0

Персональные данные шире, чем вы думали: номер телефона и email

В ст. 3 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» закреплено понятие «Персональные данные” (ПД), это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В сущности, понятие не содержит в себе какой-либо помощи тому, кто пытается понять, что такое ПД.

С одной стороны, это дает определенную свободу Операторам ПД, но с другой стороны, это развязывает руки РКН и судьям при рассмотрении дел, связанных обработкой ПД. Ни один сотрудник РКН еще не дал однозначного ответа на вопрос, что является ПД, а что нет.

Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?

Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.

  1. Файлы cookies — были признаны ПД в деле, многим известной, социальной сети Linkedin: Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016. Однако, помимо файлов cookies, в социальной сети Linkedin осуществлялся сбор таких ПД, как фамилия, имя, адрес электронной почты и иное.

Возникает вопрос — являются ли файлы cookies ПД сами по себе, или в совокупности с другими данными, такими как ФИО, адрес электронной почты и иные ?

  1. ID пользователя — было признано ПД Постановлением 13 ААС от 01.07.2016 по делу № А56-6698/2016. По обстоятельствам дела Оператор ПД ПАО «Ростелеком» поручил третьему лицу обработку следующих данных: Хэш-ID Пользователя; время просмотра web-страницы; URL; HTTP referer; User Agent; HTTP Cookie.

Как и в предыдущем кейсе — ID пользователя обрабатывалось в совокупности с другими данными. Будет ли ID пользователей ПД при их обработки автономно от иных имеющихся данных?

  1. Данные ЯМ и ГА — были названы ПД при рассмотрении жалоб неизвестных лиц на сайт https://2019.vote/, сайт А.А. Навального «Умное голосование”: Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018. Вопрос политизированности решения и необходимости заблокировать сайт в данной статье не рассматривается.

ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных

  1. IP адрес. Стоит рассматривать отдельно статический и динамический IP адреса: Статический IP — является ПД; Динамический IP — не является ПД.

Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.

  1. Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email адрес ПД или нет.

Существует точка зрения, что если email содержит в себе ФИО (например: lev.kusnetsov@gggg.ru), то он является ПД. Ну и тут возникает вопрос, чем тогда такой email адрес отличается от просто ФИО, которые не являются ПД (см. пункт ниже)?

  1. ФИО (или отдельно Ф, И, О) и номер телефона — пожалуй, наиболее часто обрабатываемые данные.

В какой момент ФИО и номер телефона становятся персональными данными — не известно. По информации РКН (ответы на наиболее часто задаваемые вопросы https://77.rkn.gov.ru/p3852/p13239/p13309/) — ни ФИО, ни номер телефона при рассмотрении обособленно от каких-либо других данные, не являются ПД. Но, как только Оператор обрабатывает данные в совокупности, например ФИО+телефон или ФИО+email — считается, что Оператор уже обрабатывает ПД.

К сожалению, законоприменительная практика по вопросам ПД разнится от случая к случаю и по многим вопросам существуют различные решения суда и РКН. Нет однозначного ответа, какая комбинация данных, по мнению законодательного и административного органов, является ПД, а какая нет.

Оператор может просто не успеть заметить, как его база не ПД превратилась в базу ПД, поэтому соблюдать ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» лучше всего с самого начала обработки данных пользователей. Тем более, что штраф за обработку ПД граждан РФ не на территории РФ уже был существенно увеличен в прошлом году (ч. 8 — 9 ст. 13.11. КоАП), и не известны дальнейшие реформы законодательства в сфере данных в России.

МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

ПИСЬМО
от 20 января 2017 г. N 08АП-6054

О РЕЗУЛЬТАТАХ РАССМОТРЕНИЯ ОБРАЩЕНИЯ КАЗНАЧЕЙСТВА РОССИИ

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций по результатам рассмотрения обращения в рамках ведомственной компетенции полагает возможным отметить следующее.
В соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства Российской Федерации от 16.03.2009 N 228, на Роскомнадзор не возложены полномочия по предоставлению разъяснений законодательства Российской Федерации, практики его применения, а также толкованию норм, терминов и понятий законодательства Российской Федерации, в том числе Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Обращаем ваше внимание, что в соответствии с пунктом 1 Положения о Министерстве связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 02.06.2008 N 418, органом, уполномоченным осуществлять функцию по нормативно-правовому регулированию в указанной сфере, является Минкомсвязь России.
Вместе с тем полагаем возможным отметить, что согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Федеральный закон N 152-ФЗ) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Исходя из данного определения принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным.
Кроме того, исключение обрабатываемых сведений из предмета правового регулирования Федерального закона N 152-ФЗ определяются законодательными и принятыми в соответствии с ними нормативными правовыми актами.
Исходя из изложенного, сообщаем, что информация в объеме фамилия, имя, отчество физического лица является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями Федерального закона N 152-ФЗ.

  • Персональные данные. Документы регуляторов
  • Cогласие покупателя на обработку ПДн в Интернет-магазине
  • Законно ли сайты размещают ПДн участников судебных процессов?
  • Разъяснение правил оказания услуг почтовой связи в части сбора ПДн
  • Методические рекомендации по уведомлению уполномоченного органа о начале обработки ПДн и о внесении изменений в ранее представленные сведения
  • ФИО — это ПДн (Роскомнадзор)
  • Отнесение фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим ПДн и особенности их обработки
  • Обработка ПДн работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве
  • Методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 № 996 Об утверждении требований и методов по обезличиванию ПДн
  • Требования и методы по обезличиванию ПДн
  • Рекомендации по составлению политики обработки ПДн
  • Роскомнадзор

Правовое регулирование вопроса

Это понятие определено федеральным законом нашей страны. Под ними подразумеваются сведения любого характера, касающиеся физического лица прямо или косвенно.

Именно так расшифровывает этот термин закон. Данный нормативный акт — один из основополагающих документов, регулирующих отношения, связанные с предоставлением личной информации, но не единственный.

Правовое регулирование этой сферы осуществляется целым рядом документов:

  1. Конституция РФ.
  2. Международные конвенции.
  3. Федеральные законы.
  4. Подзаконные нормативные акты (Указы Президента, Постановления Правительства, Приказы Министерств, Приказы и разъяснения Роскомнадзора).

Все эти документы в совокупности помогают сформировать представление о том, что же на территории РФ признается личной и неприкосновенной информацией, которая подлежит защите и охране со стороны государства.

Законодательные основы — Конституция РФ

Данный документ действует в границах нашего государства и имеет преимущество даже перед международными договорами.

Статья 23 этого нормативного акта предоставляет гражданам возможность обладать личной и семейной тайной, защищать честь и достоинство, а также устанавливает право каждого на неприкосновенность частной жизни.

В каких случаях ФИО относятся к персональным данным

Регулятор склонен считать ПД любые сведения, обрабатываемые оператором и предоставляемые ему субъектом при условии подписания согласия на обработку. Такой информацией будут и полные анкетные данные, и краткие сведения в интернет-магазине, по которым невозможно установить их реального обладателя. В любом случае все сведения должны защищаться с применением организационных, программных и технических способов обеспечения конфиденциальности.

Часто оператор, считая фамилию, имя, отчество общеизвестной информацией, хочет сократить расходы, связанные с их обработкой. Но в итоге такие манипуляции не приводят к достижению соглашения с регулятором. При проверке организация будет оштрафована, если защита имен граждан обеспечена программными решениями низкого уровня.

В инструкции об обработке ПД, с которыми работает Центробанк, это сведения о сотрудниках, аудиторах, руководстве коммерческих банков и других категориях лиц. В п. 5.1. четко указано: такие сведения, как фамилия и имя, отчество при его наличии, пол, являются персональными данными. На качество и степень обработки категория сведений не влияет. При этом Банк России уточняет, что только фамилии и имени для идентификации недостаточно, они должны быть использованы совместно с реквизитами паспорта или другой идентифицирующей информацией.

Общая информация

К ней относятся следующие сведения:

  • имя гражданина, его отчество и фамилия;
  • место, где человек проживает или зарегистрирован;
  • дата рождения;
  • город, в котором гражданин родился;
  • уровень доходов;
  • состав семьи;
  • сведения о работе.

Кстати, в сентябре 2019 года Правительство РФ расширило круг личных сведений граждан, дополнив его контактными данными лица (номером телефона и адресом электронной почты).

Биометрическая информация

Включает в себя:

  • состояние здоровья;
  • отпечатки пальцев;
  • данные ДНК;
  • группа крови;
  • фото и видео материалы.

Специальные сведения

Под ними подразумеваются:

  1. Национальность.
  2. Религиозные убеждения.
  3. Политические убеждения.
  4. Наличие/отсутствие судимости.
  5. Сексуальная ориентация.

Являются ли личными данными фамилия, имя, отчество

По смыслу статьи 19 Гражданского кодекса РФ фамилия, имя и отчество определяют граждан. Используя указанные данные, гражданин пользуется правами и исполняет обязанности.

С учетом этого такие сведения принадлежат гражданину, прямо к нему относятся и являются его личными данными.

Фамилия

Фамилии Роскомнадзор отнес к важным данным о персоне. Но те из них, которые встречаются часто (например, Смирнов, Иванов), не позволяют точно идентифицировать гражданина и однозначно назвать конкретного человека.

Поэтому такая информация считается обезличенной, ведь в случае ее распространения (использования) доказать нарушение своих прав у субъекта не получится.

Имя

Имя относится к личности человека. Оно максимально обезличено. Ведь одно и тоже имя (за исключением очень редких и единичных имен) с большой вероятностью может принадлежать сотням и тысячам людей.

Поэтому без дополнительных сведений выяснить, кому конкретно принадлежит имя, невозможно.

Отчество

Отчество также относится к закрытым сведениям физического лица. Наравне с фамилией и именем считается обезличенными сведениями личного характера, относящимися к гражданину.

На основании одного отчество невозможно установить, кому оно принадлежит, выяснить о человеке дополнительную информацию.

Фамилия, имя, отчество вместе

Роскомнадзор в своих разъяснениях отмечает, что важной характеристикой персонализации, считается возможность распознать по ним конкретное физическое лицо.

Поэтому Ф.И.О. вместе являются персональной информацией более высокого приоритета, чем по отдельности.

Вероятность определения по ним конкретного человека зависит от ситуации. Так, в городе, где количество жителей составляет миллион и более, такая вероятность мала. В пределах одного юридического лица (например, на предприятии) понять, о ком из сотрудников идет речь, зная эти сведения, гораздо проще.

Иные персональные данные

Перечень сведений, которые российским законодательством относятся к персональным, считается открытым. Согласно данным Роскомнадзора 75 международных актов, около 100 законов и 250 Постановлений Правительства РФ содержат разнообразные перечни личных сведений, запрашиваемых у гражданина.

К понятию персональных сведений относится широкий круг информации.

Сведения, которые не относятся к общим, биометрическим и специальным, принято считать «иной персональной информацией».

Например, в рамках трудовых правоотношений, к таким можно отнести факты о:

  • дате приема на работу;
  • дате начала и окончания отпуска;
  • иные сведения, получаемые работодателем от сотрудника.

Таким образом, Ф.И.О. признаются персональной информацией, а значит, подлежат охране и защите со стороны государства наряду с другой личной информацией.

Компетентное видео о персональной информации :

Напишите свой вопрос юристу в форму ниже:

admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *