Правительство отнесло e-mail и номер телефона к персональным данным.
Привет. Меня зовут Рустам Рафиков, я юрист, управляющий партнер юридической компании «Рафиков и Партнёры». В статье рассказываю про новое законодательство и рассматриваю вопрос — является ли номер телефона и электронной почты персональными данными.
Время прочтения: 1,5 мин.
13 сентября 2019 г. Правительство РФ дополнило состав персональных данных которые размещаются в единой биометрической системе. Теперь к персональным данным относятся следующие сведения:
Что является персональными данными?
Согласно закону, к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Роскомнадзор ранее разъяснял, что такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.
Проще говоря, если по определённым данным можно вычислить (идентифицировать) лицо, которому принадлежат указанные данные, то такие данные являются персональными.
По этой же причине не являются персональными данными т.н. большие данные, которые представляют собой обезличенную информацию. Именно поэтому, законодатель с 01.10.2019 г. вводит статью 783.1 Гражданского кодекса про договор об оказании услуг по передаче информации (подробнее об этом писали здесь).
Номер телефона и e-mail — персональные данные?
Древний спор юристов о том, является ли номер телефона и e-mail персональными данными, кажется подходит к концу. Некоторые утверждали, что раз уж законодательство о рекламе требует получения согласия на рассылку по номеру телефону, значит здесь есть аналогия с получением согласия субъекта на обработку персональных данных (получение информации). Другие утверждали, что это касается законодательства о рекламе и номер телефона, сам по себе, является обезличенным набором цифр. А вот вместе с именем и фамилией, номер цифр позволяет идентифицировать абонента.
Такая же история с адресом электронной почты. Формально, по адресу электронной почты типа saylor.moon@pochta.com можно вычислить имя и фамилию обладателя, но иногда это бывает псевдонимом, ником (например, stervo4ka94@pochta.com). С другой стороны, при получении сообщения мы можем увидеть тег содержащий имя и фамилию обладателя почтового ящика.
Ну и наконец, чего греха таить, известна история с расследованием и выпуском фильма «Он вам не Димон». Авторы фильма утверждали, что идентифицировали личный электронный почтовый адрес председателя Правительства (как раз того, кто подписал постановление, о котором мы и говорим в статье).
Система идентификации граждан и «скоринг»
Всем известно, что государство заинтересовано в идентификации граждан для предоставления тех же госуслуг. Банки используют набор статистических методов для определения надежности, кредитоспособности и в целом, идентификации лица. Данная система иногда называется кредитным скорингом (от англ. scoring — подсчет очков).
К примеру, Ростелеком разрабатывает Единую биометрическую систему для идентификации граждан и получения ими финансовых услуг:
«Единая биометрическая система вместе с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получить возможность оцифровать волеизъявление и дистанционно подписывать документы.»
Еще в прошлом году Правительство утвердило состав сведений содержащихся в единой системе идентификации и аутентификации, а теперь дополнило его новыми персональными данными — номер телефона и адрес электронной почты.
Владельцам веб-сайтов рекомендуется присмотреться к данным, которые они получают и обрабатывают . Если вы обрабатываете персональные данные граждан, возможно необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).
Не забывайте, что предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (так называемое «прайваси» или «right to privacy»).
За нарушение законодательства о персональных данных, также предусмотрена административная ответственность. В некоторых случаях, размер штрафа при этом достигает до 300 тыс. руб.
Надеюсь, обзор был интересным. Что вы думаете о таком подходе? Пишите в комментарии.
Подборка наиболее важных документов по запросу Относится ли номер телефона к персональным данным (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Типовая ситуация: Персональные данные работников: понятие, обработка, защита и передача
(Издательство «Главная книга», 2023)Персональные данные работника — любая информация о человеке, имеющаяся у работодателя. Это Ф.И.О. и другие паспортные данные, ИНН, СНИЛС, номер телефона, сведения об образовании, доходах и др. (ст. 3 Закона N 152-ФЗ, Письмо Минкомсвязи от 28.08.2020 N ЛБ-С-074-24059).
Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 14.07.2022)
«О персональных данных»1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Консультация эксперта
Закон о персональных данных ужесточили. Штрафы увеличились. Обрабатывать персональные данные без согласия субъекта нельзя. Новостные ленты пестрят страшными заголовками. Но что на самом деле относится к персональным данным, помимо фамилии, имени и отчества? Ответ на этот вопрос вы найдёте в статье нашего эксперта Анастасии Чекмаревой.
***
Определение персональных данных
Начнём с основы. Определение можно найти в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ.
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
В редакции 2011 года закон содержал перечень:
- Фамилия, имя, отчество
- Дата и место рождения
- Адрес
- Семейное положение
- Социальное положение
- Имущественное положение
- Образование
- Профессия
- Доходы
- Другая информация о гражданине
В действующей редакции список не конкретизирован, в него входит вся информация, по которой можно определить субъекта прямо или косвенно.
Важно понимать, что не вся информация, которая относится к физическому лицу, будет считаться персональными данными, а только та, которая помогает идентифицировать субъекта. Например, адрес проживания сам по себе к таким данным не относится, но в связке с другой информацией, которая позволяет определить субъекта, его уже можно будет по определению к ним отнести.
Категории персональных данных
Среди всей информации, по которой можно определить субъекта, в законе выделено несколько особых категорий.
Специальные: раса, национальность и религия; политические и философские взгляд, здоровье, подробности личной жизни, судимости и др.
Биометрические: физиологические и биологические особенности человека. К ним относятся: отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
По таким категориям важна привязка к личности. Например, мужчина, рост 180 см, вес 75 кг – это неперсональные данные. Гражданина по такой информации идентифицировать невозможно. Но если добавить фамилию, имя, отчество – это биометрические персональные данные.
Ещё один пример, когда для прохода в офис сотрудники используют отпечаток пальца или радужную оболочку глаза. Для обработки такой информации необходимо согласие субъекта.
Вся остальная информация, по которой можно определить субъекта, также может быть отнесена к персональным данным. Отличие выделенных категорий в том, что к их обработке установлены особые требования. Например, согласие должно быть всегда в письменной форме или в форме электронного документа, подписанного электронной подписью. По сведениям, которые в эти категории не попадают, такая форма согласия не всегда обязательна.
В 2021 году была выделена ещё одна категория: персональные данные, разрешённые для распространения. Это информация, которую сам субъект разрешил распространять. Обратите внимание, это не та информация, которую граждане публикуют, например, в социальных сетях. На распространение должно быть получено отдельное согласие от субъекта.
Рассмотрим на примерах, какая информация является персональными данными, а что к ним отнести нельзя с точки зрения закона и судебной практики.
Паспортные данные
Информацию в паспорте можно поделить на две категории.
Сведения о владельце паспорта: фамилия, имя, отчество, дата и место рождения, адрес регистрации и др. Тут ответ однозначный. Информация прямо относится к гражданину и может его идентифицировать, соответственно, это персональные данные.
Данные паспорта как бланка: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения.
По вопросу, являются ли серия и номер паспорта персональными данными, существуют две позиции судов
- Серия и номер паспорта относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность.
Постановление Седьмого арбитражного апелляционного суда от 05.04.2018 № 07АП-1437/2018 по делу № А45-31682/2017.
Постановление Седьмого арбитражного апелляционного суда от 19.03.2018 № 07АП-1435/2018 по делу № А45-31683/2017. - Серия и номер паспорта – неотъемлемые реквизиты документа и делают его уникальным.
Определение Верховного Суда РФ от 08.09.2020 № 308-ЭС20-11154 по делу № А63-13382/2019.
Апелляционное определение Верховного Суда Республики Адыгея от 26.01.2018 по делу № 33-42/2018.
Из вышесказанного следует, что серию и номер паспорта отдельно суды не всегда признают персональными данными, но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.
Остальная информация в паспорте: наименование органа, выдавшего паспорт, код подразделения, дата выдачи — к персональным данным не относится, так как определить по ней субъекта невозможно.
ИНН
На вопрос, является ли ИНН персональными данными, нет однозначного ответа.
С одной стороны, Минфин России неоднократно давал разъяснения, что ИНН к ним не относится, а используется исключительно для того, чтобы упорядочить учёт налогоплательщиков внутри системы налоговых органов.
По мнению ведомства, ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в Едином государственном реестре налогоплательщиков (6 знаков) и контрольное число (2 знака). Таким образом, ИНН фактически является номером записи о лице в ЕГРН.
Письма Минфина России от 19.01.2021 № 03-01-11/2330, от 15.01.2021 № 03-01-11/1380, от 12.01.2021 № 03-01-11/343, от 12.01.2021 № 03-01-11/347.
Одновременно с разъяснениями ведомства в судебной практике существует противоположная позиция, согласно которой ИНН относят к такой категории. Постановление Арбитражного суда Московского округа от 26.07.2021 № Ф05-14419/2021 по делу № А40-183316/2020.
Апелляционное определение Четвёртого апелляционного суда общей юрисдикции от 02.02.2021 по делу № 66-313/2021.
Вывод прост: ИНН сам по себе, без дополнительной информации, персональными данными не является, но в совокупности с другими данными, например Ф.И.О. и ИНН, уже таковыми будет.
Ранее мы рассматривали судебную практику, при которой страхователь смог избежать или снизить штрафные санкции за непредставленный отчёт СЗВ-М или представленный не в срок.
Номер телефона
При рассмотрении вопроса, является ли номер телефона персональными данными, важно, на кого он зарегистрирован: на гражданина или на юридическое лицо.
Номер, который принадлежит юридическому лицу, к субъекту не относится, соответственно, персональными данными не является (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ).
Даже если номер зарегистрирован на физическое лицо, то ответ неоднозначен.
Сам по себе номер телефона, без привязки к абоненту, представляет собой набор цифр и персональными данными не является. К примеру, операторы связи имеют право выставить на продажу сим-карту с номером, которым абонент не пользовался длительное время, и при этом нарушений законодательства в области персональных данных тут нет.
Номер телефона в связке с другой информацией, по которой можно идентифицировать субъекта, это персональные данные.
Электронная почта
В отличие от номера телефона, который содержит случайный порядок цифр, электронная почта сама по себе может быть отнесена к персональным данным. Например, электронная почта 123456@___.ru без дополнительной информации персональными данными быть не может, а электронную почту ivanovivan00.01.1900@___.ru по определению можно отнести к таким данным, так как она содержит конкретизирующую информацию.
В связке с другой информацией, например электронная почта и номер телефона, это уже однозначно персональные данные. Такая позиция подтверждена судебной практикой, например Апелляционное определение Новосибирского областного суда от 27.09.2016 № 33-9626/2016.
Сетевые идентификаторы (IP-адрес, файлы cookie и др.)
В настоящее время мы все больше и больше связаны сетью Интернет. Из этого вытекает новая категория: сетевые идентификаторы (IP-адрес, файлы cookie и др.). С их помощью можно отследить поведение пользователя в Сети и настроить маркетинговые предложения.
Существует судебная практика, где оператора связи оштрафовали за продажу сетевых идентификаторов своих абонентов.
Постановление Девятого арбитражного апелляционного суда от 23.05.2016 № 09АП-17574/2016 по делу № А40-14902/16.
Вместе с этим если говорить об IP-адресе отдельно, то тут вопрос спорный. С одной стороны, существует подтверждающая позиция судов, например Постановление Второго арбитражного апелляционного суда от 08.08.2019 № 02АП-5517/2019 по делу № А31-3955/2019. Кроме того, в соответствии с Приказом ФГУП «Почта России» от 21.02.2019 № 73-п IP-адрес отнесён к персональным данным.
Но существует противоположная позиция. В Постановлении Восемнадцатого арбитражного апелляционного суда от 05.04.2017 № 18АП-2210/2017 по делу № А07-24090/2016 указано, что IP-адрес — это уникальный сетевой адрес узла в компьютерной сети, построенный по протоколу IP, и не относится к персональным данным.
Из этого следует, что IP-адрес будет отнесён к этой категории только при условии чёткой временной привязки к одному конкретному лицу.
Номер автомобиля
Государственный регистрационный номер присваивается автомобилю, а не собственнику.
П. 37 Правил государственной регистрации транспортных средств в регистрационных подразделениях Государственной инспекции безопасности дорожного движения Министерства внутренних дел Российской Федерации, утверждённых Постановлением Правительства РФ от 21.12.2019 № 1764, п. 105 Административного регламента Министерства внутренних дел Российской Федерации предоставления государственной услуги по регистрации транспортных средств, утверждённого Приказом МВД России от 21.12.2019 № 950.
Соответственно, сведения об автомобиле (марка, цвет, государственный номер) становятся персональными только в связке с информацией о его владельце.
Относительно VIN-номера автомобиля действуют те же правила. Он идентифицирует непосредственно автомобиль, а не владельца. Позиция подтверждена судебной практикой.
Решение Краснодарского УФАС России от 18.02.2020 № 023/10/18.1-563/2020.
Исходя из этого, передача информации по автомобилю без связки с владельцем, например для оформления пропуска для проезда на закрытую территорию, не является передачей персональных данных.
Обратите внимание: здесь мы рассказывали о том, как самостоятельно продать автомобиль.
Фотография
С одной стороны, очевидно, что по изображению можно определить того, кто изображён. Но такая информация не всегда будет персональными данными, а только в том случае, когда фотография служит именно для идентификации субъекта. Рассмотрим несколько примеров.
Фото на пропуск. Такая фотография используется для того, чтобы можно было удостовериться, что предъявитель пропуска и его владелец — одно и то же лицо. Цель использования — определение личности. Соответственно, это персональные данные. Если вы фотографируете сотрудников или клиентов для оформления пропусков, то должны получить от них согласие. Позиция была озвучена Роскомнадзором.
и подтверждена в судебной практике, например Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017
Фото на копии паспорта. Мы все сталкиваемся с ситуациями, когда копируют паспорт. В паспорте есть фотография, и она остаётся у оператора. Является ли такая копия биометрическими персональными данными? Ответ на вопрос можно найти в . Если копия была сделана для подтверждения конкретных действий, например заключения договора на оказание банковских или медицинских услуг, то в эту категорию она не попадает и согласие не требуется. Если фотография используется для определения личности субъекта, то это биометрические персональные данные.
Фото с мероприятия. Распространённая ситуация, когда на мероприятиях или в общественных местах ведётся фотосъёмка. Роскомнадзор разъяснил: если фотосъёмка была в публичном месте, открытом для общего посещения (в парке, театре, на концерте, на спортивном мероприятии) и фотографии не используются для определения личности, то в данную категорию они не входят. Если цель использования фотоизображения идентификация гражданина, то это персональные данные.
Фото на сайте. При размещении на сайте фото и контактов сотрудников, отзывов клиентов с фотографией и дополнительной информацией о них, а также в других случаях, когда публикуется ряд сведений, по которым можно идентифицировать субъекта необходимо согласие. Такая информация является персональными данными.
Вывод прост: если фото используется для идентификации субъекта – это персональные данные, в остальных случаях таковыми не является.
Состояние здоровья
Состояние здоровья – это специальная категория персональных данных.
Особая актуальность этой категории связана с тем, что в связи с ухудшением эпидемиологической обстановки многие организации не только используют средства дезинфекции, но и измеряют температуру работников и посетителей, чтобы выявить признаки заболевания. Эта информация в совокупности с другими сведениями, по которым можно определить субъекта, является специальными персональными данными. Но необходимо ли получать отдельное согласие? Роскомнадзор 10 марта 2021 года разъяснил этот вопрос на своём сайте. Согласие брать не надо. Температура работника связана с возможностью исполнения его трудовых обязанностей. Если это не работники, то они подтверждают согласие действиями, а именно намереньем посетить организацию. В этом же разъяснении указан рекомендованный срок хранения таких данных — 7 суток с момента получения.
Мы рассмотрели примеры персональных данных. Естественно, список неисчерпывающий.
Информацию о том, что относится к персональным данным, а также пошаговый алгоритм по работе с ними вы можете найти в справочно-правовой системе КонсультантПлюс
Анастасия Чекмарева, преподаватель-юрист ООО «Что делать Консалт»
Свидетельство о регистрации СМИ: Эл № ФС77-67462 от 18 октября 2016 г.
Контакты редакции: +7 (495) 784-73-75, smi@4dk.ru
Нужна консультация юриста по персональным данным?
Задайте вопрос юристу
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ)).
Телефон и адрес электронной почты как персональные данные
Как следует из положений ст. 8 Закона N 152-ФЗ, к персональным данным можно отнести фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, то есть ту информацию, которая позволяет идентифицировать конкретного человека. При этом приведенный перечень является открытым.
Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054).
Абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Например, абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных (Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ).
Таким образом, номер телефона и адрес электронной почты будут являться персональными данными, если они зарегистрированы на определенное физическое лицо, что позволит идентифицировать конкретного человека.
Согласие на использование номера телефона и адреса электронной почты
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч. 1 ст. 19 Закона N 152-ФЗ).
Обработка персональных данных осуществляется с согласия субъекта персональных данных, при этом обработка персональных данных, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта персональных данных (п. п. 1, 2 ч. 1 ст. 6 Закона N 152-ФЗ).
При осуществлении расчета в случае предоставления покупателем (клиентом) пользователю контрольно-кассовой техники до момента расчета абонентского номера либо адреса электронной почты пользователь контрольно-кассовой техники обязан направить кассовый чек или бланк строгой отчетности в электронной форме покупателю (клиенту) на предоставленные абонентский номер либо адрес электронной почты (при наличии технической возможности для передачи информации покупателю (клиенту) в электронной форме на адрес электронной почты) (ст. 1.1, п. 2 ст. 1.2 Федерального закона от 22.05.2003 N 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»).
Таким образом, отправка электронных кассовых чеков или бланков строгой отчетности на номера или электронную почту покупателей является выполнением положений, установленных п. 2 ч. 1 ст. 6 Закона N 152-ФЗ.
В случае отправки продавцом чеков на почту покупателя согласие на обработку персональных данных, в частности номера телефона и адреса электронной почты, не требуется, однако при последующем использовании персональных данных покупателя или их использовании в целях, не связанных с исполнением договора, оператору персональных данных требуется получение согласия от физического лица на обработку указанных данных.
Ответственность за распространение номера телефона и адреса электронной почты
Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):
• на граждан в размере от 3 000 до 5 000 руб.;
• на должностных лиц — от 10 000 до 20 000 руб.;
• на юридических лиц — от 15 000 до 75 000 руб.
Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 — 1101 ГК РФ, ст. 24 Закона N 152-ФЗ).
Сергей, здравствуйте!
Как следует из положений ст. 8 Закона о персональных данных, к персональным данным можно отнести фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, то есть ту информацию, которая позволяет идентифицировать конкретного человека. При этом приведенный перечень является открытым.
Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054).
Абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Например, абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных (Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ).
Таким образом, номер телефона и адрес электронной почты будут являться персональными данными, если они зарегистрированы на определенное физическое лицо, что позволит идентифицировать конкретного человека.
С уважением, Карнюхин Роман!
Все мы пользуемся гаджетами и смартфонами, обмениваемся телефонными номерами и не всегда задумываемся о их значении.
Являются ли телефонные номера нашими персональными данными? Может ли посторонний человек или фирма обрабатывать их по своему усмотрению: отправлять нам СМС-рассылки с навязчивой рекламой и беспокоить звонками? Ответы на эти вопросы читайте далее.
Скрыть содержание
- Сведения из закона
- Что это такое – личная информация на мобильном?
- Относится ли сотовый к сведениям о гражданине или нет?
- Правомерно ли использовать для рассылки?
- Заключение
Сведения из закона
Согласно Федеральному закону № 152-ФЗ “О персональных данных” от 27.06.2006 г. (далее упоминается как Закон), лица, указанные в статье 7:
“Третьи лица или органы получившие доступ к персональным сведениям, обязаны соблюдать конфиденциальность во время их обработки. Запрещается распространение и использование в личных целях любых персональных данных без личного согласия на то субъекта персональной информации”.
Персональные данные — это любые сведения, которые прямо или косвенно относятся к конкретному или определяемому на основе предоставленной информации физическому лицу. Сюда относят:
- ФИО субъекта;
- год;
- месторасположение;
- месяц и день рождения человека;
- адрес проживания;
- сведения о членах семьи;
- социальном и финансовом положении;
- образовании;
- данные о сфере деятельности;
- другая информация.
Подробнее о том, какая информация относится к ПД, читайте тут, а в этом материале приведены примеры персональных данных.
Что это такое – личная информация на мобильном?
В телефоне могут хранится ваши личные данные:
- логины и пароли от социальных сетей;
- рабочих профилей;
- автозаполнение полей при входе в личный онлайн кабинет банка.
Ко всем примерам требуется привязка номера телефона. В телефоне также хранятся контакты других абонентов:
- друзей;
- родственников;
- рабочие номера;
- и так далее.
И хотя по одним только цифрам идентифицировать личность кажется невозможным, стоит добавить другие сведения и ситуация меняется.
Важно! Не стоит забывать, что номер может быть привязан за определенным физическим лицом по договору с оператором связи.
Относится ли сотовый к сведениям о гражданине или нет?
Абонентский номер (номер телефона) ㅡ это сочетание цифровых знаков, который определяется клиенту мобильной связи во время заключения с ним договора о предоставлении услуг сотовой связи. Набор цифрового кода обеспечивает возможность выделить и идентифицировать устройство в сети связи для соединения с абонентом.
Таким образом код состоящий из цифр не может быть достаточной информацией, чтобы иметь возможность обозначить и идентифицировать абонента (субъекта персональных данных). Использование номера не может быть расценено как обработка ПД его конечного пользователя.
Стоит разделять просто номер телефона и номер телефона в дополнении с другими сведениями владельца. В сочетании с фамилией, именем и отчеством, по которым можно определить пользователя, ситуация несколько меняется. Хранение и использование контактов с ФИО абонента будет считаться как обработка ПД человека.
Правомерно ли использовать для рассылки?
В Законе №126-ФЗ “О связи” от 7 июля 2003 года, в статье 44.1 (изменения которого вступили в силу 21 октября 2014 года), говорится, что на номер, по которому можно определить личность пользователя при наличии доп. сведений, требуется согласие на обработку и рассылку рекламной информации.
Осуществление операций с мобильными номерами в рекламных целях или во время опроса жителей является безличным набором цифр и не может быть определителем субъекта ПД, если осуществляется без указания:
- фамилии;
- имени;
- отчества;
- (ФИО) даты рождения и адреса проживания владельца.
Так как, сохраняется полная анонимность при проведении данной процедуры ㅡ это не считается обработкой личной информации конкретного субъекта ПД.
Бизнес по СМС-рассылкам основывается на трех главных законах:
- “О рекламе”.
- “О связи”.
- “О персональных данных”.
По Закону есть дополнительные ограничения на использование личной информации во время продвижения услуг и товаров посредством телефонных звонков и СМС-рассылок. Наличие базы контактов и адресов почты разрешается с согласия клиентов.
Субъект ПД может в любой момент отозвать соглашение, и оператор по обработке контактов должен удалить все данные. Вопросы возникающие касательно входящих звонков/сообщений рекламного характера (предоставления услуг), входит в полномочия органа Федеральной Антимонопольной Службы (ФАС).
Справка. Для проведения рассылок СМС-сообщений в рекламых целях абонентам при помощи средств связи обязательно наличие согласия субъекта.
Список требований на согласие о получении СМС-сообщений:
- Форма согласия в письменном или устном виде.
- Указанные ФИО человека, который будет получать рассылку.
- Прописанный номер телефона абонента для рассылки.
- Подтверждающий фактор (например сообщение с одноразовым кодом безопасности).
- Указанные ФИО/наименование человека, которому выдается разрешение на обработку данных и рассылку рекламных сообщений.
- Четко прописанные даты начала и окончания действия договора о согласии.
- Наличие данных для подтверждения согласия абонента.
Заключение
Сам по себе телефонный номер ㅡ это комбинация цифр, при наличии которого невозможно определить пользователя. Значит, просто номер не является ПД человека.
GDPR Data Privacy Professional
Экспресс-погружение в GDPR за 4 полных дня вместо 6 месяцев самостоятельного изучения!
Согласно GDPR, а также Конвенции 108+, персональными данными является любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу. Продолжаем цикл материалов на тему «А это точно персональные данные?». В прошлый раз мы рассказали о том, являются ли имя и фамилия персональными данными, а сегодня рассмотрим, относится ли номер телефона к этой категории.
📌 Под полным идентификатором мы понимаем информацию, однозначно идентифицирующую субъекта; под частичным идентификатором – сведения, которые при использовании совместно с другими сведениями, также позволяют идентифицировать субъекта; а под дополнительной информацией – сведения, которые относятся к уже идентифицированному субъекту.
Подробнее о том, что такое персональные данные, читайте в нашем лонгриде.
Номер телефона как персональные данные
Согласно определению, информация, которая является лишь одним из шагов в идентификации человека, должна защищаться в такой же степени, как и информация, прямо ведущая к установлению личности. Несмотря на то, что сам по себе номер телефона не говорит нам ничего о личности владельца (например, не позволяет определить, мужчина это или женщина, какое у него имя и фамилия), дальнейшее использование такой информации в сочетании с дополнительными сведениями помогает идентифицировать человека. При этом много усилий не потребуется. Вычислить владельца мобильного номера весьма просто: он может находиться даже в нескольких базах данных, доступных злоумышленнику, для которого идентификация лица будет иметь выгоду.
📌 Следовательно, номер телефона относится к персональным данным.
Кроме того, согласно GDPR, номер телефона относится к уникальным идентификаторам и упоминается в качестве такового во «Мнении о концепции персональных данных», изданном европейским надзорным органом (Article 29 Data Protection Working Party Opinion 4/2007 on the concept of personal data).
Мы открыты к сотрудничеству с развивающимися, инициативными компаниями.
Номер телефона как метаданные
Следует также отметить, что номер мобильного телефона относится к категории метаданных (то есть, к категории «данных о данных» или «сведений о данных»). Несмотря на то, что метаданные сами по себе не раскрывают чувствительных сторон жизни человека, их анализ может привести к весьма серьезному вмешательству в частную жизнь. Необходимость их защиты подчеркивалась в судебной практике.
В деле Malone v. The United Kingdom, Европейский суд по правам человека постановил, что раскрытие записей об «учете» телефонных звонков полицией представляет собой нарушение ст. 8 Европейской Конвенции по правам человека.
В деле Tele2 / Watson относительно хранения метаданных Европейский суд (справедливости) также поддержал данную точку зрения, заключив, что различие в уровне защиты контент-данных и метаданных является устаревшим. По мнению Европейского суда (справедливости), метаданные, собранные в совокупности об одном или нескольких лицах, могут быть не менее чувствительными, чем фактическое содержание сообщений.
Комитет по правам человека ООН также отмечал, что серьезность вмешательства в частную жизнь не зависит от типа данных, так как любой сбор метаданных уже потенциально является вмешательством в частную жизнь, независимо от того, будут ли эти данные использоваться впоследствии. Сам факт такого захвата действительно может иметь «потенциально пугающее влияние на реализацию прав человека, в том числе на свободу выражения мнений и ассоциации» («The right to privacy in the digital age» (A/HRC/37)).
При агрегировании метаданные могут раскрыть такую личную информацию, которая освещает не менее чувствительные стороны жизни человека, чем само содержание сообщений и может дать представление о поведении человека, его социальных отношениях, личных предпочтениях и идентичности (A/HRC/RES/34/7).
Оставайтесь с нами на связи!
Подробнее о предоставляемых услугах вы можете узнать здесь.
Остались вопросы? Свяжитесь с нами для консультации (это абсолютно бесплатно). Будем рады стать вашим партнёром в адаптации бизнеса к новой реальности 💙
P.S. Для того, чтобы оставаться с нами на связи и узнавать о последних апдейтах в мире приватности, подпишитесь на наш Telegram “PRO Приватность”.