номер телефона это конфиденциальная информация или нет
Номер мобильного телефона и e-mail официально отнесены к персональным данным
На портале официальной информации размещено в понедельник постановление правительства Российской Федерации от 13.09.2019 №1197, определяющее, что номер телефона и адрес электронной почты относятся к персональным данным.
Правительство Российской Федерации постановило «дополнить состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, утвержденный постановлением правительства Российской Федерации от 30 июня 2018 г. № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации» пунктом «д» следующего содержания:
д) контактные данные физического лица (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты)».
Что является персональными данными по закону
Что такое персональные данные, какие существуют виды данных и что говорит о них закон — в материале “Ъ”.
Фото: Игорь Иванко, Коммерсантъ / купить фото
Фото: Игорь Иванко, Коммерсантъ / купить фото
Что такое персональные данные
Согласно федеральному закону от 27 июля 2006 года 152-ФЗ «О персональных данных», это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня данных в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.
Эксперт, бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий :
— Существующее понятие, содержащееся в законе «О персональных данных», является калькой с определения, взятого из Европейской конвенции по защите персональных данных, ратифицированной Россией в 2005 году. Более точно определить состав персональных данных и привести их перечень сегодня невозможно. Ни один из федеральных органов исполнительной власти сегодня не обладает полномочиями по уточнению этого термина. Поэтому каждая организация в зависимости от целей своего функционирования самостоятельно определяет тот перечень данных, которые она собирает у своих работников и клиентов, действующих и бывших, и которые и будут считаться персональными в данной организации.
Виды персональных данных
В федеральном законе №152 обозначены виды персональных данных:
— Общие. К ним законодательство относит базовые личные данные: ФИО, место регистрации, информация об образовании, о месте работы, номер телефона, e-mail;
— Специальные. Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях;
— Биометрические. Физиологические или биологические особенности человека, которые используют для установления его личности: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и другие;
— Иные. К ним относят все данные, которые нельзя отнести к другим видам: принадлежность к определенной социальной группе, корпоративные данные и так далее.
Сведения о заработной плате работника также являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации.
Стоит отметить, что не все фотографии и видеозаписи конкретного лица являются его биометрическими персональными данными, а только те, которые позволяют установить личность и используются для установления личности. Согласно Роскомнадзору, биометрическими персональными данными не является, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки.
Персональные данные в интернете
Размещение персональных данных на открытых онлайн-ресурсах не делает их автоматически общедоступными. По словам эксперта, если сайт идентифицирует пользователя, то вся связанная с ним активность на сайте будет рассматриваться как персональные данные.
Эксперт, бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий :
— Так как нет четкого перечня того, какие данные являются персональными, нет и четкого ответа на вопрос про данные на сайтах. Формально, если мы ввели в какой-либо форме наши ФИО и контактную информацию, то все, что мы вводили еще, будет считаться данными персональными, так как они относятся к конкретному физическому лицу. Файлы cookie, которые собираются почти всеми сайтами в интернете, также относятся к персональным данным. И e-mail, который используется в качестве логина на сайтах. И даже если где-то используется ник, детали которого раскрываются в личном кабинете, то это тоже может рассматриваться как персональные данные.
Обработка персональных данных
Обработка персональных данных должна осуществляться с согласия субъекта. Данное ранее согласие можно отозвать без каких-либо дополнительных условий. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено. Перечень исключений, при которых согласие на обработку данных не требуется, определен в законе:
— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;
— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;
— необходима для исполнения полномочий госорганов;
— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;
— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;
— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;
— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;
— данные являются общедоступными (например, справочники, адресные книги);
— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Выполнять операции с частными данными по разрешению субъекта может работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т. д. После достижения результата, ради которого осуществлялся сбор данных, оператор теряет легальную возможность их использования и несет ответственность при их намеренном разглашении.
Нарушения в отношении персональных данных
Российское законодательство предусматривает разные виды ответственности (дисциплинарную, административную, уголовную) за нарушение правил обращения с персональными данными. В качестве наиболее частых можно выделить следующие правонарушения:
— неполучение у гражданина согласия на обработку его персональных данных;
— неполучение согласия на передачу его персональных данных для обработки третьим лицам;
— неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;
— неполучение согласия на обработку биометрических персональных данных;
— нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.
Мэрия отказалась считать персональными данными номера телефонов москвичей
Информация, которую работающие в Москве компании в соответствии с указом Сергея Собянина должны передавать властям столицы, не относится к персональным данным сотрудников. Об этом заявили в пресс-службе департамента информационных технологий Москвы (ДИТ), отвечая на запрос «Интерфакса».
«Обращаем внимание на то, что номера телефонов, транспортных карт и государственных регистрационных знаков автомобилей без указания Ф. И. О. или иных сведений, позволяющих установить личность конкретного гражданина, не являются персональными данными», — заявили в пресс-службе ДИТ.
При этом в ведомстве заверили, что власти столицы не собираются контролировать перемещения лиц, чьи данные будут им переданы.
«Перед органами власти города Москвы не стоит задача определения места нахождения отдельного человека или маршрута его передвижения. Обезличенные данные позволят производить оперативную оценку эффективности реализации введенных ограничений», — пояснили в ДИТ.
Опрошенные РБК юристы не согласились с позицией ДИТ. Председатель коллегии адвокатов «Старинский и партнеры» Владимир Старинский обратил внимание на п. 3 ст. 1 закона «О персональных данных», где говорится, что персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. «То есть это не только фамилия, имя, отчество, но и другая информация, позволяющая косвенно установить по ней физическое лицо», — заявил он.
Старинский отметил, что, согласно указу мэра, работодатели обязаны предоставлять номера мобильного телефона, транспортного средства, а также карт «Стрелка» или «Тройка». «Имея номер транспортного средства или социальной карты, город может обратиться к базам данных и легко выяснить недостающую часть персональных данных. Кроме того, в последнее время люди активно стали использовать GetContact и другие программы, с помощью которых по номеру телефона можно выяснить, как человек записан у других людей», — отметил он. По словам юриста, власти Москвы могут признать, что здоровье и благополучие людей важнее, чем законодательство о персональных данных, «иначе получается, что мэрия вводит работодателей в заблуждение».
Как заявил управляющий партнер юридической фирмы «Надмитов, Иванов и партнеры» Александр Надмитов, ссылаясь на письмо Роскомнадзора, «принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным». «То есть главным основанием для признания сведений персональными данными является возможность идентифицировать по ним определенное физическое лицо», — заявил он. Надмитов отметил, что номер телефона был отнесен к персональным данным постановлением правительства от 13 сентября 2019 года.
6 октября Собянин обязал работодателей столицы регулярно предоставлять властям города следующие данные о переведенных в связи с распространением COVID-19 на удаленный режим работы сотрудниках:
8 октября власти Москвы заявили, что работники не имеют права отказаться предоставлять данные сведения, так как «обязаны соблюдать дисциплину труда, в том числе правила поведения, определенные федеральными законами».
Опрошенные РБК юристы не пришли к единому мнению о законности требований властей Москвы. Советник юридической фирмы «Томашевская и партнеры» Роман Янковский сообщал РБК, что власти столицы не обладают полномочиями для того, чтобы запрашивать личные данные сотрудников. По словам Янковского, такая обязанность должна быть установлена законом.
Однако в коллегии адвокатов Pen & Paper сообщили, что мэр действовал в рамках законодательства. Партнер компании Екатерина Тягай отметила, что в некоторых случаях согласие человека на обработку его персональных данных не требуется, например, когда оператор должен выполнить функции, возложенные законодательством.
За последние сутки в Москве выявлен 3701 случай заражения коронавирусной инфекцией COVID-19, из которых 1001 человек госпитализирован.
Является ли номер телефона персональными данными
В соответствии со статьей 7 Федерального закона « О персональных данных» от 27 июля 2006 года № 152-ФЗ лица (далее-Закон), получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. В настоящее время все чаще номера телефонов передаются и используются без согласия абонента, так как в законодательстве четко не указано, что они являются персональными данными.
Казалось бы, набор цифр номера телефона никак не может персонифицировать субъекта персональных данных, он полностью обезличен. Но добавьте к этим цифрам ФИО и ситуация в корне изменится. Плюс, если этот номер закреплен за конкретным физическим лицом по договору с оператором связи, то говорить об обезличенности набора цифр вовсе не приходится.
Но ст. 3 Закона также вводит понятие обезличивания персональных данных, которое включает в себя действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Сам по себе номер телефона без указания сведений о его владельце, является информацией обезличенной, то есть набор цифр нельзя признать персональной информацией.
А вот если номер телефона использован с указанием на ФИО его владельца, то такая информация уже носит характер конфиденциальной, и может быть использована только с согласия субъекта персональных данных на обработку его персональных данных.
Ст. 44.1. Закона «О связи» 07.07.2003 N 126-ФЗ с изменениями, вступившими в силу 21.10.2014г., также закрепляет, что если по номеру телефона можно как-либо идентифицировать абонента, то необходимо согласие абонента, например на рассылку рекламной информации.
Выводы:
1. Номер телефона является персональными данными;
2. Передача персональных данных третьим лицам без согласия субъекта персональных данных незаконна;
3. Использование номеров телефонов в случае отсутствия дополнительных сведений об их владельцах также требует согласия.
Персональные данные шире, чем вы думали: номер телефона и email
Правительство отнесло e-mail и номер телефона к персональным данным.
Время прочтения: 1,5 мин.
13 сентября 2019 г. Правительство РФ дополнило состав персональных данных которые размещаются в единой биометрической системе. Теперь к персональным данным относятся следующие сведения:
Что является персональными данными?
Согласно закону, к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Роскомнадзор ранее разъяснял, что такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.
Проще говоря, если по определённым данным можно вычислить (идентифицировать) лицо, которому принадлежат указанные данные, то такие данные являются персональными.
Древний спор юристов о том, является ли номер телефона и e-mail персональными данными, кажется подходит к концу. Некоторые утверждали, что раз уж законодательство о рекламе требует получения согласия на рассылку по номеру телефону, значит здесь есть аналогия с получением согласия субъекта на обработку персональных данных (получение информации). Другие утверждали, что это касается законодательства о рекламе и номер телефона, сам по себе, является обезличенным набором цифр. А вот вместе с именем и фамилией, номер цифр позволяет идентифицировать абонента.
Такая же история с адресом электронной почты. Формально, по адресу электронной почты типа saylor.moon@pochta.com можно вычислить имя и фамилию обладателя, но иногда это бывает псевдонимом, ником (например, stervo4ka94@pochta.com). С другой стороны, при получении сообщения мы можем увидеть тег содержащий имя и фамилию обладателя почтового ящика.
Ну и наконец, чего греха таить, известна история с расследованием и выпуском фильма «Он вам не Димон». Авторы фильма утверждали, что идентифицировали личный электронный почтовый адрес председателя Правительства (как раз того, кто подписал постановление, о котором мы и говорим в статье).
Система идентификации граждан и «скоринг»
К примеру, Ростелеком разрабатывает Единую биометрическую систему для идентификации граждан и получения ими финансовых услуг:
«Единая биометрическая система вместе с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получить возможность оцифровать волеизъявление и дистанционно подписывать документы.»
Не забывайте, что предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (так называемое «прайваси» или «right to privacy»).
За нарушение законодательства о персональных данных, также предусмотрена административная ответственность. В некоторых случаях, размер штрафа при этом достигает до 300 тыс. руб.
Надеюсь, обзор был интересным. Что вы думаете о таком подходе? Пишите в комментарии.
Придётся всё-таки хостинг маркетплейса переводить в Россию, а то, думаю, проблем будет немеряно.
А в закон разве требует хранить данные только на территории РФ?
Вроде там просто требование о хранении на территории РФ, то есть репликации БД должно хватить.
Верно. Если данные россиян, то серверы должны находится на территории РФ.
необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).
Вот это обязательные шаги для интернет магазинов?
Артур, всё зависит от того, какие данные вы собираете / обрабатываете и для какой цели (доставка и оформление заказа или что-то большее). Если вы признаетесь оператором, то лучше подать уведомление в Роскомнадзор, во избежание проверок и выставления штрафов. Политика конфиденциальности — политика по обработке перс.данных должна быть в обязательном порядке, с согласием и т.д. Иногда галочки «согласен» не достаточно — нужно смотреть текст документа.
Спасибо, Рустам! Да, только для оформления и доставки. Рассылки не делаем, не звоним, ничего не навязываем. Храним только для постпродажного обслуживания, замена, гарантия, возврат.
Я немного про другое, закон про ПД не запрещает передачу ПД за границу, вот например минсвязь пишет в пояснении
Учитывая, что Федеральным законом «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством Российской Федерации, считаем возможным трансграничную передачу указанной категории персональных данных.
Следовательно почему не сделать такой сетап – основные серверы и БД все так же за границей, а на территории РФ просто копия основной БД с персональными данными. ред.
1. Закон не запрещает трансграничную передачу данных, если, помимо прочего, есть согласие гражданина, а также государство в которое передаются данные, обеспечивает адекватную защиту персональных данных физических лиц (перечень государств не обеспечивающих адекватную защиту=не подписавших конвенцию Совета Европы утвержден отдельно).
2. Если вы обрабатываете данные, то вы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ — т.е. на серверах в РФ.
3. Но есть и другой режим, если вы признаетесь организатором распространения информации (ОРИ). Проще говоря, если на вашем сайте можно общаться пользователям, то вы должны также обеспечить хранение (а) информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий; (б) текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Не говоря уже о прочих обязанностях постановки в реестр посредством уведомления госоргана. По факту нарушения именно этого положения закона, заблокирован Линкедин и сейчас идет разбирательство в отношении Твиттер Инк.