Garant-blok.ru

Гарант Блок
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Являются ли паспортные данные персональными данными?

Являются ли номер телефона и адрес электронной почты персональными данными?

Номер телефона и адрес электронной почты будут являться персональными данными, если они зарегистрированы на определенное физическое лицо, что позволит идентифицировать конкретного человека.

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ)).

  • при оформлении кредита или при открытии расчетного счета в банке (финансовая организация обязана идентифицировать клиента по нормам закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» №ФЗ-115);
  • при получении вычета или налоговых льгот в ФНС;
  • при обращении в Росреестр (на основании пункта 12 статьи 18 №218-ФЗ от 13.07.2015) и иные государственные инстанции для регистрации права собственности;
  • при участии в электронных торгах (статьи 51, 88 «О контрактной системе в сфере закупок товаров, работ, услуг. » №44-ФЗ);
  • при оформлении визы в посольствах и консульствах;
  • при обращении за защитой своих интересов в суд.

Если копию паспорта запросили на законных основаниях, то нужно придерживаться некоторых рекомендаций. Так, старайтесь передавать паспортные данные только проверенным организациям, если это действительно необходимо. А также следите, чтобы ксерокопии снимали не со всего паспорта: обычно достаточно первых двух страниц. Можно также написать на копии паспорта, в какую организацию ее предоставили и с какой целью (чтобы копию не могли использовать мошенники в своих интересах).

Что относится к персональным данным?

Преподаватель-юрист «Что делать Консалт»

Консультация эксперта

Закон о персональных данных ужесточили. Штрафы увеличились. Обрабатывать персональные данные без согласия субъекта нельзя. Новостные ленты пестрят страшными заголовками. Но что на самом деле относится к персональным данным, помимо фамилии, имени и отчества? Ответ на этот вопрос вы найдёте в статье нашего эксперта Анастасии Чекмаревой.

Определение персональных данных

Начнём с основы. Определение можно найти в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ .

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

В редакции 2011 года закон содержал перечень:

  • Фамилия, имя, отчество
  • Дата и место рождения
  • Адрес
  • Семейное положение
  • Социальное положение
  • Имущественное положение
  • Образование
  • Профессия
  • Доходы
  • Другая информация о гражданине

В действующей редакции список не конкретизирован, в него входит вся информация, по которой можно определить субъекта прямо или косвенно.

Важно понимать, что не вся информация, которая относится к физическому лицу, будет считаться персональными данными, а только та, которая помогает идентифицировать субъекта. Например, адрес проживания сам по себе к таким данным не относится, но в связке с другой информацией, которая позволяет определить субъекта, его уже можно будет по определению к ним отнести.

Категории персональных данных

Среди всей информации, по которой можно определить субъекта, в законе выделено несколько особых категорий.

Специальные: раса, национальность и религия; политические и философские взгляд, здоровье, подробности личной жизни, судимости и др.

Биометрические: физиологические и биологические особенности человека. К ним относятся: отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

По таким категориям важна привязка к личности. Например, мужчина, рост 180 см, вес 75 кг – это неперсональные данные. Гражданина по такой информации идентифицировать невозможно. Но если добавить фамилию, имя, отчество – это биометрические персональные данные.

Ещё один пример, когда для прохода в офис сотрудники используют отпечаток пальца или радужную оболочку глаза. Для обработки такой информации необходимо согласие субъекта.

Вся остальная информация, по которой можно определить субъекта, также может быть отнесена к персональным данным. Отличие выделенных категорий в том, что к их обработке установлены особые требования. Например, согласие должно быть всегда в письменной форме или в форме электронного документа, подписанного электронной подписью. По сведениям, которые в эти категории не попадают, такая форма согласия не всегда обязательна.

В 2021 году была выделена ещё одна категория: персональные данные, разрешённые для распространения. Это информация, которую сам субъект разрешил распространять. Обратите внимание, это не та информация, которую граждане публикуют, например, в социальных сетях. На распространение должно быть получено отдельное согласие от субъекта.

Рассмотрим на примерах, какая информация является персональными данными, а что к ним отнести нельзя с точки зрения закона и судебной практики.

Паспортные данные

Информацию в паспорте можно поделить на две категории.

Сведения о владельце паспорта: фамилия, имя, отчество, дата и место рождения, адрес регистрации и др. Тут ответ однозначный. Информация прямо относится к гражданину и может его идентифицировать, соответственно, это персональные данные.

Данные паспорта как бланка: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения.

По вопросу, являются ли серия и номер паспорта персональными данными, существуют две позиции судов

Из вышесказанного следует, что серию и номер паспорта отдельно суды не всегда признают персональными данными, но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.

Остальная информация в паспорте: наименование органа, выдавшего паспорт, код подразделения, дата выдачи — к персональным данным не относится, так как определить по ней субъекта невозможно.

На вопрос, является ли ИНН персональными данными, нет однозначного ответа.

С одной стороны, Минфин России неоднократно давал разъяснения, что ИНН к ним не относится, а используется исключительно для того, чтобы упорядочить учёт налогоплательщиков внутри системы налоговых органов.

По мнению ведомства, ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в Едином государственном реестре налогоплательщиков (6 знаков) и контрольное число (2 знака). Таким образом, ИНН фактически является номером записи о лице в ЕГРН.
Письма Минфина России от 19.01.2021 № 03-01-11/2330, от 15.01.2021 № 03-01-11/1380, от 12.01.2021 № 03-01-11/343, от 12.01.2021 № 03-01-11/347 .

Вывод прост: ИНН сам по себе, без дополнительной информации, персональными данными не является, но в совокупности с другими данными, например Ф.И.О. и ИНН, уже таковыми будет.

Ранее мы рассматривали судебную практику, при которой страхователь смог избежать или снизить штрафные санкции за непредставленный отчёт СЗВ-М или представленный не в срок.

Номер телефона

При рассмотрении вопроса, является ли номер телефона персональными данными, важно, на кого он зарегистрирован: на гражданина или на юридическое лицо.

Номер, который принадлежит юридическому лицу, к субъекту не относится, соответственно, персональными данными не является ( Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ ).

Даже если номер зарегистрирован на физическое лицо, то ответ неоднозначен.

Сам по себе номер телефона, без привязки к абоненту, представляет собой набор цифр и персональными данными не является. К примеру, операторы связи имеют право выставить на продажу сим-карту с номером, которым абонент не пользовался длительное время, и при этом нарушений законодательства в области персональных данных тут нет.

Номер телефона в связке с другой информацией, по которой можно идентифицировать субъекта, это персональные данные.

Электронная почта

В отличие от номера телефона, который содержит случайный порядок цифр, электронная почта сама по себе может быть отнесена к персональным данным. Например, электронная почта 123456@___.ru без дополнительной информации персональными данными быть не может, а электронную почту ivanovivan00.01.1900@___.ru по определению можно отнести к таким данным, так как она содержит конкретизирующую информацию.

Читать еще:  Должностные обязанности директора по развитию

В связке с другой информацией, например электронная почта и номер телефона, это уже однозначно персональные данные. Такая позиция подтверждена судебной практикой, например Апелляционное определение Новосибирского областного суда от 27.09.2016 № 33-9626/2016 .

Сетевые идентификаторы (IP-адрес, файлы cookie и др.)

В настоящее время мы все больше и больше связаны сетью Интернет. Из этого вытекает новая категория: сетевые идентификаторы (IP-адрес, файлы cookie и др.). С их помощью можно отследить поведение пользователя в Сети и настроить маркетинговые предложения.

Существует судебная практика, где оператора связи оштрафовали за продажу сетевых идентификаторов своих абонентов.

Вместе с этим если говорить об IP-адресе отдельно, то тут вопрос спорный. С одной стороны, существует подтверждающая позиция судов, например Постановление Второго арбитражного апелляционного суда от 08.08.2019 № 02АП-5517/2019 по делу № А31-3955/2019 . Кроме того, в соответствии с Приказом ФГУП «Почта России» от 21.02.2019 № 73-п IP-адрес отнесён к персональным данным.

Но существует противоположная позиция. В Постановлении Восемнадцатого арбитражного апелляционного суда от 05.04.2017 № 18АП-2210/2017 по делу № А07-24090/2016 указано, что IP-адрес — это уникальный сетевой адрес узла в компьютерной сети, построенный по протоколу IP, и не относится к персональным данным.

Из этого следует, что IP-адрес будет отнесён к этой категории только при условии чёткой временной привязки к одному конкретному лицу.

Номер автомобиля

Государственный регистрационный номер присваивается автомобилю, а не собственнику.

Соответственно, сведения об автомобиле (марка, цвет, государственный номер) становятся персональными только в связке с информацией о его владельце.

Относительно VIN-номера автомобиля действуют те же правила. Он идентифицирует непосредственно автомобиль, а не владельца. Позиция подтверждена судебной практикой.

Исходя из этого, передача информации по автомобилю без связки с владельцем, например для оформления пропуска для проезда на закрытую территорию, не является передачей персональных данных.

Обратите внимание: здесь мы рассказывали о том, как самостоятельно продать автомобиль.

Фотография

С одной стороны, очевидно, что по изображению можно определить того, кто изображён. Но такая информация не всегда будет персональными данными, а только в том случае, когда фотография служит именно для идентификации субъекта. Рассмотрим несколько примеров.

Фото на пропуск. Такая фотография используется для того, чтобы можно было удостовериться, что предъявитель пропуска и его владелец — одно и то же лицо. Цель использования — определение личности. Соответственно, это персональные данные. Если вы фотографируете сотрудников или клиентов для оформления пропусков, то должны получить от них согласие. Позиция была озвучена Роскомнадзором.

Фото на копии паспорта. Мы все сталкиваемся с ситуациями, когда копируют паспорт. В паспорте есть фотография, и она остаётся у оператора. Является ли такая копия биометрическими персональными данными? Ответ на вопрос можно найти в . Если копия была сделана для подтверждения конкретных действий, например заключения договора на оказание банковских или медицинских услуг, то в эту категорию она не попадает и согласие не требуется. Если фотография используется для определения личности субъекта, то это биометрические персональные данные.

Фото с мероприятия. Распространённая ситуация, когда на мероприятиях или в общественных местах ведётся фотосъёмка. Роскомнадзор разъяснил : если фотосъёмка была в публичном месте, открытом для общего посещения (в парке, театре, на концерте, на спортивном мероприятии) и фотографии не используются для определения личности, то в данную категорию они не входят. Если цель использования фотоизображения идентификация гражданина, то это персональные данные.

Фото на сайте. При размещении на сайте фото и контактов сотрудников, отзывов клиентов с фотографией и дополнительной информацией о них, а также в других случаях, когда публикуется ряд сведений, по которым можно идентифицировать субъекта необходимо согласие. Такая информация является персональными данными.

Вывод прост: если фото используется для идентификации субъекта – это персональные данные, в остальных случаях таковыми не является.

Состояние здоровья

Состояние здоровья – это специальная категория персональных данных.

Особая актуальность этой категории связана с тем, что в связи с ухудшением эпидемиологической обстановки многие организации не только используют средства дезинфекции, но и измеряют температуру работников и посетителей, чтобы выявить признаки заболевания. Эта информация в совокупности с другими сведениями, по которым можно определить субъекта, является специальными персональными данными. Но необходимо ли получать отдельное согласие? Роскомнадзор 10 марта 2021 года разъяснил этот вопрос на своём сайте. Согласие брать не надо. Температура работника связана с возможностью исполнения его трудовых обязанностей. Если это не работники, то они подтверждают согласие действиями, а именно намереньем посетить организацию. В этом же разъяснении указан рекомендованный срок хранения таких данных — 7 суток с момента получения.

Мы рассмотрели примеры персональных данных. Естественно, список неисчерпывающий.

Анастасия Чекмарева, преподаватель-юрист ООО «Что делать Консалт»

4 невероятных факта о персональных данных

Так что же такое ПДн? Наш предыдущий пост о персональных данных собрал довольно много комментариев. Больше всего споров развернулось вокруг вопроса о том, что именно считать персональными данными.
Мы обещали в этом разобраться и обещание свое выполняем.

Факт № 1. Закон не содержит конкретного перечня

В 152-ФЗ под ПДн понимают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Из этого определения, нужно признать, мало что понятно.

Факт № 2. ПДн бывают трех видов

Факт № 3. Судебная практика по ПДн

Опираясь на имеющуюся судебную практику, давайте разберем, что нужно относить к ПДн:

  • Фамилия, имя, отчество, год, месяц, день и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы (Постановление по делу № А15-2016/2009 от 05.10.2010. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015. 19-й ААС).
  • Паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 № 33-14709).
    Есть решения судов, в которых указывается, что серия и номер паспорта идентифицируют бланк документа, но не физического лицо и, следовательно, не относятся к персональным данным (см. подробнее Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).
    С такими выводами трудно согласиться, так как серия и номер паспорта идентифицируют физическое лицо с легкостью.
  • Адрес электронной почты (см., например, Решение по делу № 12-253/2015 от 26.05.2015. Калининский районный суд (город Санкт-Петербург).
    При этом стоит обратить внимание, что практика и мнение Роскомнадзора относительно отнесения электронной почты к категории ПДн неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн, а в случае если адрес представляет собой набор символов (слов), его нельзя считать персональными данными.
  • Данные технического паспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 № 33-3718).
  • Адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, Апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014).
  • Сведения о пересечении государственной границы (см., например, Апелляционное определение Московского городского суда от 10.04.2014 № 33-11688).
  • Адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренной для официальной процедуры форме (см., например, Определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14).
  • Данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).
Читать еще:  Как правильно рассчитать процент сменяемости кадров пример

Применительно к отнесению данных к персональным важно понимать еще два момента:

  1. Никакой проверки или подтверждения, что данные относятся к конкретному физическому лицу, не требуется (закон такой процедуры не предусматривает). Поэтому оператор по факту не знает вымышленные ли это данные или нет, но от обязанностей по обработке ПДн это не избавляет.
  2. Персональными данными являются только те, которые могут идентифицировать физическое лицо (см., например, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Московского городского суда от 28 января 2014 г. N 33-5461/14).

Факт № 4. Более сложные материи

Помимо «простых» данных, вроде имени и фамилии, часто возникают вопросы относительно более «сложных» категорий типа IP-адреса, ника или профиля в социальной сети и их определения в качестве персональных данных.
В отнесении этих категорий персональных данных даже суды имеют разные точки зрения.

    Относительно IP-адреса в одном из судебных решений встречается довольно хороший правовой анализ «…Идентификация пользователя информационно-телекоммуникационной сети Интернет через установление его персональных данных по статическому IP-адресу, назначаемому оператором связи и постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет (при использовании статического IP-адреса все подключения пользователя всегда идентифицируются этим IP-адресом в сети связи) по своим правовым последствиям не может отличаться от случаев, когда IP-адрес назначается оператором связи пользовательскому оборудованию автоматически, на период подключения данного устройства (период сессии) к сети Интернет (динамический IP-адрес)» (Решение по делу № 2-5354/2015 от 24.09.2015. Октябрьский районный суд г. Самары (Самарская область)).

При этом одни суды IP-адрес к ПДн не относят (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015. 13-й ААС), а другие, наоборот, признают (Решение по делу № А76-29008/2015 от 11.02.2016. АС Челябинской обл.).

Представляется, что статичный IP-адрес справедливо относить к персональным данным, так как по нему идентифицировать пользователя легко. Но оператор не может знать, что будет являться статичным IP-адресом, в таком случае нужно признавать все IP адреса ПДн (на всякий пожарный).

  • Логин и пароль (от электронной почты или социальной сети) вызывает как раз меньше споров. Роскомнадзор неоднократно высказывался, что относить их к персональным данным нельзя.
  • Безусловно это только начало диалога о персональных данных и вопросов больше чем ответов.

    Что же касается таких космических материй как сбор информации о пользователи с помощью куков и прочих скриптов, то тут мы просим вас погодить. Товарищи, дайте же разобраться с тем что попроще! Потом уже будем надстраивать на эти ответы новые вопросы.

    Классификация персональных данных

    ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

    • обезличенные;
    • общие;
    • биометрические;
    • специальные.

    Общие персональные данные

    Общие персональные данные — это основная информация о человеке. К ним относят:

    • ФИО;
    • место прописки и проживания;
    • паспортные данные;
    • образование;
    • ИНН;
    • контактные данные;
    • сведения о работе;
    • размер доходов и т. д.

    Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

    Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

    Биометрические ПД

    Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

    Специальные ПД

    Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

    Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

    Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

    Обезличенные ПД

    Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

    • адресные книжки;
    • справочники;
    • реестры;
    • СМИ.

    Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

    Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

    Какие данные не относятся к персональным

    Каждая конкретная ситуация индивидуальна. Об этом мы уже говорили выше.

    Пример 1
    Номер автомобиля не будет сведениями о человеке, так как относится к конкретному автомобилю. Просто номер не входит в категорию «персональные данные». Однако при наличии в совокупности Ф. И. О. владельца номер попадает под защиту закона о ПД.

    Соответственно, одни и те же данные могут как относится к персональным данным, так и нет. Зависит это от совокупности нюансов в рамках конкретного случая.

    Пример 2
    Фотография лица без каких-либо дополнительных сведений в основном к персональным данным не относится. К охране снимка не всегда применяется закон о ПД (см. разъяснения РКН от 30.08.2013).

    В настоящее время ограниченного перечня сведений, которые входят в состав персональных данных, нет. Решение о необходимости получения согласия на обработку конкретных сведений принимается с учетом индивидуальных нюансов. В статье мы разобрали общие позиции по самым популярным вопросам. Например, является ли номер мобильного телефона персональными данными? Для получения более конкретных разъяснений следует обращаться в территориальное управление РКН.

    Что такое персональные данные?

    Точного перечня закон не содержит, увы. Определение дано общее — любая прямая или косвенная информация, относящаяся к определенному или определяемому человеку. Как видно, информация может напрямую указывать на человека или позволить определить человека.

    Это, в первую очередь, конечно фамилия — имя — семейное положение — национальность — состояние здоровья — сведения о гражданстве — паспортные данные — отпечатки пальцев — телефон и прочее подобное.

    Что значит обработка персональных данных?

    Это абсолютно любые действия, касающиеся ПД — накопление, хранение, систематизация, использование, уточнение, передача, извлечение и даже блокирование, уничтожение. Все эти манипуляции (а точный их список указан в ФЗ 152) требуют получения согласия от человека на обработку, наличия большого количества документов у ИП или юридического лица и уведомление Роскомнадзора.

    Читать еще:  Какую ответственность несет агентство недвижимости?

    Можно ли не уведомлять РКН?

    Да, если ваш случай указан в пункте 2 статьи 22 ФЗ 152 — для многих подходят такие основания, как:

    • обработка ПД осуществляется по трудовому законодательству — словом, это приемувольнение работника;
    • обработка ПД связана с исполнением договора — это может абсолютно любой договор, стороной которого является физическое лицо (подряда, услуг, в том числе услуги управляющего ИП в ООО и т.п.), главное — персональные данные не должны передаваться третьему лицу. К примеру, если вас наняли сделать ремонт в квартире, а вы привлекаете субподрядчика — ему передавать ПД уже нельзя;
    • Физ лицо само раскрыло свои данные широкому кругу лиц — к примеру, у вас есть сайт, на котором указаны ваши контактные данные, номер телефона и прочие, то есть данные общедоступны;
    • Персональные данные включают в себя только ФИО — больше ничего;
    • ПД обрабатываются без использования средств автоматизациии.

    Как видно, уведомлять Роскомнадзор не нужно во многих случаях, но это не умаляет обязанности получить от стороны согласие на обработку его данных, а также иметь всю документацию по обработке данных. Для тех кто хочет «перестраховаться» — заполнить форму уведомления в РКН не составляет сложности, даже ходить никуда не нужно.

    Что делать владельцам сайтов?

    Как я указывала выше, закон делает исключения в части уведомления РКН для сторон договора. Любого договора, будь то договор уборки квартиры, оферта в пункте проката или пользовательское соглашение на игровом сайте. Сам документ может называться по разному — договор, соглашение, публичная оферта, соглашение о конфиденциальности, политика, пользовательское соглашение, главное условие — документ должен быть двухсторонним — с одной стороны физическое лицо, чьи персональные данные охраняются как зеница ока, с другой — любое другое, кому эти данные вверяются.

    Таким образом, что нужно сделать, если у вас сайт? Правильно, разработать и разместить соглашение или политику по обработке ПД (назовем его «документ»), который должен быть доступен неограниченному кругу лиц. Кстати, данная обязанность прямо указана в п. 2 ст. 18.1 152 ФЗ.

    Что указывать в документе?

    Все что угодно, но обязательно должны быть:

    • контактные данные (ФИО, адрес) оператора ПД;
    • цель обработки ПД;
    • предполагаемые пользователи;
    • права носителя ПД, в том числе право на отзыв данных;
    • источник получения.

    Документ можно составить самостоятельно, скопировать у других или разработать под себя посредством услуг юристов. Размещать лучше на видном месте. Делать или нет специальное окошко, в котором пользователь будет ставить галочку о согласии — решает каждый сам для себя. Акцепт может быть разный и это не обязательно окошко с галочкой. Форму акцепта необходимо прописать в соглашении — документе.

    Это же указано в ГОСТ для сайтов, а также про это (необязательность специальных окон) говорил Роскомнадзор в своих разъяснениях об акцепте при заказе в интернет магазине. Согласие посредством смс — акцептом не является.

    Являются ли куки, ip адрес и прочие технические характеристики пользователя персональными данными?

    Анализируя практику за последние 2 года можно сказать, что да — являются. Но каждое судебное решение имеет свои особенности, а штраф всегда накладывался при совокупности нарушений — не просто за сбор файлов cookie, IP-адресов, а, к примеру, платежных данных или данных третьих лиц, имеющихся в контактах пользователя. К примеру, по делу LinkedIn основанием для привлечение к ответственности была совокупность нарушений вместе с которыми были также сбор куки файлов и айпи адресов (решение было обжаловано, но оставлено в силе).

    Трудно заранее предугадать будет ли суд накладывать штраф только за сбор IP адреса или нет — по сути он обезличен, не указывает напрямую на пользователя, к тому же может быть динамическим.

    Но есть и ряд других судебных дел, не имеющих, на первый взгляд, отношения к ПД. Одно из них дошло даже до Верховного суда. Суд рассматривал отказ оператора связи выдать персональные данные по запросу полиции, ссылаясь на тайну связи. Суд указал, что сведения об IP адресе не имеют отношения к защищаемой законом тайне связи, а всего лишь относится к пользователю услуг. Как это самое «всего лишь» в последствии скажется на судебных решениях по ПД — практика покажет.

    Что касается иных технических характеристик пользователя — в постановлении Апелляционной инстанции, указано, что к ПД абонента относятся

    время инициации запроса пользователем, адрес web-страницы, посещенной активным пользователем, HTTP referer (ссылка), User agent, coockie, src ip, src port, dst ip, dst port, геоидентификатор.

    Таким образом, лучше заранее позаботиться о наличии на своем сайте офертысоглашения. И не важно где расположен сайт — хоть в Африке, если услуги оказываются на территории РФ, он русскоязычный, имеет иные признаки, относящиеся к РФ — на него также распространяются требования 152 ФЗ.

    Кстати, еще в 2006 году Роскомнадзор публиковал комментарии к 152 ФЗ, в котором на многие вопросы даны ответы. Как я указала в начале статьи — ничего нового с 01 июля 2017 года в законе не принято, только ужесточается ответственность.

    Судебная практика по данному закону показала, что больше всего под «раздачу» попали банки, коллекторы и управляющие компании, осуществляющие действия по взысканию задолженности, не имея согласия на это от субъектов ПД и как ни странно — больницы, поликлиники, не обеспечивающие надлежащее хранение историй болезни. Думаю пострадавшим от салонов красоты, фильтров для воды, матрасов, посуды и прочего сервиса можно взять на вооружение новые нормы о штрафе и жаловаться на навязчивые звонки с предложением услуг.

    Даже работников кладбищ беспокоят новые штрафы и они на полном серьезе направили в Минкомсвязь письмо с разъяснением волнующего вопроса — у кого нужно испрашивать разрешение на размещение ФИО на могильных плитах. И государственный орган отвечает — согласие на обработку ПД умершего необходимо получать у родственников.

    Кстати, если у кого то есть вопросы в части применения закона 152 ФЗ — запросы нужно направлять в Минкомсвязь, а не Роскомандзор .

    И еще. Важным моментом является то, что согласие на обработку ПД можно дать исключительно в отношении себя. Поэтому незаконна передача личных данных родственников, друзей как контактных лиц МФО или банку, нельзя публиковать какие то сведения о других людях в соц сетяхфорумах и так далее.

    Что делать, если я обнаружил свои данные в интернете?

    Отвечу кратко: можно на выбор написать заявление в прокуратуру, жалобу хостеру, в Роскомнадзор или заявление поисковикам об удалении ваших данных по закону о забвении. Ну и суд конечно никто не отменял — если вышеуказанные действия не помогут.

    В тему

    Недавно Верховный суд принял постановление, в которому указал, что в текстах судебных актов, публикуемых на сайтах судов, не нужно удалять ФИО участников процесса, размеры взыскиваемых сумм, адреса юр лиц, за исключением особой категории дел, которая также приводится в постановлении.

    голоса
    Рейтинг статьи
    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector