К какой категории конфиденциальности относятся фио паспортные данные и номер телефона клиентов банка

Консультация эксперта

Закон о персональных данных ужесточили. Штрафы увеличились. Обрабатывать персональные данные без согласия субъекта нельзя. Новостные ленты пестрят страшными заголовками. Но что на самом деле относится к персональным данным, помимо фамилии, имени и отчества? Ответ на этот вопрос вы найдёте в статье нашего эксперта Анастасии Чекмаревой.

***

Определение персональных данных 

Начнём с основы. Определение можно найти в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

В редакции 2011 года закон содержал перечень:

  • Фамилия, имя, отчество
  • Дата и место рождения
  • Адрес
  • Семейное положение
  • Социальное положение
  • Имущественное положение
  • Образование
  • Профессия
  • Доходы
  • Другая информация о гражданине

В действующей редакции список не конкретизирован, в него входит вся информация, по которой можно определить субъекта прямо или косвенно.  

Важно понимать, что не вся информация, которая относится к физическому лицу, будет считаться персональными данными, а только та, которая помогает идентифицировать субъекта. Например, адрес проживания сам по себе к таким данным не относится, но в связке с другой информацией, которая позволяет определить субъекта, его уже можно будет по определению к ним отнести.

Категории персональных данных 

Среди всей информации, по которой можно определить субъекта, в законе выделено несколько особых категорий.

Специальные: раса, национальность и религия; политические и философские взгляд, здоровье, подробности личной жизни, судимости и др.

Биометрические: физиологические и биологические особенности человека. К ним относятся: отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии. 

По таким категориям важна привязка к личности. Например, мужчина, рост 180 см, вес 75 кг – это неперсональные данные. Гражданина по такой информации   идентифицировать невозможно. Но если добавить фамилию, имя, отчество – это биометрические персональные данные.

Ещё один пример, когда для прохода в офис сотрудники используют отпечаток пальца или радужную оболочку глаза. Для обработки такой информации необходимо согласие субъекта.

Вся остальная информация, по которой можно определить субъекта, также может быть отнесена к персональным данным. Отличие выделенных категорий в том, что к их обработке установлены особые требования. Например, согласие должно быть всегда в письменной форме или в форме электронного документа, подписанного электронной подписью. По сведениям, которые в эти категории не попадают, такая форма согласия не всегда обязательна.

В 2021 году была выделена ещё одна категория: персональные данные, разрешённые для распространения. Это информация, которую сам субъект разрешил распространять. Обратите внимание, это не та информация, которую граждане публикуют, например, в социальных сетях. На распространение должно быть получено отдельное согласие от субъекта.

Рассмотрим на примерах, какая информация является персональными данными, а что к ним отнести нельзя с точки зрения закона и судебной практики. 

Паспортные данные

Информацию в паспорте можно поделить на две категории.

Сведения о владельце паспорта: фамилия, имя, отчество, дата и место рождения, адрес регистрации и др. Тут ответ однозначный. Информация прямо относится к гражданину и может его идентифицировать, соответственно, это персональные данные.

Данные паспорта как бланка: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения.

По вопросу, являются ли серия и номер паспорта персональными данными, существуют две позиции судов

  1. Серия и номер паспорта относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность.
    Постановление Седьмого арбитражного апелляционного суда от 05.04.2018 № 07АП-1437/2018 по делу № А45-31682/2017.
    Постановление Седьмого арбитражного апелляционного суда от 19.03.2018 № 07АП-1435/2018 по делу № А45-31683/2017.
  2. Серия и номер паспорта – неотъемлемые реквизиты документа и делают его уникальным.
    Определение Верховного Суда РФ от 08.09.2020 № 308-ЭС20-11154 по делу № А63-13382/2019.
    Апелляционное определение Верховного Суда Республики Адыгея от 26.01.2018 по делу № 33-42/2018.

Из вышесказанного следует, что серию и номер паспорта отдельно суды не всегда признают персональными данными, но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.

Остальная информация в паспорте: наименование органа, выдавшего паспорт, код подразделения, дата выдачи — к персональным данным не относится, так как определить по ней субъекта невозможно.  

ИНН

На вопрос, является ли ИНН персональными данными, нет однозначного ответа.

С одной стороны, Минфин России неоднократно давал разъяснения, что ИНН к ним не относится, а используется исключительно для того, чтобы упорядочить учёт налогоплательщиков внутри системы налоговых органов.

По мнению ведомства, ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в Едином государственном реестре налогоплательщиков (6 знаков) и контрольное число (2 знака). Таким образом, ИНН фактически является номером записи о лице в ЕГРН.
Письма Минфина России от 19.01.2021 № 03-01-11/2330, от 15.01.2021 № 03-01-11/1380, от 12.01.2021 № 03-01-11/343, от 12.01.2021 № 03-01-11/347.

Одновременно с разъяснениями ведомства в судебной практике существует противоположная позиция, согласно которой ИНН относят к такой категории. Постановление Арбитражного суда Московского округа от 26.07.2021 № Ф05-14419/2021 по делу № А40-183316/2020.
Апелляционное определение Четвёртого апелляционного суда общей юрисдикции от 02.02.2021 по делу № 66-313/2021.

Вывод прост: ИНН сам по себе, без дополнительной информации, персональными данными не является, но в совокупности с другими данными, например Ф.И.О. и ИНН, уже таковыми будет.

Ранее мы рассматривали судебную практику, при которой страхователь смог избежать или снизить штрафные санкции за непредставленный отчёт СЗВ-М или представленный не в срок.

Номер телефона

При рассмотрении вопроса, является ли номер телефона персональными данными, важно, на кого он зарегистрирован: на гражданина или на юридическое лицо.

Номер, который принадлежит юридическому лицу, к субъекту не относится, соответственно, персональными данными не является (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ).

Даже если номер зарегистрирован на физическое лицо, то ответ неоднозначен.

Сам по себе номер телефона, без привязки к абоненту, представляет собой набор цифр и персональными данными не является. К примеру, операторы связи имеют право выставить на продажу сим-карту с номером, которым абонент не пользовался длительное время, и при этом нарушений законодательства в области персональных данных тут нет.

Номер телефона в связке с другой информацией, по которой можно идентифицировать субъекта, это персональные данные.

Электронная почта

В отличие от номера телефона, который содержит случайный порядок цифр, электронная почта сама по себе может быть отнесена к персональным данным. Например, электронная почта 123456@___.ru без дополнительной информации персональными данными быть не может, а электронную почту ivanovivan00.01.1900@___.ru по определению можно отнести к таким данным, так как она содержит конкретизирующую информацию.

В связке с другой информацией, например электронная почта и номер телефона, это уже однозначно персональные данные. Такая позиция подтверждена судебной практикой, например Апелляционное определение Новосибирского областного суда от 27.09.2016 № 33-9626/2016.  

Сетевые идентификаторы (IP-адрес, файлы cookie и др.)

В настоящее время мы все больше и больше связаны сетью Интернет. Из этого вытекает новая категория: сетевые идентификаторы (IP-адрес, файлы cookie и др.). С их помощью можно отследить поведение пользователя в Сети и настроить маркетинговые предложения.

Существует судебная практика, где оператора связи оштрафовали за продажу сетевых идентификаторов своих абонентов.

Постановление Девятого арбитражного апелляционного суда от 23.05.2016 № 09АП-17574/2016 по делу № А40-14902/16.

Вместе с этим если говорить об IP-адресе отдельно, то тут вопрос спорный. С одной стороны, существует подтверждающая позиция судов, например Постановление Второго арбитражного апелляционного суда от 08.08.2019 № 02АП-5517/2019 по делу № А31-3955/2019. Кроме того, в соответствии с Приказом ФГУП «Почта России» от 21.02.2019 № 73-п IP-адрес отнесён к персональным данным.

Но существует противоположная позиция. В Постановлении Восемнадцатого арбитражного апелляционного суда от 05.04.2017 № 18АП-2210/2017 по делу № А07-24090/2016 указано, что IP-адрес — это уникальный сетевой адрес узла в компьютерной сети, построенный по протоколу IP, и не относится к персональным данным.

Из этого следует, что IP-адрес будет отнесён к этой категории только при условии чёткой временной привязки к одному конкретному лицу.

Номер автомобиля

Государственный регистрационный номер присваивается автомобилю, а не собственнику.

П. 37 Правил государственной регистрации транспортных средств в регистрационных подразделениях Государственной инспекции безопасности дорожного движения Министерства внутренних дел Российской Федерации, утверждённых Постановлением Правительства РФ от 21.12.2019 № 1764, п. 105 Административного регламента Министерства внутренних дел Российской Федерации предоставления государственной услуги по регистрации транспортных средств, утверждённого Приказом МВД России от 21.12.2019 № 950.

Соответственно, сведения об автомобиле (марка, цвет, государственный номер) становятся персональными только в связке с информацией о его владельце.

Относительно VIN-номера автомобиля действуют те же правила. Он идентифицирует непосредственно автомобиль, а не владельца. Позиция подтверждена судебной практикой.

Решение Краснодарского УФАС России от 18.02.2020 № 023/10/18.1-563/2020.

Исходя из этого, передача информации по автомобилю без связки с владельцем, например для оформления пропуска для проезда на закрытую территорию, не является передачей персональных данных. 

Обратите внимание: здесь мы рассказывали  о том, как самостоятельно продать автомобиль.

Фотография

С одной стороны, очевидно, что по изображению можно определить того, кто изображён. Но такая информация не всегда будет персональными данными, а только в том случае, когда фотография служит именно для идентификации субъекта. Рассмотрим несколько  примеров.

Фото на пропуск. Такая фотография используется для того, чтобы можно было удостовериться, что предъявитель пропуска и его владелец — одно и то же лицо. Цель использования — определение личности. Соответственно, это персональные данные. Если вы фотографируете сотрудников или клиентов для оформления пропусков, то должны получить от них согласие. Позиция была озвучена Роскомнадзором.

и подтверждена в судебной практике, например Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017

Фото на копии паспорта. Мы все сталкиваемся с ситуациями, когда копируют паспорт. В паспорте есть фотография, и она остаётся у оператора. Является ли такая копия биометрическими персональными данными? Ответ на вопрос можно найти в  . Если копия была сделана для подтверждения конкретных действий, например заключения договора на оказание банковских или медицинских услуг, то в эту категорию она не попадает и согласие не требуется. Если фотография используется для определения личности субъекта, то это биометрические персональные данные.

Фото с мероприятия. Распространённая ситуация, когда на мероприятиях или в общественных местах ведётся фотосъёмка. Роскомнадзор разъяснил: если фотосъёмка была в публичном месте, открытом для общего посещения (в парке, театре, на концерте, на спортивном мероприятии) и фотографии не используются для определения личности, то в данную категорию они не входят. Если цель использования фотоизображения идентификация гражданина, то это персональные данные. 

Фото на сайте.  При размещении на сайте фото и контактов сотрудников, отзывов клиентов с фотографией и дополнительной информацией о них, а также в других случаях, когда публикуется ряд сведений, по которым можно идентифицировать субъекта необходимо согласие. Такая информация является персональными данными.

Вывод прост: если фото используется для идентификации субъекта – это персональные данные, в остальных случаях таковыми не является.  

Состояние здоровья

Состояние здоровья – это специальная категория персональных данных.

Особая актуальность этой категории связана с тем, что в связи с ухудшением эпидемиологической обстановки многие организации не только используют средства дезинфекции, но и измеряют температуру работников и посетителей, чтобы выявить признаки заболевания. Эта информация в совокупности с другими сведениями, по которым можно определить субъекта, является специальными персональными данными. Но необходимо ли получать отдельное согласие? Роскомнадзор 10 марта 2021 года разъяснил этот вопрос на своём сайте. Согласие брать не надо. Температура работника связана с возможностью исполнения его трудовых обязанностей. Если это не работники, то они подтверждают согласие действиями, а именно намереньем посетить организацию. В этом же разъяснении указан рекомендованный срок хранения таких данных — 7 суток с момента получения. 

Мы рассмотрели примеры персональных данных. Естественно, список неисчерпывающий.

Информацию о том, что относится к персональным данным, а также пошаговый алгоритм по работе с ними вы можете найти в справочно-правовой системе КонсультантПлюс

Анастасия Чекмарева, преподаватель-юрист ООО «Что делать Консалт»

Свидетельство о регистрации СМИ: Эл № ФС77-67462 от 18 октября 2016 г.
Контакты редакции: +7 (495) 784-73-75, smi@4dk.ru

Источник

На вопросы корреспондента отвечает Сергей Королев, заместитель председателя правления «Ренессанс Кредит»

 
— Что входит в понятие персональные данные помимо паспортных данных? 

— Персональные данные – это любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу. Другими словами, это сведения, на основе которых можно определить физическое лицо. 

 
— Какие персональные данные банк вправе запросить у клиента? Является ли корректной просьба оставить контакты родственников, знакомых? С какой целью запрашивается эта информация?  

— Банк запрашивает у клиента персональные данные, которые необходимы для проверки его платежеспособности, а также для заключения с ним кредитного договора. К таким сведениям относятся ФИО, адрес, номер телефона, паспортные данные. Банк может попросить предоставить телефоны родственников для связи с самим клиентом, в случае если по предоставленным прямым номерам банк не сможет до него дозвониться. При этом отказ клиента не влияет на решение финансовой организации о выдаче кредита или оказании иных услуг.  

 
— Что означает формулировка «согласие на обработку персональных данных»? Как производится эта «обработка»? Для чего требуется согласие на обработку персональных данных? 

— Данная формулировка означает, что клиент согласен на действия, предусмотренные законодательством, которые будут производиться с его персональными данными. Обработка включает в себя сбор данных, запись, систематизацию, накопление и хранение, уточнение (обновление и изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Согласие на обработку персональных данных позволяет клиенту иметь доступ к дополнительным услугам банка, в рамках которых персональная информация передается контрагентам, что осуществляется как раз только при наличии разрешения от клиента / с согласия клиента. 

 
— Как долго хранятся персональные данные клиентов в банке, и в каких случаях банки к ним обращаются? Можно ли попросить банк удалить свои данные из базы? Если да, то как это сделать (инструкция)? 

— Персональные данные хранятся в течение срока, предусмотренного в согласии, или до отзыва клиентом своего согласия на обработку персональных данных. Банк обращается к этим сведениям в процессе обслуживания клиента. Клиент может попросить удалить свои персональные данные. Для этого необходимо направить в банк заявление об отзыве своего согласия на обработку персональных данных. 

 
— Имеют ли право кредитные организации передавать кому-то персональные данные клиентов (судебным приставам, например)? 

— Банк имеет право с согласия клиента передавать персональные данные третьим лицам. При этом передача информации судебным приставам, в суд или другим органам осуществляется в соответствии с законодательством, и на такую передачу согласие клиента не требуется. 

Источник

Соглашаясь на обработку банком своих персональных данных, клиент должен быть готов, что кредитная организация передаст их третьим лицам. А нежелание делиться с банком информацией личного характера может привести к тому, что финансовый институт просто откажется с вами работать.

То, как банки используют и обрабатывают персональные данные клиентов, зачастую вызывает массу вопросов у граждан. Например, люди жалуются, что в банках злоупотребляют полученной информацией, направляя в адрес клиента рекламу своих новых продуктов или звоня в любое время суток. Отдельного упоминания заслуживает разглашение банками информации личного характера родственникам, знакомым, коллегам клиента, а также коллекторам. В «Народном рейтинге» на портале Банки.ру можно встретить много отзывов, в которых банки фактически обвиняются в несоблюдении закона о персональных данных. В то же время некоторые граждане не совсем понимают, что подразумевается под персональными данными, и путают этот термин с банковской тайной.

«Дома выяснилось, что мною подписано соглашение на обработку моих персональных данных, — пишет в «Народном рейтинге» клиентка Промсвязьбанка под ником Mika4799!. — Хотя, мне было сказано, что я подписываю заявление на открытие вклада. Почему мне ничего не сказали об этом? Я не хочу, чтобы мои данные заносились в какие-нибудь базы или использовались для отправки мне различных SMS. На обработку данных я не согласна. Тем более не знаю, в чем она заключается».

К персональным данным, согласно одноименному закону, относится любая информация, с помощью которой можно идентифицировать человека: ФИО, место и год рождения, адрес прописки, паспортные данные и т. д. И по закону банк обязан запрашивать у клиента письменное разрешение на их обработку. А вот информация по операциям, счетам и вкладам клиентов, согласно ст. 26 закона о банках и банковской деятельности, относятся к банковской тайне.

Оператором персональных данных выступает физическое или юридическое лицо, осуществляющее их обработку, а также определяющее ее цели и содержание. Проще говоря, оператором может быть и работодатель, и компания сотовой связи, и паспортный стол, и любой человек, обладающей информацией о том, кто живет в соседней квартире.

В большинстве банков запрашивают разрешение на обработку персональных данных еще на стадии анкетирования. Как правило, в этом пункте говорится, что клиент соглашается на использование его персональных данных для продвижения продуктов и услуг банка, также эти данные могут быть переданы третьим лицам.

Если человек отказывает в обработке своих данных, то, согласно п. 2.2 ст. 6 закона, кредитная организация может использовать информацию о клиенте только в целях исполнения заключенного с ним договора. Строго говоря, никаких рассылок по почте или SMS, звонков с предложением вкладчику открыть кредитную карту и наоборот. Вот только во многих банках утверждают, что несогласие человека на обработку его персональных данных может повлиять на решение не только выдать кредит, но даже открыть вклад. Например, в ЮниКредит Банке считают, что обработка персональных данных необходима в целях противодействия легализации средств, полученных преступным путем. Как замечает заместитель руководителя службы информационной безопасности Промсвязьбанка Иван Янсон, «без указания ФИО клиента, его паспортных данных невозможно заключить ни один договор, а ведь это уже и есть обработка персональных данных; поэтому банк просто не может предоставить свои услуги анонимному клиенту, как и любая другая организация».

В МБРР эту позицию поддерживают, однако, считают, что клиент имеет полное право отказаться от предоставления и обработки некоторых дополнительных контактных данных, которые зачастую запрашиваются банками в маркетинговых целях: «Клиент, отказавший в обработке своих дополнительных контактных данных, безусловно, сможет воспользоваться банковскими услугами, в том числе и вкладами, — говорит вице-президент банка Михаил Яценко. — Ни в законодательстве, ни в нашем банке нет никаких ограничивающих документов на этот счет. Все клиенты имеют равные возможности воспользоваться нашими продуктами».

Собеседники Банки.ру отмечают, что принятый в 2006 году закон о персональных данных очень «сырой», содержит много рамочных определений, что дает юристам широкие возможности для его толкования. «Правоприменительная практика по этому закону очень небольшая, — подчеркивает начальник юридического управления СДМ-Банка Александр Голубев. — Поэтому операторы персональных данных, в том числе и банки, ждут от регулирующих органов каких-либо пояснений к закону, пока же в основном все работают по наитию, исходя из собственного понимания этого документа».

О том, насколько легко в России получить полную информацию о человеке, знает каждый, кто хоть раз искал данные о себе или о знакомом в Интернете, покупал на развале базы данных.

Банкиры утверждают: в том числе из-за того, что закон им не слишком понятен, они стараются всегда получить разрешение на обработку персональных данных, дабы потом не иметь проблем ни с клиентами, ни с регулирующими органами.

Как известно, полученную информацию о клиенте (телефон, почтовый или электронный адреса) в банках зачастую используют для рассылки различного рода предложений своих продуктов и услуг. Если же реклама слишком навязчива, можно пожаловаться в банк на назойливое к себе внимание. Судя по отзывам в «Народном рейтинге», иногда это помогает и банк отключает рассылку своих предложений для клиента. Если банк остался глух к просьбам, то можно обратиться в ФАС с жалобой на навязывание услуги, на недобросовестную конкуренцию.

Иногда люди получают персональные письма от кредитных организаций с предложением воспользоваться их продуктами. По закону к общедоступным персональным данным могут относиться сведения об имени, месте жительства и абонентском номере человека. Скорее всего, именно на этом и будет настаивать банк, рассылающий персональные рекламные письма. Доказать же, что ваши данные были получены незаконным путем, будет крайне сложно. Более эффективный способ отучить банк от спама — пожаловаться на него в ФАС.

Другой тип претензий, связанный с персональными данными, — передача их коллекторам. Банкиры единодушны во мнении, что если человек согласился на обработку информации о себе, то банк имеет право передать ее третьим лицам. Кстати, по закону клиент вправе знать, кому предоставили его персональные данные. Здесь уже можно обращаться в Роспотребнадзор, который вообще считает деятельность коллекторов в России незаконной.

Также бывают случаи, когда банки по ошибке присылают постороннему человеку информацию для своего клиента. Если в письме раскрывается информация об операциях по счету, то банк совершил неправомерное разглашение банковской тайны. По словам банкиров, клиент, чьи права были нарушены, может пожаловаться в ЦБ и подать иск против нерадивого финансового института. Узнать о том, что его права нарушены, клиент может только от человека, которому по ошибке предоставили эти сведения. Однако обычно люди, получившие не предназначенные им документы, просто выбрасывают их в мусор. Другой вариант — имел место массовый сбой в рассылке документов, в итоге сотни, а то и тысячи людей получили чужие документы и информация об этом получила широкую огласку.

Если же банк по ошибке отправил письмо, в котором не было данных, содержащих банковскую тайну, то вряд ли клиенту удастся наказать кредитную организацию. Скорее всего, банк пришлет стандартное извинение с заверением, что подобное больше не повторится. По мнению банкиров, регулирующие органы вряд ли предпримут санкции в отношении кредитной организации, допустивших одну-другую такую ошибку. Ну может, немного пожурят.

Самая громкая история с ненадлежащим хранением персональных данных имела место весной прошлого года. Тогда выяснилось, что ярославский филиал ВТБ 24 выбросил на помойку информацию о тысячах граждан, которым этот банк отказал в кредите. Тогда в кредитной организации признали факт халатности, а представители ЦБ заявляли, что закон нуждается в существенной доработке, так как в нем нет четких указаний, как финансовые учреждения должны уничтожать документы с персональными данными клиентов. Возможно, эта история заставила кого-то не лениться и забирать документы из банка, если отношения с ним не сложились.

По закону человек может в любой момент отозвать свое разрешение на обработку персональных данных. Для этого нужно прийти в банк и написать соответствующее заявление. Однако вовсе не значит, что кредитная организация тут же уничтожит все данные о вас. Например, ЦБ обязывает банки хранить информацию о своих клиентах.

Вообще, банкиры и юристы рекомендуют в случае нарушения прав клиентов апеллировать не к закону о персональных данных, а к нарушению закона о защите прав потребителей, закона о рекламе и т. д. «Не только операторы персональных данных, но и суды не знают, как следует толковать и применять такой закон, а потому спор в суде может существенно затянуться, — объясняет Александр Голубев. — При этом судебная практика по защите прав потребителей, добросовестности рекламы и пр. уже в достаточной степени сформирована, в том числе на уровне высших судов, что с большей вероятностью поможет защитить нарушенные права».

«Гражданско-правовой ответственности за нарушение данного закона не предусмотрено, — констатирует юрист общества защиты прав потребителей «Общественный контроль» Дмитрий Лесняк. — По Гражданскому кодексу компенсация морального вреда возможна только в том случае, если это предусмотрено законом».

Наталья РОМАНОВА, Banki.ru

Источник

Понравилась статья? Поделить с друзьями:
  • К вашему ящику не привязан номер телефона привяжите его чтобы создать пароль для внешнего приложения
  • К вашему номеру телефона привязано несколько клиентов сбербанк
  • К вам позвонить или вам позвонить как правильно
  • Йура корпорейшн рус номер телефона
  • Йошкар олинский строительный техникум номер телефона