номер мобильного телефона это персональные данные или нет
Номер мобильного телефона и e-mail официально отнесены к персональным данным
На портале официальной информации размещено в понедельник постановление правительства Российской Федерации от 13.09.2019 №1197, определяющее, что номер телефона и адрес электронной почты относятся к персональным данным.
Правительство Российской Федерации постановило «дополнить состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, утвержденный постановлением правительства Российской Федерации от 30 июня 2018 г. № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации» пунктом «д» следующего содержания:
д) контактные данные физического лица (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты)».
Как суды и Роскомнадзор (РКН) определяют что является персональными данными, а что нет?
В ст. 3 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» закреплено понятие “Персональные данные” (ПД), это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В сущности, понятие не содержит в себе какой-либо помощи тому, кто пытается понять, что такое ПД.
С одной стороны, это дает определенную свободу Операторам ПД, но с другой стороны, это развязывает руки РКН и судьям при рассмотрении дел, связанных обработкой ПД. Ни один сотрудник РКН еще не дал однозначного ответа на вопрос, что является ПД, а что нет.
Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?
Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.
ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных
Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.
Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email адрес ПД или нет.
Существует точка зрения, что если email содержит в себе ФИО (например: lev.kusnetsov@gggg.ru), то он является ПД. Ну и тут возникает вопрос, чем тогда такой email адрес отличается от просто ФИО, которые не являются ПД (см. пункт ниже)?
К сожалению, законоприменительная практика по вопросам ПД разнится от случая к случаю и по многим вопросам существуют различные решения суда и РКН. Нет однозначного ответа, какая комбинация данных, по мнению законодательного и административного органов, является ПД, а какая нет.
Что является персональными данными по закону
Что такое персональные данные, какие существуют виды данных и что говорит о них закон — в материале “Ъ”.
Фото: Игорь Иванко, Коммерсантъ / купить фото
Фото: Игорь Иванко, Коммерсантъ / купить фото
Что такое персональные данные
Согласно федеральному закону от 27 июля 2006 года 152-ФЗ «О персональных данных», это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня данных в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.
Эксперт, бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий :
— Существующее понятие, содержащееся в законе «О персональных данных», является калькой с определения, взятого из Европейской конвенции по защите персональных данных, ратифицированной Россией в 2005 году. Более точно определить состав персональных данных и привести их перечень сегодня невозможно. Ни один из федеральных органов исполнительной власти сегодня не обладает полномочиями по уточнению этого термина. Поэтому каждая организация в зависимости от целей своего функционирования самостоятельно определяет тот перечень данных, которые она собирает у своих работников и клиентов, действующих и бывших, и которые и будут считаться персональными в данной организации.
Виды персональных данных
В федеральном законе №152 обозначены виды персональных данных:
— Общие. К ним законодательство относит базовые личные данные: ФИО, место регистрации, информация об образовании, о месте работы, номер телефона, e-mail;
— Специальные. Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях;
— Биометрические. Физиологические или биологические особенности человека, которые используют для установления его личности: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и другие;
— Иные. К ним относят все данные, которые нельзя отнести к другим видам: принадлежность к определенной социальной группе, корпоративные данные и так далее.
Сведения о заработной плате работника также являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации.
Стоит отметить, что не все фотографии и видеозаписи конкретного лица являются его биометрическими персональными данными, а только те, которые позволяют установить личность и используются для установления личности. Согласно Роскомнадзору, биометрическими персональными данными не является, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки.
Персональные данные в интернете
Размещение персональных данных на открытых онлайн-ресурсах не делает их автоматически общедоступными. По словам эксперта, если сайт идентифицирует пользователя, то вся связанная с ним активность на сайте будет рассматриваться как персональные данные.
Эксперт, бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий :
— Так как нет четкого перечня того, какие данные являются персональными, нет и четкого ответа на вопрос про данные на сайтах. Формально, если мы ввели в какой-либо форме наши ФИО и контактную информацию, то все, что мы вводили еще, будет считаться данными персональными, так как они относятся к конкретному физическому лицу. Файлы cookie, которые собираются почти всеми сайтами в интернете, также относятся к персональным данным. И e-mail, который используется в качестве логина на сайтах. И даже если где-то используется ник, детали которого раскрываются в личном кабинете, то это тоже может рассматриваться как персональные данные.
Обработка персональных данных
Обработка персональных данных должна осуществляться с согласия субъекта. Данное ранее согласие можно отозвать без каких-либо дополнительных условий. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено. Перечень исключений, при которых согласие на обработку данных не требуется, определен в законе:
— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;
— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;
— необходима для исполнения полномочий госорганов;
— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;
— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;
— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;
— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;
— данные являются общедоступными (например, справочники, адресные книги);
— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Выполнять операции с частными данными по разрешению субъекта может работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т. д. После достижения результата, ради которого осуществлялся сбор данных, оператор теряет легальную возможность их использования и несет ответственность при их намеренном разглашении.
Нарушения в отношении персональных данных
Российское законодательство предусматривает разные виды ответственности (дисциплинарную, административную, уголовную) за нарушение правил обращения с персональными данными. В качестве наиболее частых можно выделить следующие правонарушения:
— неполучение у гражданина согласия на обработку его персональных данных;
— неполучение согласия на передачу его персональных данных для обработки третьим лицам;
— неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;
— неполучение согласия на обработку биометрических персональных данных;
— нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.
Мэрия отказалась считать персональными данными номера телефонов москвичей
Информация, которую работающие в Москве компании в соответствии с указом Сергея Собянина должны передавать властям столицы, не относится к персональным данным сотрудников. Об этом заявили в пресс-службе департамента информационных технологий Москвы (ДИТ), отвечая на запрос «Интерфакса».
«Обращаем внимание на то, что номера телефонов, транспортных карт и государственных регистрационных знаков автомобилей без указания Ф. И. О. или иных сведений, позволяющих установить личность конкретного гражданина, не являются персональными данными», — заявили в пресс-службе ДИТ.
При этом в ведомстве заверили, что власти столицы не собираются контролировать перемещения лиц, чьи данные будут им переданы.
«Перед органами власти города Москвы не стоит задача определения места нахождения отдельного человека или маршрута его передвижения. Обезличенные данные позволят производить оперативную оценку эффективности реализации введенных ограничений», — пояснили в ДИТ.
Опрошенные РБК юристы не согласились с позицией ДИТ. Председатель коллегии адвокатов «Старинский и партнеры» Владимир Старинский обратил внимание на п. 3 ст. 1 закона «О персональных данных», где говорится, что персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. «То есть это не только фамилия, имя, отчество, но и другая информация, позволяющая косвенно установить по ней физическое лицо», — заявил он.
Старинский отметил, что, согласно указу мэра, работодатели обязаны предоставлять номера мобильного телефона, транспортного средства, а также карт «Стрелка» или «Тройка». «Имея номер транспортного средства или социальной карты, город может обратиться к базам данных и легко выяснить недостающую часть персональных данных. Кроме того, в последнее время люди активно стали использовать GetContact и другие программы, с помощью которых по номеру телефона можно выяснить, как человек записан у других людей», — отметил он. По словам юриста, власти Москвы могут признать, что здоровье и благополучие людей важнее, чем законодательство о персональных данных, «иначе получается, что мэрия вводит работодателей в заблуждение».
Как заявил управляющий партнер юридической фирмы «Надмитов, Иванов и партнеры» Александр Надмитов, ссылаясь на письмо Роскомнадзора, «принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным». «То есть главным основанием для признания сведений персональными данными является возможность идентифицировать по ним определенное физическое лицо», — заявил он. Надмитов отметил, что номер телефона был отнесен к персональным данным постановлением правительства от 13 сентября 2019 года.
6 октября Собянин обязал работодателей столицы регулярно предоставлять властям города следующие данные о переведенных в связи с распространением COVID-19 на удаленный режим работы сотрудниках:
8 октября власти Москвы заявили, что работники не имеют права отказаться предоставлять данные сведения, так как «обязаны соблюдать дисциплину труда, в том числе правила поведения, определенные федеральными законами».
Опрошенные РБК юристы не пришли к единому мнению о законности требований властей Москвы. Советник юридической фирмы «Томашевская и партнеры» Роман Янковский сообщал РБК, что власти столицы не обладают полномочиями для того, чтобы запрашивать личные данные сотрудников. По словам Янковского, такая обязанность должна быть установлена законом.
Однако в коллегии адвокатов Pen & Paper сообщили, что мэр действовал в рамках законодательства. Партнер компании Екатерина Тягай отметила, что в некоторых случаях согласие человека на обработку его персональных данных не требуется, например, когда оператор должен выполнить функции, возложенные законодательством.
За последние сутки в Москве выявлен 3701 случай заражения коронавирусной инфекцией COVID-19, из которых 1001 человек госпитализирован.
Являются ли номер телефона и адрес электронной почты персональными данными?
Номер телефона и адрес электронной почты будут являться персональными данными, если они зарегистрированы на определенное физическое лицо, что позволит идентифицировать конкретного человека.
Телефон и адрес электронной почты как персональные данные
Как следует из положений ст. 8 Закона N 152-ФЗ, к персональным данным можно отнести фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, то есть ту информацию, которая позволяет идентифицировать конкретного человека. При этом приведенный перечень является открытым.
Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054).
Абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Например, абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных (Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ).
Таким образом, номер телефона и адрес электронной почты будут являться персональными данными, если они зарегистрированы на определенное физическое лицо, что позволит идентифицировать конкретного человека.
Согласие на использование номера телефона и адреса электронной почты
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч. 1 ст. 19 Закона N 152-ФЗ).
Обработка персональных данных осуществляется с согласия субъекта персональных данных, при этом обработка персональных данных, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта персональных данных (п. п. 1, 2 ч. 1 ст. 6 Закона N 152-ФЗ).
При осуществлении расчета в случае предоставления покупателем (клиентом) пользователю контрольно-кассовой техники до момента расчета абонентского номера либо адреса электронной почты пользователь контрольно-кассовой техники обязан направить кассовый чек или бланк строгой отчетности в электронной форме покупателю (клиенту) на предоставленные абонентский номер либо адрес электронной почты (при наличии технической возможности для передачи информации покупателю (клиенту) в электронной форме на адрес электронной почты) (ст. 1.1, п. 2 ст. 1.2 Федерального закона от 22.05.2003 N 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»).
Таким образом, отправка электронных кассовых чеков или бланков строгой отчетности на номера или электронную почту покупателей является выполнением положений, установленных п. 2 ч. 1 ст. 6 Закона N 152-ФЗ.
В случае отправки продавцом чеков на почту покупателя согласие на обработку персональных данных, в частности номера телефона и адреса электронной почты, не требуется, однако при последующем использовании персональных данных покупателя или их использовании в целях, не связанных с исполнением договора, оператору персональных данных требуется получение согласия от физического лица на обработку указанных данных.
Ответственность за распространение номера телефона и адреса электронной почты
Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):
• на граждан в размере от 3 000 до 5 000 руб.;