос — является ли номер телефона и электронной почты персональными данными.

Время прочтения: 1,5 мин.

13 сентября 2019 г. Правительство РФ дополнило состав персональных данных которые размещаются в единой биометрической системе. Теперь к персональным данным относятся следующие сведения:

​Выдержка из Постановления Правительства РФ от 13.09.019 N 1197 Правительство РФ

Что является персональными данными?

Согласно закону, к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Роскомнадзор ранее разъяснял, что такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.

Проще говоря, если по определённым данным можно вычислить (идентифицировать) лицо, которому принадлежат указанные данные, то такие данные являются персональными.

По этой же причине не являются персональными данными т.н. большие данные, которые представляют собой обезличенную информацию. Именно поэтому, законодатель с 01.10.2019 г. вводит статью 783.1 Гражданского кодекса про договор об оказании услуг по передаче информации (подробнее об этом писали здесь).

Номер телефона и e-mail — персональные данные?

Древний спор юристов о том, является ли номер телефона и e-mail персональными данными, кажется подходит к концу.

Некоторые утверждали, что раз уж законодательство о рекламе требует получения согласия на рассылку по номеру телефону, значит здесь есть аналогия с получением согласия субъекта на обработку персональных данных (получение информации).

Другие утверждали, что это касается законодательства о рекламе и номер телефона, сам по себе, является обезличенным набором цифр. А вот вместе с именем и фамилией, номер цифр позволяет идентифицировать абонента.

Такая же история с адресом электронной почты. Формально, по адресу электронной почты типа saylor.moon@pochta.com можно вычислить имя и фамилию обладателя, но иногда это бывает псевдонимом, ником (например, stervo4ka94@pochta.com). С другой стороны, при получении сообщения мы можем увидеть тег содержащий имя и фамилию обладателя почтового ящика.

Ну и наконец, чего греха таить, известна история с расследованием и выпуском фильма «Он вам не Димон». Авторы фильма утверждали, что идентифицировали личный электронный почтовый адрес председателя Правительства (как раз того, кто подписал постановление, о котором мы и говорим в статье).

Система идентификации граждан и «скоринг»

Всем известно, что государство заинтересовано в идентификации граждан для предоставления тех же госуслуг. Банки используют набор статистических методов для определения надежности, кредитоспособности и в целом, идентификации лица. Данная система иногда называется кредитным скорингом (от англ. scoring — подсчет очков).

«Единая биометрическая система вместе с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить Кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получить возможность оцифровать волеизъявление и дистанционно подписывать документы.»

Еще в прошлом году Правительство утвердило состав сведений содержащихся в единой системе идентификации и аутентификации, а теперь дополнило его новыми персональными данными — номер телефона и адрес электронной почты.

Владельцам веб-сайтов рекомендуется присмотреться к данным, которые они получают и обрабатывают . Если вы обрабатываете персональные данные граждан, возможно необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).

Не забывайте, что предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (так называемое «прайваси» или «right to privacy»).

Статья в Harvard Law Review 1890 г. положившая начало понятию privacy. ​Фото из личного архива, времен обучения в the University of Manchester. Рустам Рафиков

За нарушение законодательства о персональных данных, также предусмотрена административная ответственность. В некоторых случаях, размер штрафа при этом достигает до 300 тыс. руб.

Надеюсь, обзор был интересным. Что вы думаете о таком подходе? Пишите в комментарии.