Является ли номер сотового телефона персональными данными судебная практика

Подборка судебных решений за 2021 год: Статья 5 «Порядок осуществления перевода денежных средств» Федерального закона «О национальной платежной системе»«Таким образом, суды обоснованно исходили из того, что действующим законодательством предусмотрена возможность незамедлительного исполнения банком распоряжений клиента, в том числе при оплате товаров и услуг, совершении расчетов с контрагентами. Фактически исполнение банком распоряжения А. осуществлено непосредственно после подтверждения операции путем указания кода аутентификации, о чем свидетельствует указание в выписке истца о нахождении денежных средств в обработке, что свидетельствует о наступлении безотзывности перевода денежных средств и соответственно невозможности отмены данных операций. Основания для приостановления операций в момент их осуществления у банка отсутствовали, поскольку персональные данные банковской карты были предоставлены, указанный код аутентификации, направленный на номер телефона непосредственно истца, совпал.»

Типовая ситуация: Персональные данные работников: понятие, обработка, защита и передача
(Издательство «Главная книга», 2023)Персональные данные работника — любая информация о человеке, имеющаяся у работодателя. Это Ф.И.О. и другие паспортные данные, ИНН, СНИЛС, номер телефона, сведения об образовании, доходах и др. (ст. 3 Закона N 152-ФЗ, Письмо Минкомсвязи от 28.08.2020 N ЛБ-С-074-24059).

Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 14.07.2022)
«О персональных данных»1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

В п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 152‑ФЗ) предусмотрено, что персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Как видно из приведенного определения, закон не содержит исчерпывающего перечня сведений, которые входят в круг персональных данных. Соответственно, в каждом случае необходимо определить, может ли та или иная информация быть отнесена к конкретному лицу. Поможет в этом анализ судебной практики.

Судебная практика

Судебная практика

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя. Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга. Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Судебная практика

Судебная практика

Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд ¹. По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно,…

Нужна консультация юриста по персональным данным?

Задайте вопрос юристу

Как следует из положений ст. 8 Закона N 152-ФЗ, к персональным данным можно отнести фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, то есть ту информацию, которая позволяет идентифицировать конкретного человека. При этом приведенный перечень является открытым.

Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054).

Абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Например, абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных (Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ).

Таким образом, номер телефона и адрес электронной почты будут являться персональными данными, если они зарегистрированы на определенное физическое лицо, что позволит идентифицировать конкретного человека.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч. 1 ст. 19 Закона N 152-ФЗ).

Обработка персональных данных осуществляется с согласия субъекта персональных данных, при этом обработка персональных данных, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта персональных данных (п. п. 1, 2 ч. 1 ст. 6 Закона N 152-ФЗ).

При осуществлении расчета в случае предоставления покупателем (клиентом) пользователю контрольно-кассовой техники до момента расчета абонентского номера либо адреса электронной почты пользователь контрольно-кассовой техники обязан направить кассовый чек или бланк строгой отчетности в электронной форме покупателю (клиенту) на предоставленные абонентский номер либо адрес электронной почты (при наличии технической возможности для передачи информации покупателю (клиенту) в электронной форме на адрес электронной почты) (ст. 1.1, п. 2 ст. 1.2 Федерального закона от 22.05.2003 N 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»).

Таким образом, отправка электронных кассовых чеков или бланков строгой отчетности на номера или электронную почту покупателей является выполнением положений, установленных п. 2 ч. 1 ст. 6 Закона N 152-ФЗ.

В случае отправки продавцом чеков на почту покупателя согласие на обработку персональных данных, в частности номера телефона и адреса электронной почты, не требуется, однако при последующем использовании персональных данных покупателя или их использовании в целях, не связанных с исполнением договора, оператору персональных данных требуется получение согласия от физического лица на обработку указанных данных.

Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).

Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):

• на граждан в размере от 3 000 до 5 000 руб.;

• на должностных лиц — от 10 000 до 20 000 руб.;

• на юридических лиц — от 15 000 до 75 000 руб.

Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 — 1101 ГК РФ, ст. 24 Закона N 152-ФЗ).

Информацию о том, что относится к персональным данным, а также пошаговый алгоритм по работе с ними вы можете найти в справочно-правовой системе КонсультантПлюс

Что такое персональные данные?

Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.

1. Общие ПД

Это Ф.И.О., паспортные данные, СНИЛС, ИНН, дата и место рождения, e-mail, адрес, семейное, социальное и имущественное положение, место учебы и работы, образование, профессия, доходы и т.д.

С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.

Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.

Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).

2. Специальные ПД

Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.

Обработка таких ПД не допускается, за исключением следующих случаев:

• вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
• обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
• обработка в целях страхования;
• обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.

3. Биометрические ПД

Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.

Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

Например, следуя в свой офис, вы проходите пункт охраны. Там вас просят приложить к сканеру палец, что позволяет службе охраны на компьютере видеть ваши ПД на основании взятого отпечатка. Так они могут установить вашу личность. Для использования отпечатка пальца охранная организация должна взять у вас письменное согласие на обработку биометрических ПД.

Что такое обработка персональных данных?

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Примеры:

• работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
• работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
• продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
• покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Кто такой оператор персональных данных?

Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.

Примеры:

• работодатель, обрабатывающий ПД своих работников;
• продавец, обрабатывающий ПД клиентов-граждан;
• госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
• владельцы сайтов, собирающие ПД пользователей сайта.

Какие условия обязан соблюдать оператор при обработке персональных данных?

Главное условие – наличие вашего согласия. При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:

• в целях, предусмотренных международным договором России, например договором, позволяющим выдавать преступников другой стране (экстрадиция);
• в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности; например, работодатель обязан передать ПД в налоговые органы;
• в связи с вашим участием в суде; например, при подаче документов в суд вы должны указать свои Ф.И.О. и адрес;
• для исполнения судебного акт; например, суд по результатам рассмотрения дела выдает исполнительный документ, в котором указываются Ф.И.О., адрес, ИНН и иные данные должника;
• в целях получения госуслуг – в таких случаях мы всегда подписываем согласие на обработку ПД. В недавнем определении Верховный Суд РФ подтвердил, что отказ лица от подписания согласия не может являться основанием для отказа в предоставлении услуги органом власти¹;
• для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем (например, в вашу пользу застраховано имущество) или поручителем.

Например, вы заключили с риелтором договор, согласно которому он ищет покупателя для вашей квартиры. Риелтору нужно знать ваши ПД: Ф.И.О., контактный телефон и e-mail. Так как он использует эти данные только для оказания услуг, ему не нужно ваше согласие на обработку ПД. Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях;

• для защиты вашей жизни, здоровья или иных жизненно важных интересов, если получение от вас согласия невозможно; например, друг сообщает врачам ваши ПД, поскольку вы находитесь в бессознательном состоянии;
• для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей – при условии, что тем самым не нарушаются ваши права и свободы. Обычно данное исключение используется для оправдания пропускного режима на территории здания, в виде цели при этом указывают обеспечение безопасности;
• для осуществления профессиональной деятельности журналиста или СМИ либо научной, литературной или иной творческой деятельности, если при этом не нарушаются ваши права и законные интересы; например, у вас взяли интервью и опубликовали его, указав ваши Ф.И.О. и должность;
• в статистических или иных исследовательских целях – при условии обязательного обезличивания ПД. При этом собранные данные не могут быть использованы в рекламных и агитационных целях. Например, вы прошли опрос, а позже ответы были опубликованы без указания ваших ПД – сторонний читатель не сможет узнать, что ответы на вопросы дали именно вы;
• обработка общедоступных ПД. Например, вы опубликовали свои данные на сайте по поиску работы – они будут являться общедоступными, поскольку работодатели могут свободно просматривать и обрабатывать их для изучения вашей кандидатуры;
• обработка ПД, подлежащих опубликованию или обязательному раскрытию; например, чиновник раскрывает и публикует данные о своих доходах.

Что такое согласие на обработку персональных данных?

Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

Согласие на обработку ПД должно быть оформлено:

• письменно, если того требует закон (см. выше);
• в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).

Пункты, которые обязательно должно содержать письменное согласие:

• Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
• название организации или Ф.И.О. и адрес оператора;
• цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
• перечень ПД, которые будет обрабатывать оператор;
• информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
• перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
• срок, на который выдано согласие;
• способ отзыва согласия;
• подпись.

Можно ли не давать согласие на обработку ПД?

Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

• Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
• Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

• Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

  Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

  • считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
  • считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Однако оба довода являются спорными.

Почему организация может требовать оформления согласия на обработку ПД?

Причин может быть несколько:

• оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
• оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
• оператор хочет перестраховаться.

Может ли оператор передать кому-нибудь персональные данные?

Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.

Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.

Примеры, когда согласие не нужно:

• управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
• работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.

(Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? О том, как действовать в такой ситуации, читайте в статье «Битва за персональные данные».)

Какие персональные данные оператор собирает через сайт и зачем?

ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

1. ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф.И.О., адрес, номер телефона, e-mail.

В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

• проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
• принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

2. ПД, которые оператор собирает без предоставления вами информации.

В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).

Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.

Законно ли направление мне рекламы без моего согласия?

Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:

• на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
• на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.

Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).

Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.

(Подробнее об этом в статье «Клиент жалуется на рекламную рассылку – предприниматель платит».)

Как отказаться от назойливой рекламной рассылки?

Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг. Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.

При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.

Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

• в территориальный орган Роскомнадзора с жалобой на действия оператора;
• в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
• в суд.

Какие права у меня есть при обработке моих персональных данных?

1. Право на получение у оператора информации, касающейся обработки ваших ПД.

Вы можете обратиться к оператору с требованием о предоставлении следующей информации:

• подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
• правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
• способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
• наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
• перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
• сроки обработки и хранения ПД;
• порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
• о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
• сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
• иные сведения, предусмотренные законодательством.

Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.д.

Как получить от оператора необходимую информацию?

Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.

Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.

В запросе обязательно нужно указать:

• паспортные данные;
• если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
• если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
• иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
• ваша подпись.

При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.

Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.

2. Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.

Вы можете требовать от оператора:

• уточнить ваши ПД;
• блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
• уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.

Такие требования можно предъявить, если ПД, которые обрабатывает оператор:

• неполные, например вместо Ф.И.О. указана только фамилия;
• устаревшие, например если вы поменяли паспорт;
• неточные, например ваша фамилия указана с ошибкой;
• получены незаконно;
• не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.

Как обратиться к оператору с одним из требований?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.

Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.

3. Право на отзыв согласия на обработку ПД.

После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.

Как отозвать согласие на обработку персональных данных?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.

Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.

4. Право принимать предусмотренные законом меры по защите своих прав.

Если вы считаете, что оператор:

• осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
• иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.

В таких случаях вы можете обратиться:

• в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
• в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).

Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.д.