Номер мобильного телефона и e-mail официально отнесены к персональным данным
На портале официальной информации размещено в понедельник постановление правительства Российской Федерации от 13.09.2019 №1197, определяющее, что номер телефона и адрес электронной почты относятся к персональным данным.
Правительство Российской Федерации постановило «дополнить состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, утвержденный постановлением правительства Российской Федерации от 30 июня 2018 г. № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации» пунктом «д» следующего содержания:
д) контактные данные физического лица (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты)».
Является ли номер телефона персональными данными
В соответствии со статьей 7 Федерального закона « О персональных данных» от 27 июля 2006 года № 152-ФЗ лица (далее-Закон), получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. В настоящее время все чаще номера телефонов передаются и используются без согласия абонента, так как в законодательстве четко не указано, что они являются персональными данными.
Казалось бы, набор цифр номера телефона никак не может персонифицировать субъекта персональных данных, он полностью обезличен. Но добавьте к этим цифрам ФИО и ситуация в корне изменится. Плюс, если этот номер закреплен за конкретным физическим лицом по договору с оператором связи, то говорить об обезличенности набора цифр вовсе не приходится.
Но ст. 3 Закона также вводит понятие обезличивания персональных данных, которое включает в себя действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Сам по себе номер телефона без указания сведений о его владельце, является информацией обезличенной, то есть набор цифр нельзя признать персональной информацией.
А вот если номер телефона использован с указанием на ФИО его владельца, то такая информация уже носит характер конфиденциальной, и может быть использована только с согласия субъекта персональных данных на обработку его персональных данных.
Ст. 44.1. Закона «О связи» 07.07.2003 N 126-ФЗ с изменениями, вступившими в силу 21.10.2014г., также закрепляет, что если по номеру телефона можно как-либо идентифицировать абонента, то необходимо согласие абонента, например на рассылку рекламной информации.
Выводы:
1. Номер телефона является персональными данными;
2. Передача персональных данных третьим лицам без согласия субъекта персональных данных незаконна;
3. Использование номеров телефонов в случае отсутствия дополнительных сведений об их владельцах также требует согласия.
Персональные данные шире, чем вы думали: номер телефона и email
Правительство отнесло e-mail и номер телефона к персональным данным.
Время прочтения: 1,5 мин.
13 сентября 2019 г. Правительство РФ дополнило состав персональных данных которые размещаются в единой биометрической системе. Теперь к персональным данным относятся следующие сведения:
Что является персональными данными?
Согласно закону, к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Роскомнадзор ранее разъяснял, что такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.
Проще говоря, если по определённым данным можно вычислить (идентифицировать) лицо, которому принадлежат указанные данные, то такие данные являются персональными.
Древний спор юристов о том, является ли номер телефона и e-mail персональными данными, кажется подходит к концу. Некоторые утверждали, что раз уж законодательство о рекламе требует получения согласия на рассылку по номеру телефону, значит здесь есть аналогия с получением согласия субъекта на обработку персональных данных (получение информации). Другие утверждали, что это касается законодательства о рекламе и номер телефона, сам по себе, является обезличенным набором цифр. А вот вместе с именем и фамилией, номер цифр позволяет идентифицировать абонента.
Такая же история с адресом электронной почты. Формально, по адресу электронной почты типа saylor.moon@pochta.com можно вычислить имя и фамилию обладателя, но иногда это бывает псевдонимом, ником (например, stervo4ka94@pochta.com). С другой стороны, при получении сообщения мы можем увидеть тег содержащий имя и фамилию обладателя почтового ящика.
Ну и наконец, чего греха таить, известна история с расследованием и выпуском фильма «Он вам не Димон». Авторы фильма утверждали, что идентифицировали личный электронный почтовый адрес председателя Правительства (как раз того, кто подписал постановление, о котором мы и говорим в статье).
Система идентификации граждан и «скоринг»
К примеру, Ростелеком разрабатывает Единую биометрическую систему для идентификации граждан и получения ими финансовых услуг:
«Единая биометрическая система вместе с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получить возможность оцифровать волеизъявление и дистанционно подписывать документы.»
Не забывайте, что предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (так называемое «прайваси» или «right to privacy»).
За нарушение законодательства о персональных данных, также предусмотрена административная ответственность. В некоторых случаях, размер штрафа при этом достигает до 300 тыс. руб.
Надеюсь, обзор был интересным. Что вы думаете о таком подходе? Пишите в комментарии.
Придётся всё-таки хостинг маркетплейса переводить в Россию, а то, думаю, проблем будет немеряно.
А в закон разве требует хранить данные только на территории РФ?
Вроде там просто требование о хранении на территории РФ, то есть репликации БД должно хватить.
Верно. Если данные россиян, то серверы должны находится на территории РФ.
необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).
Вот это обязательные шаги для интернет магазинов?
Артур, всё зависит от того, какие данные вы собираете / обрабатываете и для какой цели (доставка и оформление заказа или что-то большее). Если вы признаетесь оператором, то лучше подать уведомление в Роскомнадзор, во избежание проверок и выставления штрафов. Политика конфиденциальности — политика по обработке перс.данных должна быть в обязательном порядке, с согласием и т.д. Иногда галочки «согласен» не достаточно — нужно смотреть текст документа.
Спасибо, Рустам! Да, только для оформления и доставки. Рассылки не делаем, не звоним, ничего не навязываем. Храним только для постпродажного обслуживания, замена, гарантия, возврат.
Я немного про другое, закон про ПД не запрещает передачу ПД за границу, вот например минсвязь пишет в пояснении
Учитывая, что Федеральным законом «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством Российской Федерации, считаем возможным трансграничную передачу указанной категории персональных данных.
Следовательно почему не сделать такой сетап – основные серверы и БД все так же за границей, а на территории РФ просто копия основной БД с персональными данными. ред.
1. Закон не запрещает трансграничную передачу данных, если, помимо прочего, есть согласие гражданина, а также государство в которое передаются данные, обеспечивает адекватную защиту персональных данных физических лиц (перечень государств не обеспечивающих адекватную защиту=не подписавших конвенцию Совета Европы утвержден отдельно).
2. Если вы обрабатываете данные, то вы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ — т.е. на серверах в РФ.
3. Но есть и другой режим, если вы признаетесь организатором распространения информации (ОРИ). Проще говоря, если на вашем сайте можно общаться пользователям, то вы должны также обеспечить хранение (а) информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий; (б) текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Не говоря уже о прочих обязанностях постановки в реестр посредством уведомления госоргана. По факту нарушения именно этого положения закона, заблокирован Линкедин и сейчас идет разбирательство в отношении Твиттер Инк.
Роскомнадзор о персональных данных в 2021
26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году.
Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.
На семинаре прозвучали доклады:
Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.
Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:
Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы. Здесь полная двухчасовая версия:
Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников.
Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2021 году.
GDPR и российские компании
GDPR может применяться к российским компаниям в нескольких случаях:
Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.
Будет ли приведено российское законодательство к требованиям GDPR
По словам Контемирова, это дискуссионный вопрос. Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.
Трудовые отношения
Как передавать персональные данные сотрудников в рамках групп компаний
Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.
Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).
Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.
Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании
Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).
В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.
Порядок уничтожения персональных данных
Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.
Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.
Что относится к персональным данным по мнению Роскомнадзора
Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.
Сбор копий документов, содержащих персональные данные
Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.
Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.
Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.
Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.
Являются ли идентификаторы персональными данными
Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.
Даже без дополнительной информации идентификаторы являются персональными данными.
Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.
Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона — не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.
Фотографии и видеозаписи в контексте персональных данных
Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”
Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.
Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.
Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.
Профилирование и оценка личностных качеств
Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных
Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.
О согласиях на обработку персональных данных
Несколько целей в одном согласии
Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.
Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.
Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.
Получение согласия на обработку персональных данных при заключении договора
Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.
Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.
Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.
Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.
Согласия на обработку персональных данных соискателя и близких родственников
Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.
Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.
Например, сообщить о необходимости проверки конфликта интересов.
Обработка персональных данных родственников сотрудника имеет ряд особенностей
Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.
Электронные копии согласий на обработку персональных данных
Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?
Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.
Срок согласия на обработку персональных данных
По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.
Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.
Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.
Форма согласия на получение рассылки от иностранного сайта
Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?
Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.
Передача персональных данных третьим лицам
Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.
Если для обработки персональных данных необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.
Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам.
Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.
Договоры поручения на обработку персональных данных
Является ли провайдер облачных услуг оператором?
Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.
Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?
Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.
Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?
Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.
Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.
Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?
Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.
Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.
Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?
Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.
Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.
Персональные данные представителей компаний в договоре
Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности.
Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.
Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.
Ответственное лицо
Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?
К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.
Можно ли назначить нескольких лиц, ответственных за обработку ПД?
В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.
Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?
Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.
Заключение
Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций. Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте вашей ситуации.
Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.
Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.
Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе.
Остаюсь с вами на связи. Все вопросы по статье можно написать в чат в Я.Дзене.
ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.