Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Фио является ли персональными данными». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.
Регулятор склонен считать ПД любые сведения, обрабатываемые оператором и предоставляемые ему субъектом при условии подписания согласия на обработку. Такой информацией будут и полные анкетные данные, и краткие сведения в интернет-магазине, по которым невозможно установить их реального обладателя. В любом случае все сведения должны защищаться с применением организационных, программных и технических способов обеспечения конфиденциальности.
Часто оператор, считая фамилию, имя, отчество общеизвестной информацией, хочет сократить расходы, связанные с их обработкой. Но в итоге такие манипуляции не приводят к достижению соглашения с регулятором. При проверке организация будет оштрафована, если защита имен граждан обеспечена программными решениями низкого уровня.
В инструкции об обработке ПД, с которыми работает Центробанк, это сведения о сотрудниках, аудиторах, руководстве коммерческих банков и других категориях лиц. В п. 5.1. четко указано: такие сведения, как фамилия и имя, отчество при его наличии, пол, являются персональными данными. На качество и степень обработки категория сведений не влияет. При этом Банк России уточняет, что только фамилии и имени для идентификации недостаточно, они должны быть использованы совместно с реквизитами паспорта или другой идентифицирующей информацией.
Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:
- сочетание часто встречающихся имени и фамилии без иных сведений не дает однозначной возможности определить человека;
- в одной организации могут работать несколько сотрудников с одинаковыми именами;
- ФИО общедоступны, в отличие от других сведений о гражданах.
Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.
Среди характеристик методов преобразования сведений:
- обратимость – возможность программными способами устранить анонимность и вернуть ПД к первоначальному виду;
- вариативность, или возможность изменить метод обезличивания в процессе обработки;
- стойкость, или способность метода противостоять внешним атакам на массив ПД с целью их деобезличивания;
- возможность косвенного деобезличивания в едином массиве с данными других операторов;
- совместимость, при которой в одном массиве окажутся данные, обезличенные разными методами;
- небольшой параметрический объем;
- возможность контроля качества данных.
Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:
- метод идентификаторов, при котором учетная запись маркируется метками, позволяющими найти полные данные в таблице;
- изменение семантики, при котором удаляется или заменяется часть информации;
- декомпозиция, или разбиение большого объема сведений на несколько отдельно хранящихся массивов;
- перемешивание персональных данных, принадлежащих различным субъектам.
Вне зависимости от выбранного метода обезличивания ФИО хранятся и защищаются на тех же основаниях, что и другие категории ПД.
Роскомнадзор не видит прямой возможности исключить ФИО из общего перечня ПД, несмотря на мнения экспертов о том, что только эти данные, без наличия иного идентифицирующего признака, не дают однозначной возможности определить личность. Этой же позиции придерживается Центробанк.
Хотя Роскомнадзор выпустил несколько разъяснений, где однозначно ответил на вопрос, являются ли фамилия, имя, отчество персональными данными, иногда ведомство выражает двойственную позицию. Так, в 2012 году в письме территориального управления по Республике Карелия отмечено, что фамилия и инициалы гражданина – это, несомненно, персональные данные субъекта. С другой стороны, без применения других сведений определить принадлежность ПД частному лицу затруднительно. Фамилия, имя, отчество наряду со многими другими способами используются для идентификации отдельного человека среди других.
По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров (фамилии, имени и отчества), на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. При этом очевидно, что, если у заинтересованного злоумышленника есть иные данные об объекте, предоставление ему данных ФИО позволит определить субъект, например, по номеру машины узнать данные о ее владельце.
В более поздних разъяснениях, предоставленных в 2017 году в ответ на обращение Казначейства России, регулятор, опираясь на нормы федерального закона о персональных данных, отметил, что ФИО, без сомнения, относятся к этой категории. Он сообщил, что среди полномочий ведомства нет права давать разъяснения по вопросам толкования норм закона, эта задача относится к сфере компетенции Минсвязи.
Тем не менее из прямого прочтения текста закона вытекает понимание, что имя и инициалы относятся к персональным данным без каких-либо изъятий, за исключением прямо приводимых в законе:
- если сведения относятся к общедоступным;
- если они используются в целях статистики.
Это значит, что обработка ФИО должна происходить по тем же правилам и с применением тех же технических и программных средств, что и обработка остального массива конфиденциальной информации, прямо или косвенно относящейся к личным сведениям граждан.
Суды неоднократно обращали внимание операторов на невозможность разглашения любых персональных данных без разделения их на группы по степени идентификации личности.
Безусловно признавая отнесение ФИО к персональным данным, регулятор не готов предоставить операторам более легкие условия по обеспечению их конфиденциальности, чем для других групп сведений, за исключением отдельных категорий данных, относящихся к более высоким уровням защиты, например, биометрическим или медицинским данным. При этом споры о классификации ФИО продолжаются, возможно, законодатель изменит свою позицию в этом вопросе.
04.03.2020
Роскомнадзор разъясняет, что фамилия физического лица считается его персональными сведениями. Однако не позволяет однозначно назвать субъекта. Есть более и менее распространенные фамилии, так что публикация фамилии гражданина Российской Федерации может в разной степени сократить выборку тех, кому оно гипотетически принадлежит.
Персональные данные в РФ неоднородны, они делятся на четыре категории, и для каждой характерны свои особенности. Если по персональной информации невозможно определить гражданина, которому они принадлежат, ведомости считаются обезличенными. Сведения такого рода хранятся по всем правилам, на бумажных или электронных носителях. Однако субъект персональных сведений не сможет доказать, что распространением ему был нанесен ущерб.
Имя принадлежит человеку, считается его личной информацией, ПД, однако максимально обезличенными. Без уточняющих данных выяснить, кому принадлежит имя, невозможно. Более того, зная имя человека, третье лицо не будет иметь возможность установить дополнительные ведомости.
Отчество человека принадлежит физическому лицу, является его персональными сведениями. Входит в категорию обезличенных ведомостей. Под ними понимаются данные, не дающие возможность установить к какому человеку они относятся или что-то еще о нем.
Обезличенные сведения также хранятся в недоступных для третьих лиц местах.
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?
На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.
В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.
Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.
На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.
Для этого ему обязательно нужно заручиться согласием соискателя.
Персональные данные сотрудника: как с ними работать
В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.
Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.
Правильно будет внести изменение непосредственно в текст трудового договора, вручную.
Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.
Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.
Для использования фото сотрудника тоже придется заручиться согласием.
GDPR может применяться к российским компаниям в нескольких случаях:
- Российская компания имеет филиалы на территории Европы.
- Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
- Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
- сайт доступен на языках стран ЕС;
- предусмотрены расчеты в евро.
Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.
Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).
В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.
Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2024 года.
Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.
Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.
Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.
Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.
Роскомнадзор о персональных данных в 2021
Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.
Даже без дополнительной информации идентификаторы являются персональными данными.
Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.
Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.
Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”
Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.
Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.
Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.
Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных
Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.
Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.
Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.
Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Примеры:
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.
Примеры:
- работодатель, обрабатывающий ПД своих работников;
- продавец, обрабатывающий ПД клиентов-граждан;
- госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
- владельцы сайтов, собирающие ПД пользователей сайта.
Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.
Согласие на обработку ПД должно быть оформлено:
- письменно, если того требует закон (см. выше);
- в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).
Пункты, которые обязательно должно содержать письменное согласие:
- Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
- название организации или Ф.И.О. и адрес оператора;
- цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
- перечень ПД, которые будет обрабатывать оператор;
- информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
- перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
- срок, на который выдано согласие;
- способ отзыва согласия;
- подпись.
Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).
Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.
- Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
- Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
- Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.
Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
- считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
- считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.
Однако оба довода являются спорными.
Причин может быть несколько:
- оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
- оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
- оператор хочет перестраховаться.
Персональные данные: ответы на популярные вопросы
Точного перечня закон не содержит, увы. Определение дано общее — любая прямая или косвенная информация, относящаяся к определенному или определяемому человеку. Как видно, информация может напрямую указывать на человека или позволить определить человека.
Это, в первую очередь, конечно фамилия — имя — семейное положение — национальность — состояние здоровья — сведения о гражданстве — паспортные данные — отпечатки пальцев — телефон и прочее подобное.
Это абсолютно любые действия, касающиеся ПД — накопление, хранение, систематизация, использование, уточнение, передача, извлечение и даже блокирование, уничтожение. Все эти манипуляции (а точный их список указан в ФЗ 152) требуют получения согласия от человека на обработку, наличия большого количества документов у ИП или юридического лица и уведомление Роскомнадзора.
- Законодательство в сфере сбора и обработки персональных данных ужесточилось, а штрафы для предпринимателей выросли в разы. Дальше — больше.
- Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
- Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.
- Для компаний, должностных лиц и ИП штрафы разные. Они также зависят от типа правонарушения.
- Чтобы соблюдать 152-ФЗ, надо зарегистрироваться как оператор персональных данных, составить политику обработки персональных данных и согласие на обработку персональных данных, повесить на сайт уведомление о сборе метаданных и подготовить несколько десятков бумажных документов.
Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?
Судебная практика отвечает на этот вопрос так: «… Ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст. 3 ФЗ «О персональных данных» от 27 июля 2006 г. N 152-ФЗ персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) …» (Апелляционное определение Московского городского суда от 06.09.2012 по делу № 11-17136). Подобный вывод содержит также Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015.
Является ли ФИО персональными данными?
Персональные данные являются общедоступными при выполнении двух условий:
-
они предоставлены владельцем
-
доступны неопределенному кругу лиц.
Если согласие владельца персональных данных на размещение сведений о нем в соцсетях отсутствует, то нельзя их [соцсети] отнести к общедоступным источникам. При этом оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, в случае его отзыва, только при наличии соответствующих оснований, например, для противодействия терроризму или коррупции (ч. 2 ст. 9 Закона № 152-ФЗ).
Такой вывод делает судебная практика: Арбитражный суд города Москвы определил, что обработка персональных данных допускается в случаях, когда персональные данные доступны неопределенному кругу лиц, имеется согласие владельца данных и сведения предоставлены непосредственно самим субъектом (п. 1, п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Суд подчеркнул, что без письменного согласия субъекта персональных данных нельзя утверждать о предоставлении согласия именно указанным лицом. По его мнению, если владелец сделал персональные данные общедоступными для всех, то они могут содержаться только в общедоступных источниках (ст. 8 Закона № 152-ФЗ). По мнению суда, соцсети не являются такими источниками получения персональных данных, соответственно информация о лице, размещенная в них, не может быть отнесена к общедоступной.
В решении суда указано, что в общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные их владельца с его письменного согласия и сообщаемые им самим. Суд пришел к выводу, что владельцы персональных данных не сделали сведения общедоступными, которые обрабатывались бюро кредитных историй в социальных сетях (ч. 3 ст. 22, п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).
Вышестоящие суды согласились с такими выводами, подчеркнув, что размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку информации (постановление Девятого арбитражного апелляционного суда от 27 июля 2017 года по делу № А40-5250/17; постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу № А40-5250/2017; Определение ВС РФ от 29 января 2018 года по делу № 305-КГ17-21291).
В Определении Верховного Суда РФ от 1 марта 2006 г. по делу № 13-В05-13 указано, что ИНН по своему законодательному предназначению подлежит, наряду с другими сведениями, использованию исключительно в целях налогового учета и не заменяет имя человека.
В Апелляционном определении Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 суд сделал вывод, что ИНН как таковой нельзя причислить к персональным данным. В обоснование своей позиции суд сослался на Определение Конституционного Суда РФ от 10 июля 2003 г. № 287-О, в котором отмечено, что присвоение ИНН, по сути, не нарушает свободы совести и вероисповедания.
- Сейчас
- Вчера
- Неделя
- Сутки
- Неделя
- Месяц
Вопрос задает: Александра, Москва
Ответ:
В соответствии с пунктом 1 статьи 3 Федерального закона № 152-ФЗ «О персональных данных» персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Если это не придуманные фамилия, имя и отчество, а принадлежащие определенному лицу, то они являются персональными данными.
Поделитесь ответом с друзьями:
Случайный вопрос: Как законно организовать передачу ПДн между юридическими лицами, входящими в корпорацию? С согласия работников каждого конкретного предприятия? Или норму закона по обработке ПДн работников без согласия можно распространить на корпорацию?
Все вопросы
Подпишитесь на рассылку ответов Задайте свой вопрос
Проверяем сервисы, которые проверяют нас
В соответствии со ст.28.4 КоАП РФ, дела об административных правонарушениях, предусмотренных ст. 13. И КоАП РФ, возбуждаются прокурором.
В связи с вышеизложенными фактами ОАО «МТС» выдано предписание об устранении выявленных нарушений в части неправомерной обработки персональных данных.
Результаты проверки направлены в органы прокуратуры городов Москвы и Петрозаводска для принятия мер прокурорского реагирования.
3. По обращению гражданки Г. в отношении ЗАО «Банк Русский стандарт» по вопросу защиты прав субъектов персональных данных — внеплановая проверка не проводилась, не представлены документы, подтверждающие нарушения законодательства в области персональных данных. Заявителю даны разъяснения.
На основании ч.2 ст.7 Федерального закона от 02.05.2006г. №59-ФЗ, «В случае необходимости в подтверждение своих доводов гражданин прилагает к письменному обращению документы и материалы либо их копии». У гражданки Г. к обращению не приложены документы подтверждающие факты нарушения требований законодательства в области персональных данных граждан (уведомление ООО «Агентство по сбору долгов» или других доказательств передачи Банком «Русский стандарт» персональных данных гражданки Г. третьим лицам). Управлением Роскомнадзора по Республике Карелия 21.05.2012г. (исх.№АД-04/10-958) делался запрос в адрес гражданки Г. о представлении копий документов, подтверждающих доводы, изложенные в обращении. Однако до настоящего времени не представлены документы, подтверждающие нарушения законодательства в области персональных данных.
Часть 1 и 5 статьи 5 Федерального закона «О порядке рассмотрения обращений граждан Российской Федерации» гарантируют гражданину следующие права:
«1) представлять дополнительные документы и материалы либо обращаться с
просьбой об их истребовании…».
Управление Роскомнадзора по Республике Карелия не наделено полномочиями осуществлять оперативно-розыскные мероприятия. Право осуществлять оперативно-розыскную деятельность предоставляется только оперативным подразделениям, перечисленным в статье 13 Федерального закона от 12.08.1995г. №144-ФЗ «Об оперативно-розыскной деятельности» (с изменениями).
4. По обращению гражданина К. в отношении МУЗ «Городская поликлиника №3» по вопросу обработки избыточных персональных данных — внеплановая проверка не проводилась, не представлены документы, подтверждающие нарушения законодательства в области персональных данных.Заявителю даны разъяснения.
При рассмотрении обращения гражданина К., поступившего из прокуратуры г. Петрозаводска, Управление Роскомнадзора по Республике Карелия руководствовалось требованиями Федерального закона от 02.05.2006г. №59-ФЗ «О порядке рассмотрения обращений граждан» (с изменениями). В соответствии с ч.2 статьи 7 Федерального закона от 02.05.2006 №59-ФЗ, «В случае необходимости в подтверждение своих доводов гражданин прилагает к письменному обращению документы и материалы либо их копии». В обращении недостаточно конкретной информации, которая позволила бы объективно и своевременно рассмотреть его по существу. В обращении гражданина К. написано про «различные персональные данные», при этом не указано какие именно категории персональных данных по мнению гражданина К. собираются не правомерно.
Управление Роскомнадзора по Республике Карелия не наделено полномочиями осуществлять оперативно-розыскные мероприятия. Право осуществлять оперативно-розыскную деятельность предоставляется только оперативным подразделениям, перечисленным в статье 13 Федерального закона от 12.08.1995г. №144-ФЗ «Об оперативно-розыскной деятельности». 29.05.2012г. направлялся запрос в адрес гражданина К. о представлении конкретной информации, а именно какие категории персональных данных собираются не правомерно. Ответа до настоящего времени не поступало.
Поэтому вопрос об избыточности сбора персональных данных поликлиникой №3 в настоящее время оставлен без рассмотрения.
По вопросу сертификации информационной системы базы персональных данных поликлиники №3 г. Петрозаводска, Управление Роскомнадзора по Республике Карелия направило обращение гражданина К. руководителю ФСТЭК по СЗФО.
5. По обращению гражданина М. по вопросу нарушения прав субъекта персональных данных — внеплановая проверка не проводилась, информация не подтвердилась. Заявителю даны разъяснения.
При рассмотрении обращения гражданина М., поступившее из Управление Федеральной антимонопольной службы по Республике Карелия Управление Роскомнадзора по Республике Карелия руководствовалось требованиями Федерального закона от 02.05.2006г. №59-ФЗ «О порядке рассмотрения обращений граждан» (с изменениями).
На основании ч.15 ст. 155 ЖК РФ «Наймодатель жилого помещения, управляющая организация, иное юридическое лицо или индивидуальный предприниматель, которым в соответствии с настоящим Кодексом вносится плата за жилое помещение и коммунальные услуги, а также их представитель вправе осуществлять расчеты с нанимателями жилых помещений государственного и муниципального жилищных фондов и собственниками жилых помещений и взимать плату за жилое помещение и коммунальные услуги при участии платежных агентов, осуществляющих деятельность по приему платежей физических лиц, а также банковских платежных агентов, осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности».
В данном случае ООО «Энергокомфорт» в качестве агента выбрало Акционерный коммерческий Сберегательный банк Российской Федерации (ОАО) и заключило с ним договор №8628-16/16 от 17.12.2010г. о приёме платежей физических лиц в валюте Российской Федерации с использованием Интегрированной системы приёма платежей населения.
-
Что включает понятие персональные данные
-
Каков минимальный объем информации позволяет считать ее персональными данными?
-
Является ли адрес электронной почты персональным данным?
-
ИНН — персональные данные?
- Полезные ссылки по теме
Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?
Судебная практика отвечает на этот вопрос так: «… Ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст. 3 ФЗ «О персональных данных» от 27 июля 2006 г. N 152-ФЗ персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) …» (Апелляционное определение Московского городского суда от 06.09.2012 по делу № 11-17136). Подобный вывод содержит также Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015.
Вывод: если одновременно указываются фамилия, имя и отчество, то это сочетание представляет собой персональные данные.
Вопрос посложнее: является ли сочетание имя + отчество персональными данными?
Судебная практика отвечает на этот вопрос так: «… в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума …
Разрешая заявленные требования, суд пришел к обоснованному выводу об отказе в удовлетворении исковых требований, поскольку сведения, размещенные в Интернете по ссылке… не являются персональными данными истца, так как не содержат персонифицированных и детализированных данных, позволяющих определить в отношении какой квартиры, какого населенного пункта идет речь, а также отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь …» (Определение судебной коллегии по гражданским делам Приморского краевого суда от 9 сентября 2013 г. по делу № 33-7063).
Вывод: сочетание имя + отчество не являются персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных», т.к. не позволяют идентифицировать лицо. Эти данные будут подлежать защите как персональные данные, только если они сами по себе помогают идентифицировать конкретное лицо.
Вопрос посложнее: является ли сочетание фамилия + инициалы персональными данными?
Управление Роскомнадзора по Республике Карелия в своем Обзоре обращений граждан за II квартал 2012 года отвечает на этот вопрос так: «… Фамилия и инициалы гражданина — это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно.
ФИО (фамилия, имя, отчество) наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.
Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена».
На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).
Вывод: сочетание фамилия + инициалы не является персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных».
Судебной практики по этому вопросу найти не удалось.
Минкомсвязи России в своем Письме от 07.07.2017 № П11-15054-ОГ выразил следующее мнение: «… абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу».
Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных
Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.
Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.
Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?
Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.
На основании п. 2.5 указанного документа к личным данным относятся:
- имя, отчество и фамилия гражданина;
- дата его рождения (число, месяц и год);
- место рождения;
- адрес регистрации или место фактического проживания;
- сведения о семейном положении и детях;
- социальное положение;
- данные об имуществе;
- размер и источники дохода;
- сведения об оконченных учебных заведениях;
- профессия и занимаемая должность.
При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.
Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:
- Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
- Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.
Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.
Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.
Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.
В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.
Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.
Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.
Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.
Персональные данные или что поменялось с 01 июля 2017 года?
Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.
Обработка информации, которая связана с личными политическими взглядами и религией, может быть проведена только в исключительных ситуациях. Сюда также относятся такие моменты, как национальность, особенности личной жизни. Но доступ к подобной информации и ее последующий анализ возможны только при определенных условиях:
- На обработку предварительно было получено письменное разрешение.
- Информация является общедоступной.
- Сведения, которые касаются здоровья человека, могут быть использованы только для сохранения его жизни.
- Есть необходимость в проведении судебных мер.
- Требуется провести определенную розыскную деятельность или мероприятия, отвечающие за безопасность.
Основные юридические документы, устанавливающие принципы использования ПДн:
- Конституция Российской Федерации. Статьи 23 и 24 гарантируют гражданам неприкосновенность частной жизни, личную и семейную тайну, конфиденциальность в переписке, телефонных разговорах и иных сообщениях. Согласно этим положениям, ПДн принадлежат только их носителю и не должны контролироваться третьими лицами без его согласия. Со стороны государства гарантируется защита этого права граждан.
- Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 определяет, кто и на каких условиях может использовать ПДн гражданина.
- Ребенок скрипит зубами во сне
- Свиная рулька запеченная в духовке
- Что значит зеленый кал у ребенка и взрослого человека
Для работников различных отраслей существуют отдельные нормативные акты, регулирующие правила обработки личной информации:
- Для трудящихся в организациях энергетической отрасли – Приказ Минэнерго России №166 «О работе по обработке персональных данных» от 11.11.2008.
- Для госслужащих – Федеральный Закон №79-ФЗ «О государственной гражданской службе РФ» от 27.07.2004.
Доступ к ПДн конкретного лица разрешен специальным операторам. Это представители структур или организаций, которые производят получение и обработку ПД конкретного физического лица. При отсутствии разрешения субъекта любые операции с его ПДн являются нарушением закона. Личная информация о человеке обязательно должна быть ликвидирована после того, как отпала необходимость в ее использовании.
Законодательство не определяет срок действия согласия на обработку ПДн, поэтому он может быть указан непосредственно в бланке, который подписывает субъект. Такой период может определяться прямо или косвенно – например, «на 3 года» или «на время, указанное в трудовом договоре». Подписывая такие бумаги, проверяйте сроки и следите за тем, чтобы они были написаны реально.